¿Quién inventó el primer virus informático? Virus informáticos. Tipos, tipos, formas de infección Variedades de programas antivirus.

Todo el software se puede dividir condicionalmente en útil y malicioso. En el segundo caso, por supuesto, estamos hablando de virus informáticos, el primero de los cuales apareció en los años 70-80 del siglo pasado. Desde entonces, estos programas maliciosos han evolucionado mucho, pero incluso ahora tienen muchas características en común con sus antepasados.

Como habrás adivinado, este artículo trata sobre la historia de los virus informáticos. Entonces, descubrirá quién inventó estos programas nefastos y qué camino han recorrido desde el momento de su formación hasta el día de hoy.

Historial de nombres

Vale la pena comenzar con por qué los virus generalmente se denominaron de esa manera y no de otra manera. Después de todo, fue posible encontrar un nombre que esté más relacionado con temas informáticos. Y es que estos programas son muy similares en su forma de propagarse con los virus biológicos. Tanto uno como otro se reproducen constantemente, capturando gradualmente más y más partes nuevas del cuerpo. Además, tanto la computadora como no se limitan a un solo operador, sino que infectan constantemente a un número cada vez mayor de víctimas.

Desafortunadamente, no se sabe exactamente quién es el autor de este término bien establecido. Es cierto que muchos expertos argumentan que la frase "virus informático" fue utilizada por primera vez por el escritor de ciencia ficción Gregory Benford. En su obra "The Scarred Man", escrita en 1970, un programa que daña las computadoras se llama virus.

Teoría

Si hablamos del surgimiento de varias tecnologías nuevas, entonces, como sucede a menudo, la teoría nace primero y solo luego llega a la práctica. Los virus no son una excepción a esta regla.

En 1949, el matemático estadounidense John von Neumann impartió un curso sobre dispositivos automáticos complejos. Luego, ya en 1951, publicó un trabajo científico llamado “La teoría de los dispositivos autorreproductores”, en el que describía detalladamente la posibilidad de crear un programa de ordenador con capacidad de copiarse a sí mismo.

Mucho más tarde, en 1972, Veit Rizak desarrolló la teoría americana. Describió en detalle el mecanismo de funcionamiento de una aplicación completa, que era esencialmente un virus, para el sistema Siemens 4004/35. Y finalmente, en 1980, Jürgen Kraus, graduado de la Universidad de Dortmund, comparó por primera vez un programa de este tipo con una infección biológica.

Por supuesto, todo lo anterior tuvo un gran impacto en la historia de los virus informáticos. Pero, como habrás notado, todos los trabajos de los científicos se dedicaron exclusivamente a programas inofensivos capaces de autorreproducirse.

De la teoría a la práctica

Inspirándose en el trabajo de John, Bell Laboratories decidió poner a prueba sus teorías. Crearon un juego para 7090. El proyecto se llamó Darwin.

La esencia de este juguete era que una cierta cantidad de programas ensambladores (se les llamaba organismos) se colocaban en la memoria de la computadora. En este caso, los organismos se dividieron aproximadamente por igual entre los dos jugadores. Luego, los programas comenzaron el proceso de autocopiado, consumiendo tanto espacio en disco como organismos hostiles. En consecuencia, el ganador fue el jugador cuyas "barreras" absorbieron por completo toda la memoria asignada, mientras destruían los organismos del oponente.

Como puede ver, Darwin funciona de manera muy similar al malware moderno. Aunque el juego en realidad no afectó ninguna función de la computadora, se considera que es el prototipo de todos los virus.

Enredadera y segadora

Tras el éxito de Darwin, los desarrolladores comenzaron a crear más y más aplicaciones con funcionalidades similares, pero Creeper debe destacarse entre ellas. Se trata de un virus experimental, cuya aparición data de 1970. El programa infectó las computadoras DEC PDP-10 que ejecutaban el sistema operativo Tenex y mostró el mensaje: ¡Soy la enredadera! Atrápame si puedes ("¡Soy Creeper! ¡Atrápame si puedes!"). A pesar de este comportamiento, la aplicación nunca salió del banco de pruebas, por lo que no se considera el primer virus informático.

Lo que es más interesante es el programa Reaper, realizado por el mismo equipo de desarrollo. Por extraño que parezca, esta era la única tarea de la cual era encontrar y destruir el Creeper. Y debo decir que ella hizo frente con éxito a esto. Desde entonces, por supuesto, ha pasado mucho tiempo, pero fueron Creeper and Reaper los que sentaron las bases de la eterna lucha entre virus y antivirus. ¿Qué pasó después?

Con el advenimiento de la década de 1980, comenzó la era del desarrollo de las computadoras personales, así como de los disquetes como medios de almacenamiento. Este es el mismo momento en que apareció el primer virus informático. Entonces, el colegial de 15 años Richard Skrenta desarrolló en 1981 un programa para Apple II que puede ejecutar el sistema operativo DOS que arranca desde un disquete. El virus se llamaba Elk Cloner y, lo que es muy importante, podía copiarse a sí mismo en medios "sanos", viajando así de un ordenador a otro.

En principio, el programa no dañó mucho a la PC. El virus Apple II solo mostraba un mensaje en la pantalla de la computadora. Fue escrito en forma poética. Sin embargo, Elk Cloner fue una sorpresa desagradable para los usuarios. Después de todo, nunca antes se habían encontrado con algo así. Además, el programa logró infectar muchas computadoras que, según los estándares de la época, pasaron por completo como la primera epidemia de virus.

cerebro

El siguiente evento importante ocurrió en 1986. Los programadores Amjad y Bazit Alvi crearon el primer virus informático para sistemas IBM, que se llamó Brain. Según los propios desarrolladores, querían castigar a los piratas locales con la ayuda de su descendencia, pero la situación se salió de control. Creerlos o no ya es un asunto personal de cada uno.

El virus informático Brain escapó mucho más allá de Pakistán, donde vivían sus creadores, y logró dañar a decenas de miles de usuarios. Solo en los EE. UU., 20,000 computadoras se vieron afectadas. Por supuesto, ahora no suena demasiado amenazante, pero luego se equiparó a una epidemia mundial.

El fin de la era de los disquetes

Pasó el tiempo, se desarrolló la tecnología y la era de los disquetes comenzó a declinar gradualmente. Junto con esto, Internet ganó gran popularidad, gracias a lo cual los usuarios comenzaron a intercambiar información entre ellos. Sin duda, todos estos son puntos muy positivos, pero es por ellos que los virus informáticos se han vuelto mucho más peligrosos.

Hoy se han desarrollado tanto que pueden extenderse a una velocidad aterradora. En solo unas pocas horas, un virus en particular puede infectar millones de computadoras, interrumpiendo incluso las agencias gubernamentales y las grandes empresas. ¿Qué podemos decir sobre los usuarios comunes? Además, se han formado varios tipos diferentes de virus, cada uno de los cuales tiene sus propias características. Se discutirán a continuación.

"Gusanos"

Estos programas maliciosos se distinguen por su capacidad de autopropagación. Para ello, utilizan la vulnerabilidad de las aplicaciones, golpeándolas tanto a través de redes locales como globales (Internet). En teoría, el "gusano" puede infectar todas las computadoras del mundo en 15 minutos, pero, afortunadamente, esto es imposible en la realidad.

El primero y uno de los representantes más famosos de este tipo de virus es el llamado gusano de Morris. Fue creado en 1988 y en el menor tiempo posible logró infectar cerca de 6200 computadoras, lo que en ese momento correspondía a cerca del 10% de todas las PC conectadas a Internet.

troyanos

En cuanto a los troyanos, a diferencia de los mismos "gusanos", no pueden propagarse por sí solos. Estos virus ingresan a la computadora debido a ciertas acciones de los propios usuarios. Por ejemplo, puede instalar un programa que es legal e inofensivo a primera vista, pero el malware se ocultará bajo su apariencia.

Después de infectar una computadora, el troyano comienza a realizar todo tipo de acciones no autorizadas. Por lo tanto, puede recopilar información, incluidas contraseñas, o simplemente usar los recursos del sistema para fines indecorosos.

El SIDA, que hizo estragos en 1989, es considerado el primer representante de este tipo de virus. Luego se distribuyó en disquetes, reemplazó el archivo AUTOEXEC.BAT y comenzó a contar la cantidad de arranques del sistema. Tan pronto como este número llegó a 90, el troyano cifró los nombres de todos los archivos en la unidad C, lo que imposibilitó el uso del sistema operativo. En consecuencia, a la persona se le ofreció pagar para poder acceder nuevamente a su información.

polimorfos

Se distinguen por el hecho de que tienen un mayor nivel de protección contra la detección por parte de las utilidades antivirus. En pocas palabras, estos virus, gracias a la técnica de programación especial utilizada en su creación, pueden pasar desapercibidos durante mucho tiempo, causando daños al sistema. El primero de los polimorfos conocidos es relativamente "joven". Apareció en 1990 y se llamó Chameleon, y su creador es Mark Washburn.

virus sigilosos

Los virus sigilosos, a primera vista, son muy similares a los polimorfos. Ocultan su presencia en la computadora de la misma manera, pero usan métodos ligeramente diferentes para esto. Los virus sigilosos interceptan las llamadas de los programas antivirus al sistema operativo, excluyendo así la posibilidad de su detección. El primer representante de esta familia es el programa Frodo, desarrollado en Israel a fines de 1989, pero el debut en uso ya tuvo lugar en 1990.

Un poco sobre la protección

Mientras los virus evolucionaban, los antivirus, que son el mejor medio para tratarlos, tampoco se detuvieron. Entonces, además del Reaper ya mencionado, aparecieron periódicamente utilidades hechas para proteger contra software no deseado. Es cierto que hasta 1981, los virus no representaban una amenaza grave, por lo que no había necesidad de resistirlos de alguna manera.

Si hablamos de antivirus en el sentido moderno del término, el primero de ellos comenzó a usarse en 1985. El programa se llamaba DRProtect y evitaba todas las acciones relacionadas con el BIOS de terceros reiniciando la computadora si se detectaban.

Sin embargo, los desarrolladores de malware aprendieron gradualmente a eludir la protección proporcionada por los antivirus primitivos de la época. Fue posible salvar la situación solo en 1992 gracias al programa de Eugene Kaspersky. Se incorporó un emulador de código del sistema que, con algunas modificaciones, todavía se usa en los antivirus hasta el día de hoy.

¿Quién lo necesita?

Es lógico que los desarrolladores de virus, al crearlos, persigan algunos objetivos específicos. Solo que ahora sus intenciones pueden ser muy diferentes, desde dañar el equipo de los competidores hasta el deseo de robar el dinero de otras personas. A menudo, durante los ataques a grandes empresas, los usuarios comunes se convierten en víctimas de epidemias de virus, ya que pueden protegerse en menor medida de ellos.

Sea como fuere, debes estar preparado para este tipo de situaciones. Siempre actualice su antivirus a la última versión y minimizará la posibilidad de que su computadora se infecte.

La definición de virus informático es un tema históricamente problemático, ya que es bastante difícil dar una definición clara de virus, al tiempo que se describen las propiedades que son inherentes solo a los virus y no se aplican a otros sistemas de software. Por el contrario, dando una definición estricta de un virus como un programa que tiene ciertas propiedades, uno puede encontrar casi inmediatamente un ejemplo de un virus que no tiene tales propiedades.

Otro problema con la definición de un virus informático radica en el hecho de que hoy en día un virus generalmente se entiende no como un virus "tradicional", sino como casi cualquier programa malicioso. Esto genera confusión en la terminología, que se complica aún más por el hecho de que casi todos los antivirus modernos son capaces de detectar este tipo de programas maliciosos, por lo que la asociación “malware-virus” se está volviendo cada vez más estable.

Clasificación

Actualmente, no existe un sistema único para clasificar y nombrar virus, sin embargo, se pueden encontrar diferentes fuentes en diferentes clasificaciones, a continuación se presentan algunas de ellas:

Clasificación de los virus según el método de infección.

Residencial

Dichos virus, habiendo recibido el control, de una forma u otra permanecen en la memoria y buscan víctimas continuamente, hasta el final del entorno en el que se ejecutan. Con la transición a Windows, el problema de permanecer en la memoria ha dejado de ser relevante: casi todos los virus que se ejecutan en el entorno Windows, así como en el entorno de la aplicación Microsoft Office, son virus residentes. En consecuencia, el atributo residente se aplica únicamente a los virus de archivos de DOS. La existencia de virus que no residen en Windows es posible, pero en la práctica son una rara excepción.

No residente

Habiendo recibido el control, dicho virus realiza una búsqueda única de víctimas, luego de lo cual transfiere el control al objeto asociado con él (objeto infectado). Los virus de secuencias de comandos se pueden clasificar como este tipo de virus.

Clasificación de los virus según el grado de impacto

Inofensivo

Virus que no afectan el funcionamiento de la computadora de ninguna manera (excepto por la reducción del espacio libre en disco como resultado de su propagación);

no peligrosos

Los virus no interfieren con el funcionamiento de la computadora, pero reducen la cantidad de RAM libre y la memoria del disco, las acciones de dichos virus se manifiestan en cualquier efecto gráfico o de sonido;

Peligroso

Virus que pueden provocar diversos fallos en el funcionamiento de la computadora;

Muy peligrosa

Virus, cuyo impacto puede provocar la pérdida de programas, la destrucción de datos, el borrado de información en las áreas del sistema del disco.

Clasificación de los virus según el método de enmascaramiento

Al crear copias para enmascarar, se pueden utilizar las siguientes tecnologías:

Cifrado- el virus consta de dos piezas funcionales: el propio virus y el codificador. Cada copia de un virus consta de un codificador, una clave aleatoria y el virus real cifrado con esta clave.

metamorfismo- creación de varias copias del virus reemplazando bloques de comandos con equivalentes, reorganizando piezas de código, insertando comandos "basura" entre piezas significativas de código que no hacen prácticamente nada.

virus encriptado

Este es un virus que utiliza un cifrado simple con una clave aleatoria y un cifrado invariable. Dichos virus se detectan fácilmente mediante la firma del codificador.

virus ransomware

En la mayoría de los casos, el virus ransomware viene en forma de archivo adjunto de correo electrónico de una persona desconocida para el usuario, y posiblemente en nombre de un banco conocido o una gran organización operativa. Las cartas vienen con un encabezado como: "Acto de conciliación ...", "Su deuda con el banco ...", "Comprobación de datos de registro", "Resumen", "Bloqueo de cuenta corriente", etc. La carta contiene un archivo adjunto con documentos que supuestamente confirman el hecho indicado en el encabezado o cuerpo de la carta. Cuando abre este archivo adjunto, el virus ransomware se inicia instantáneamente, lo que encriptará silenciosa e instantáneamente todos los documentos. El usuario detectará la infección al ver que todos los archivos que anteriormente tenían íconos familiares se mostrarán con íconos de un tipo desconocido. El criminal exigirá dinero para el descifrado. Pero, a menudo, incluso habiendo pagado al atacante, las posibilidades de recuperar los datos son insignificantes.

Los archivos adjuntos de correo electrónico maliciosos se encuentran con mayor frecuencia en archivos .zip, .rar, .7z. Y si la función de mostrar extensiones de archivo está deshabilitada en la configuración del sistema informático, entonces el usuario (destinatario de la carta) solo verá archivos del tipo "Documento.doc", "Act.xls" y similares. En otras palabras, los archivos aparecerán completamente inofensivos. Pero si activa la visualización de extensiones de archivo, inmediatamente quedará claro que no se trata de documentos, sino de programas o scripts ejecutables, los nombres de los archivos adoptarán una forma diferente, por ejemplo, "Documento.doc.exe" o " Ley.xls.js”. Cuando se abren dichos archivos, el documento no se abre, pero se inicia el virus ransomware. Esta es solo una breve lista de las extensiones de archivo "peligrosas" más populares: .exe, .com, .js, .wbs, .hta, .bat, .cmd. Por lo tanto, si el usuario no sabe lo que se le envió en el archivo adjunto, o si el remitente no está familiarizado, lo más probable es que la carta contenga un virus de encriptación.

En la práctica, hay casos en los que se recibe por correo electrónico un archivo normal `Word` (con la extensión .doc), dentro del cual, además del texto, hay una imagen, un hipervínculo (a un sitio desconocido en Internet) o un objeto OLE incrustado. Cuando hace clic en dicho objeto, se produce una infección inmediata.

Los virus ransomware han ganado popularidad desde 2013. En junio de 2013, la conocida empresa McAfee publicó datos que mostraban que recopilaron 250 000 ejemplos únicos de virus ransomware en el primer trimestre de 2013, más del doble de la cantidad de virus detectados en el primer trimestre de 2012.

En 2016, estos virus alcanzaron un nuevo nivel, cambiando el principio de funcionamiento. En abril de 2016, apareció información en la red sobre un nuevo tipo de virus de cifrado que, en lugar de cifrar archivos individuales, cifra la tabla MFT del sistema de archivos, lo que hace que el sistema operativo no pueda detectar archivos en el disco y de hecho, todo el disco está encriptado.

virus polimórfico

Un virus que utiliza un cifrado metamórfico para cifrar el cuerpo principal del virus con una clave aleatoria. En este caso, también se puede cifrar parte de la información utilizada para obtener nuevas copias del codificador. Por ejemplo, un virus puede implementar varios algoritmos de encriptación y, al crear una nueva copia, cambiar no solo los comandos del codificador, sino también el propio algoritmo.

Clasificación de virus por hábitat

El "hábitat" se refiere a las áreas del sistema de la computadora, sistemas operativos o aplicaciones, en cuyos componentes (archivos) se introduce el código del virus. Por hábitat, los virus se pueden dividir en:

• bota;
• archivo
• virus de macro;
• virus de secuencias de comandos.

En la era de los virus DOS, los virus híbridos de arranque de archivos eran comunes. Tras la transición masiva a los sistemas operativos de la familia Windows, tanto los propios virus de arranque como los mencionados híbridos prácticamente han desaparecido. Por separado, vale la pena señalar el hecho de que los virus diseñados para funcionar en el entorno de un sistema operativo o aplicación en particular no funcionan en el entorno de otros sistemas operativos y aplicaciones. Por lo tanto, el entorno en el que puede ejecutarse se destaca como un atributo separado del virus. Para virus de archivo, estos son DOS, Windows, Linux, MacOS, OS/2. Para virus de macro: Word, Excel, PowerPoint, Office. A veces, un virus necesita una determinada versión del sistema operativo o de la aplicación para funcionar correctamente, luego el atributo se especifica de manera más específica: Win9x, Excel97.

Virus de archivos

Los virus de archivo durante su reproducción de una forma u otra utilizan el sistema de archivos de cualquier (o cualquier) sistema operativo. Ellos:

• están incrustados en archivos ejecutables de varias maneras (el tipo de virus más común);
• crear archivos duplicados (virus complementarios);
• crear copias de sí mismos en varios directorios;
• utilizar las peculiaridades de la organización del sistema de archivos (link-virus).

Todo lo que está conectado a Internet necesita protección antivirus: el 82% de los virus detectados se "escondieron" en archivos con extensiones PHP, HTML y EXE.

El número de programas maliciosos crece constantemente y puede alcanzar proporciones epidémicas en un futuro próximo. La propagación de virus en el mundo digital no tiene límites, e incluso con todas las oportunidades disponibles, ya es imposible neutralizar las actividades de la comunidad cibernética criminal en la actualidad. La lucha contra los piratas informáticos y creadores de virus que mejoran incansablemente sus habilidades es cada vez más difícil. Por ejemplo, los ciberdelincuentes han aprendido a ocultar con éxito los canales digitales para propagar amenazas, lo que hace que sea mucho más difícil rastrear y analizar su movimiento en línea. Los métodos de distribución también están cambiando, si antes los ciberdelincuentes preferían el correo electrónico para propagar virus, hoy los ataques en tiempo real ocupan posiciones de liderazgo. También ha habido un aumento de las aplicaciones web maliciosas que han demostrado ser más que adecuadas para los atacantes. Según Govind Rammurthy, director ejecutivo y director general de eScan MicroWorld, hoy en día los piratas informáticos han aprendido a evadir con éxito la detección de las firmas antivirus tradicionales, que por varias razones están condenadas al fracaso cuando se trata de detectar amenazas web. Según las muestras analizadas por eScan, las amenazas basadas en la web son el tipo de malware más común. El 82 % del malware detectado son archivos PHP, HTML y EXE, mientras que los archivos MP3, CSS y PNG son menos del 1 %.

Esto sugiere claramente que la elección de los piratas informáticos es Internet, no los ataques que utilizan vulnerabilidades de software. Las amenazas son polimórficas por naturaleza, lo que significa que el malware se puede recodificar de manera efectiva de forma remota, lo que dificulta su detección. Por lo tanto, una alta probabilidad de infección está asociada, entre otras cosas, con las visitas al sitio. Según eScan MicroWorld, la cantidad de enlaces de redireccionamiento y descargas ocultas en sitios pirateados aumentó más del 20 % en los últimos dos meses. Las redes sociales también amplían enormemente las posibilidades de enviar amenazas.

Tomemos, por ejemplo, un banner que circula en Facebook que solicita al usuario que cambie el color de la página a rojo, azul, amarillo, etc. El tentador banner contenía un enlace que dirigía al usuario a un sitio fraudulento. Allí, los atacantes cayeron en manos de información confidencial que fue utilizada o vendida con fines de lucro ilegal a diversas organizaciones de Internet. Por lo tanto, los antivirus basados ​​en firmas tradicionales son ineficaces hoy en día, ya que no pueden proteger de manera confiable contra las amenazas web en tiempo real. Antivirus, que se basa en tecnologías en la nube y recibe información sobre amenazas de la "nube", estas tareas están dentro del poder.

Virus de arranque

Los virus de arranque se escriben en el sector de arranque del disco (sector de arranque), o en el sector que contiene el gestor de arranque del disco duro (Registro de arranque maestro), o cambian el puntero al sector de arranque activo. Este tipo de virus era bastante común en la década de 1990, pero prácticamente desapareció con la transición a los sistemas operativos de 32 bits y la negativa a utilizar disquetes como principal medio de intercambio de información. En teoría, es posible que los virus de arranque infecten los CD y las unidades flash USB, pero hasta ahora no se han encontrado tales virus.

Virus de macros

Muchos editores de hojas de cálculo y gráficos, sistemas de diseño, procesadores de texto tienen sus propios lenguajes de macros para automatizar acciones repetitivas. Estos lenguajes de macros suelen tener una estructura compleja y un rico conjunto de comandos. Los virus de macro son programas en lenguajes de macro integrados en dichos sistemas de procesamiento de datos. Para su reproducción, los virus de esta clase utilizan las capacidades de los lenguajes de macros y con su ayuda se transfieren de un archivo infectado (documento o tabla) a otros.

Virus de secuencias de comandos

Los virus de secuencias de comandos, al igual que los virus de macro, son un subgrupo de virus de archivo. Estos virus están escritos en varios lenguajes de secuencias de comandos (VBS, JS, BAT, PHP, etc.). O bien infectan otros programas de secuencias de comandos (archivos de comandos y servicios de MS Windows o Linux) o forman parte de virus de varios componentes. Además, estos virus pueden infectar archivos de otros formatos (por ejemplo, HTML), si en ellos se pueden ejecutar scripts.

Clasificación de virus según el método de infección de archivos

sobreescritores

Este método de infección es el más simple: el virus escribe su propio código en lugar del código del archivo infectado, destruyendo su contenido. Naturalmente, en este caso, el archivo deja de funcionar y no se restaura. Dichos virus se detectan muy rápidamente, ya que el sistema operativo y las aplicaciones dejan de funcionar con bastante rapidez.

Inyectar un virus al principio de un archivo

Así, cuando se inicia un archivo infectado, el código del virus es el primero en tomar el control. Al mismo tiempo, para mantener el programa en funcionamiento, los virus desinfectan el archivo infectado, lo reinician, esperan a que termine de funcionar y vuelven a escribir en su inicio (a veces se usa un archivo temporal para esto, en el que el archivo neutralizado está escrito), o restaurar el código del programa en la memoria de la computadora y configurar las direcciones necesarias en su cuerpo (es decir, duplican la operación del sistema operativo).

Inyección de virus al final de un archivo

La forma más común de inyectar un virus en un archivo es agregar el virus al final del archivo. En este caso, el virus cambia el comienzo del archivo de tal forma que los primeros comandos ejecutables del programa contenido en el archivo son los comandos del virus. Para controlar cuándo se inicia el archivo, el virus corrige la dirección de inicio del programa (la dirección del punto de entrada). Para ello, el virus realiza los cambios necesarios en la cabecera del archivo.

Inyectar un virus en medio de un archivo

Hay varios métodos para inyectar un virus en medio de un archivo. En el más simple de ellos, el virus transfiere parte del archivo a su fin o “esparce” el archivo y escribe su código en el espacio liberado. Este método es muy similar a los métodos enumerados anteriormente. Algunos virus comprimen el bloque de archivos portátiles de tal manera que la longitud del archivo no cambia durante la infección.

El segundo es el método de "cavidad", en el que el virus se escribe en áreas del archivo que obviamente no se utilizan. El virus se puede copiar en áreas de encabezado no utilizadas de un archivo EXE, en "agujeros" entre secciones de archivos EXE o en el área de mensajes de texto de compiladores populares. Hay virus que infectan solo aquellos archivos que contienen bloques llenos de algún byte constante, mientras que el virus escribe su propio código en lugar de dicho bloque.

Además, la copia del virus en el medio del archivo puede ocurrir como resultado de un error de virus, en cuyo caso el archivo puede sufrir daños irreversibles.

Virus sin punto de entrada

Por separado, debe tenerse en cuenta un grupo bastante pequeño de virus que no tienen un "punto de entrada" (virus EPO - Virus que oscurecen el punto de entrada). Estos incluyen virus que no cambian la dirección del punto de inicio en el encabezado de los archivos EXE. Dichos virus escriben un comando para cambiar a su código en algún lugar en medio del archivo y reciben el control no directamente cuando se inicia el archivo infectado, sino cuando se llama a un procedimiento que contiene el código para transferir el control al cuerpo del virus. Además, este procedimiento se puede realizar muy raramente (por ejemplo, cuando se muestra un mensaje sobre un error específico). Como resultado, el virus puede "dormir" dentro del archivo durante muchos años y salir a la libertad solo bajo ciertas condiciones limitadas.

Antes de escribir un comando para cambiar a su código en el medio del archivo, el virus debe seleccionar la dirección "correcta" en el archivo; de lo contrario, el archivo infectado puede dañarse. Existen varios métodos conocidos mediante los cuales los virus determinan dichas direcciones dentro de los archivos, por ejemplo, buscando en un archivo una secuencia de código estándar para encabezados de procedimientos de lenguaje de programación (C/Pascal), desensamblando el código del archivo o reemplazando direcciones de funciones importadas.

Virus acompañantes

Los virus complementarios son virus que no modifican los archivos infectados. El algoritmo de funcionamiento de estos virus es que se crea un archivo gemelo para el archivo infectado, y cuando se ejecuta el archivo infectado, es este gemelo, es decir, el virus, el que recibe el control.

Los virus de este tipo incluyen aquellos que, cuando se infectan, cambian el nombre del archivo a otro nombre, lo recuerdan (para el posterior lanzamiento del archivo host) y escriben su código en el disco con el nombre del archivo infectado. Por ejemplo, el archivo NOTEPAD.EXE cambia de nombre a NOTEPAD.EXD y el virus se escribe con el nombre NOTEPAD.EXE. En el inicio, el control recibe el código del virus, que luego inicia el BLOC DE NOTAS original.

Puede haber otros tipos de virus complementarios que utilicen otras ideas o características originales de otros sistemas operativos. Por ejemplo, los compañeros de PATH que colocan sus copias en el directorio principal de Windows, utilizando el hecho de que este directorio es el primero en la lista de PATH, y los archivos para el inicio de Windows se buscarán en él en primer lugar. Muchos gusanos informáticos y troyanos también utilizan este método de ejecución automática.

Enlace virus

Los virus de enlace o los virus de enlace no cambian el contenido físico de los archivos; sin embargo, cuando se inicia un archivo infectado, "obligan" al sistema operativo a ejecutar su código. Logran este objetivo modificando los campos necesarios del sistema de archivos.

gusanos de archivo

Los gusanos de archivo no asocian de ninguna manera su presencia con ningún archivo ejecutable. Cuando se reproducen, simplemente copian su código en algunos directorios del disco con la esperanza de que el usuario ejecute algún día estas nuevas copias. A veces, estos virus dan a sus copias nombres "especiales" para animar al usuario a ejecutar su copia, por ejemplo, INSTALL.EXE o WINSTART.BAT.

Algunos gusanos de archivo pueden escribir sus copias en archivos (ARJ, ZIP, RAR). Otros escriben el comando para ejecutar el archivo infectado en archivos BAT.

OBJ-, LIB-virus y virus en código fuente

Los virus que infectan bibliotecas de compiladores, módulos de objetos y códigos fuente de programas son bastante exóticos y prácticamente poco comunes. Hay alrededor de diez de ellos en total. Los virus que infectan archivos OBJ y LIB escriben su código en ellos en forma de módulo de objeto o biblioteca. Por lo tanto, el archivo infectado no es ejecutable y no puede seguir propagando el virus en su estado actual. El portador de un virus "vivo" es un archivo COM o EXE obtenido al vincular un archivo OBJ/LIB infectado con otros módulos de objetos y bibliotecas. Por lo tanto, el virus se propaga en dos etapas: los archivos OBJ/LIB se infectan en la primera etapa y se obtiene un virus viable en la segunda etapa (enlace).

La infección de los textos fuente del programa es una continuación lógica del método de propagación anterior. En este caso, el virus añade su código fuente a los textos fuente (en este caso, el virus debe contenerlo en su cuerpo) o su propio volcado hexadecimal (que técnicamente es más fácil). Un archivo infectado es capaz de propagar aún más el virus solo después de compilarlo y vincularlo.

Extensión

A diferencia de los gusanos (gusanos de red), los virus no utilizan los servicios de red para infiltrarse en otras computadoras. Una copia del virus llega a las computadoras remotas solo si el objeto infectado, por alguna razón independiente de la funcionalidad del virus, se activa en otra computadora, por ejemplo:

• al infectar discos accesibles, el virus penetró archivos ubicados en un recurso de red;
• el virus se copió a sí mismo en medios extraíbles o en archivos infectados;
• el usuario envió un correo electrónico con un archivo adjunto infectado.

En el verano de 2012, los especialistas de Kaspersky Lab elaboraron una lista de los 15 malware más destacados que dejaron huella en la historia:

• 1986 Brian: el primer virus informático; se distribuía escribiendo su propio código en el sector de arranque de los disquetes.
• En 1988, el gusano Morris infectó aproximadamente el 10% de las computadoras conectadas a Internet (es decir, unas 600 computadoras).
• 1992 Michelangelo es el primer virus en llamar la atención de los medios.
• 1995 Concept es el primer virus de macro.
• 1999 Melissa marcó el comienzo de la era de los envíos masivos de malware, lo que provocó epidemias mundiales.
• El 26 de abril de 1999 ocurrió el primer desastre informático mundial. Los programadores, quizás, no asustaron a sus hijos con el virus de Chernobyl o CIH. Según diversas fuentes, cerca de medio millón de ordenadores en todo el mundo se han visto afectados, y nunca antes las consecuencias de los brotes de virus habían sido tan masivas y acompañadas de pérdidas tan graves.
• 2003 Slammer es un gusano sin archivos que provocó una epidemia generalizada en todo el mundo.
• 2004 Cabir: el primer virus experimental para Symbian; Distribuido a través de Bluetooth.
• 2006 Leap es el primer virus para la plataforma Mac OSX.
• 2007 Storm Worm: se utilizaron por primera vez servidores de comando y control distribuidos para controlar las computadoras infectadas.
• 2008 Koobface es el primer virus que atacó deliberadamente a los usuarios de la red social Facebook.
• 2008 Conficker es un gusano informático que provocó una de las mayores epidemias de la historia, a raíz de la cual se infectaron los equipos de empresas, usuarios domésticos y organismos gubernamentales en más de 200 países.
• 2010 FakePlayer: troyano SMS para teléfonos inteligentes Android.
• 2010 Stuxnet: un gusano que lanzó un ataque dirigido a los sistemas SCADA (Control de supervisión y adquisición de datos), lo que marcó el comienzo de la era de la guerra cibernética.
• 2011 Duqu es un troyano complejo que recopila información de instalaciones industriales.
• 2012 Flame es un malware sofisticado que se usa activamente en varios países como arma cibernética. En términos de complejidad y funcionalidad, el malware supera a todos los tipos de amenazas conocidos anteriormente.

Clasificación de virus Panda Security 2010

• Evil Mac lover: Así se llama el programa de acceso remoto con el aterrador nombre HellRaiser.A. Solo afecta a los sistemas Mac y requiere permiso del usuario para instalarse en la computadora. Si la víctima lo instala, el programa tendrá acceso remoto completo a la computadora y podrá realizar una serie de funciones ... ¡hasta abrir la unidad de disco!
• Buen samaritano: Seguro que alguno ya habrá adivinado de qué se trata… Este es el archivo Bredolab.Y. Está disfrazado como un mensaje de soporte de Microsoft diciéndole que instale urgentemente un nuevo parche de seguridad para Outlook... ¡Pero tenga cuidado! Si descarga el archivo sugerido, se instalará automáticamente en su computadora una herramienta de seguridad falsa que le advertirá sobre una infección del sistema y la necesidad de comprar una u otra solución de seguridad para combatir el virus. Si paga por el programa propuesto, entonces, por supuesto, nunca lo obtendrá, no resolverá su problema y no recuperará su dinero.
• Lingüista del año: Sin duda, los tiempos son difíciles ahora... Y los piratas informáticos se ven cada vez más obligados a adaptarse a las nuevas tendencias y hacer todo lo posible para atrapar a la próxima víctima con el anzuelo. ¡Los trucos a los que están dispuestos a recurrir para engañar a los usuarios no conocen límites! Para hacer esto, incluso están listos para aprender idiomas extranjeros. Así que decidimos dar el premio al Lingüista del Año a un virus llamado MSNWorm.IE. Este virus, que en sí mismo no tiene nada de especial, se propaga a través de programas de mensajería, incitando a los usuarios a mirar cualquier foto... ¡en 18 idiomas! Aunque el smiley al final sigue siendo el universal “:D”…

Entonces, si quieres saber cómo decir "Ver la foto" en otro idioma, esta lista te ahorrará tiempo:

• Valiente: En 2010 este premio es para Stuxnet.A. Si tuviera que elegir una banda sonora para esta amenaza, sería algo así como "Misión Imposible" o "Santo". Este código malicioso fue diseñado para atacar los sistemas de control de supervisión y recopilación de datos, es decir, para infraestructuras críticas. El gusano aprovecha una falla de seguridad USB de Microsoft para obtener acceso al núcleo mismo de las plantas de energía nuclear... ¡Suena como la trama de una película de Hollywood!
• Lo más molesto: ¿Recuerdas lo que solían ser los virus? Después de infectar su computadora una vez, preguntaban constantemente: “¿Está seguro de que desea salir del programa? - ¿No precisamente?". Independientemente de tu respuesta, la misma pregunta aparecía una y otra vez: “¿Estás seguro de que quieres salir del programa?”, capaz de enfurecer hasta a un santo… Así es como el gusano más molesto de 2010, Oscarbot.YQ, obras. Una vez instalado, puedes empezar a rezar, meditar o sentarte en posición de yoga, porque te volverá loco. Cada vez que intentes cerrar el programa, verás una ventana con otra pregunta, y otra, y otra... Lo más molesto es que esto es inevitable.
• El gusano más seguro: Clippo.A. Este nombre puede recordar a algunos usuarios el nombre Clippy, el apodo de clip para el asistente de Microsoft Office. Es el más seguro de todos los gusanos existentes. Una vez instalado en su computadora, protege todos los documentos con una contraseña. Así, cuando el usuario intente reabrir el documento, no podrá hacerlo sin la contraseña. ¿Por qué el virus hace esto? ¡Lo más interesante es que así de simple! Nadie ofrece canjear la contraseña o comprar un antivirus. Solo está hecho para molestarte. Sin embargo, aquellos usuarios que han sido infectados no tienen nada de gracioso, porque. no hay síntomas visibles de infección.
• Víctima de la crisis: Ramsom.AB. La crisis económica ha afectado a muchas personas en todo el mundo, incluidos los ciberdelincuentes. Hace algunos años, los llamados "ransomware" (virus que bloquean su computadora y piden un rescate) exigieron más de $300 para desbloquearlo. Ahora, debido a la crisis, la recesión y la competencia entre los estafadores cibernéticos, a las víctimas se les ofrece volver a comprar su computadora por tan solo $12. Han llegado tiempos difíciles... incluso casi siento pena por los piratas informáticos.
• El más económico: en 2010, el ganador en esta categoría fue SecurityEssentials2010 (por supuesto, falso, no el antivirus oficial de MS). Este código malicioso actúa como cualquier otro falso antivirus. Le informa al usuario que su computadora fue atacada por virus y solo puede salvarse comprando este antivirus. El diseño del antivirus falso es muy convincente: los mensajes, las ventanas se ven muy creíbles. ¡Así que ten cuidado! Y no confíes en mi palabra.

El virus Anna Kournikova recibió su nombre por una razón: los destinatarios pensaron que estaban subiendo fotos de una tenista sexy. El daño financiero del virus no fue el más significativo, pero el virus se hizo muy popular en la cultura popular, en particular, se menciona en uno de los episodios de la serie Friends de 2002.

2 Sasser (2004)

En abril de 2004, Microsoft lanzó un parche para el servicio del sistema LSASS (Servidor de autenticación de seguridad local). Un poco más tarde, un adolescente alemán lanzó el gusano Sasser, que aprovechó esta vulnerabilidad en máquinas no actualizadas. Numerosas variaciones del Sasser han aparecido en las redes de aerolíneas, empresas de transporte e instalaciones médicas, causando daños por $ 18 mil millones.

3 Melissa (1999)

Nombrado en honor a una stripper de Florida, el virus Melissa fue diseñado para propagarse mediante el envío de código malicioso a los 50 contactos principales en la libreta de direcciones de Microsoft Outlook de la víctima. El ataque fue tan exitoso que el virus infectó el 20 por ciento de las computadoras en todo el mundo y causó daños por valor de 80 millones de dólares.

El creador del virus, David L. Smith, fue arrestado por el FBI, pasó 20 meses en prisión y pagó una multa de $5,000.

Si bien la mayoría del malware en nuestra lista causó problemas, Zeus (también conocido como Zbot) fue originalmente una herramienta utilizada por un grupo del crimen organizado.

El troyano utilizó técnicas de phishing y registro de teclas para robar las cuentas bancarias de las víctimas. El malware robó con éxito $ 70 millones de las cuentas de las víctimas.

5 Tormenta de Troya (2007)

Storm Trojan se ha convertido en una de las amenazas de más rápido crecimiento, tres días después de su lanzamiento en enero de 2007, alcanzó una tasa de infección del 8% en las computadoras de todo el mundo.

El troyano creó una botnet masiva de 1 a 10 millones de computadoras y, debido a su arquitectura de cambio de código cada 10 minutos, Storm Trojan demostró ser un malware muy persistente.

El gusano ILOVEYOU (Letter of Happiness) se hizo pasar por un archivo de texto de un fan.

De hecho, la carta de amor representaba un grave peligro: en mayo de 2000, la amenaza se extendió al 10 por ciento de las computadoras conectadas a la red, lo que obligó a la CIA a cerrar sus servidores para evitar una mayor propagación. Los daños se estiman en $ 15 mil millones.

7 Sir cam (2001)

Al igual que muchos de los primeros scripts maliciosos, Sircam utilizó técnicas de ingeniería social para obligar a los usuarios a abrir un archivo adjunto de correo electrónico.

El gusano usó archivos aleatorios de Microsoft Office en la computadora de la víctima, los infectó y envió un código malicioso a los contactos de la libreta de direcciones. Según un estudio de la Universidad de Florida, Sircam causó $ 3 mil millones en daños.

8. Nimda (2001)

Lanzado tras los ataques del 11 de septiembre de 2001, el gusano Nimda ha sido ampliamente atribuido a al-Qaeda, pero esto nunca ha sido probado, e incluso el Fiscal General John Ashcroft ha negado cualquier conexión con la organización terrorista.

La amenaza se propagó a lo largo de varios vectores y provocó la caída de redes bancarias, redes de tribunales federales y otras redes informáticas. Los costos de limpieza de Nimda superaron los $ 500 millones en los primeros días.

Con solo 376 bytes, el gusano SQL Slammer contenía mucha destrucción en una carcasa compacta. El gusano destruyó Internet, los centros de llamadas de emergencia, 12,000 cajeros automáticos de Bank of America y desconectó la mayor parte de Corea del Sur. El gusano también pudo deshabilitar el acceso a la web global en una planta de energía nuclear en Ohio.

10 Miguel Ángel (1992)

El virus Michaelangelo se propagó a un número relativamente pequeño de computadoras y causó pocos daños reales. Sin embargo, el concepto de un virus que suponía “hacer explotar la computadora” el 6 de marzo de 1992 provocó una histeria masiva entre los usuarios, que se repitió todos los años en esta fecha.

11 Código rojo (2001)

El gusano Code Red, llamado así por una variante de la bebida Mountain Dew, infectó un tercio de la suite de servidores web Microsoft IIS después de su lanzamiento.

Pudo romper whitehouse.gov reemplazando la página principal con el mensaje "¡Hackeado por chinos!". El daño de las acciones de Code Red en todo el mundo se estima en miles de millones de dólares.

12. Criptobloqueo (2014)

En las computadoras infectadas con Cryptolocker, los archivos importantes se cifraron y se solicitó un rescate. Los usuarios que pagaron a los piratas informáticos más de $ 300 millones en bitcoins obtuvieron acceso a la clave de cifrado, el resto perdió el acceso a los archivos para siempre.

El troyano Sobig.F infectó más de 2 millones de computadoras en 2003, paralizando Air Canada y ralentizando las redes informáticas en todo el mundo. El malware resultó en $37.1 mil millones en costos de limpieza, una de las campañas de recuperación más caras de todos los tiempos.

14. Calaveras.A (2004)

Skulls.A (2004) es un troyano móvil que infecta Nokia 7610 y otros dispositivos SymbOS. El malware fue diseñado para cambiar todos los íconos en los teléfonos inteligentes infectados al ícono de Jolly Roger y deshabilitar todas las funciones del teléfono inteligente excepto para hacer y recibir llamadas.

Según F-Secure Skulls.A causó daños menores, pero el troyano era insidioso.

15. Stuxnet (2009)

Stuxnet es uno de los virus de guerra cibernética más famosos. Creado como un esfuerzo conjunto entre Israel y los Estados Unidos, Stuxnet apuntó a los sistemas de enriquecimiento de uranio de Irán.

Las computadoras infectadas controlaron las centrífugas hasta que fueron destruidas físicamente e informaron al operador que todas las operaciones se desarrollaban normalmente.

En abril de 2004, TechRepublic nombró a MyDoom como la "peor infección de todos los tiempos", por una buena razón. El gusano aumentó los tiempos de carga de las páginas en un 50 por ciento, impidió que las computadoras infectadas accedieran a sitios de software antivirus y lanzó ataques contra el gigante informático Microsoft, lo que provocó la denegación de servicios.

La campaña de limpieza MyDoom costó $40 mil millones.

17. Netsky (2004)

El gusano Netsky, creado por el mismo adolescente que desarrolló Sasser, vagaba por el mundo a través de archivos adjuntos de correo electrónico. La versión P de Netsky fue el gusano más común en el mundo dos años después de su lanzamiento en febrero de 2004.

18. Conficker (2008)

El gusano Conficker (también conocido como Downup, Downadup, Kido) se descubrió por primera vez en 2008 y fue diseñado para desactivar los programas antivirus en las computadoras infectadas y bloquear las actualizaciones automáticas que podrían eliminar la amenaza.

Conficker se propagó rápidamente a través de múltiples redes, incluidas las de las agencias de defensa del Reino Unido, Francia y Alemania, causando daños por $ 9 mil millones.

Virus informáticos- programas especiales creados por atacantes para obtener algún beneficio. El principio de su funcionamiento puede ser diferente: roban información o alientan al usuario a realizar algunas acciones en beneficio de los atacantes, por ejemplo, recargar una cuenta o enviar dinero.
Hoy en día hay muchos virus diferentes. Los principales serán discutidos en este artículo.

Gusano es un programa malicioso cuyo propósito es llenar la computadora con todo tipo de basura para que se vuelva lenta y torpe. El gusano puede reproducirse, pero no puede ser parte del programa. La mayoría de las veces, la infección con este virus ocurre a través de correos electrónicos.

troyano (troyano, caballo de Troya)- Este programa justifica plenamente su nombre. Se infiltra en otros programas y se esconde allí hasta que se inicia el programa anfitrión. Hasta que se inicie el programa anfitrión, el virus no puede causar daño. En la mayoría de los casos, se utiliza un caballo de Troya para eliminar, modificar o robar datos. Los troyanos no pueden reproducirse por sí solos.

software espía- estos Stirlitz recopilan información sobre el usuario y sus acciones. En la mayoría de los casos, roban información confidencial: contraseñas, direcciones, números de tarjeta/cuenta, etc.
Zombies: este nombre se le dio a los programas maliciosos porque en realidad hacen una máquina "floja" de una computadora, obedeciendo a los intrusos. En pocas palabras, las personas malintencionadas pueden controlar la computadora de alguien con este malware. La mayoría de las veces, el usuario ni siquiera sabe que su computadora ya no es solo suya.

Programa bloqueador (banner)- estos programas bloquean el acceso al sistema operativo. Cuando se enciende la computadora, el usuario ve una ventana emergente en la que generalmente se le acusa de algo: infracción de derechos de autor o descarga de software pirateado. Además, existen amenazas de eliminación completa de toda la información de la computadora. Para evitar esto, el usuario debe recargar la cuenta de un determinado teléfono o enviar un SMS. Solo que ahora, incluso si el usuario realiza todas estas operaciones, el banner de amenaza no irá a ninguna parte.

Virus de arranque- presione el sector de arranque del disco duro (disco duro). Su objetivo es ralentizar significativamente el proceso de carga del sistema operativo. Después de una larga exposición a estos virus en la computadora, existe una alta probabilidad de que el sistema operativo no se cargue en absoluto.

Explotar- Estos son programas especiales que utilizan los atacantes para penetrar en el sistema operativo a través de sus vulnerabilidades, lugares desprotegidos. Se utilizan para infiltrarse en programas que roban información necesaria para obtener derechos de acceso a una computadora.

Suplantación de identidad- este es el nombre de la acción cuando el atacante envía correos electrónicos a sus víctimas. Las cartas suelen contener una solicitud de confirmación de datos personales: nombre completo, contraseñas, códigos PIN, etc. Así, un hacker puede hacerse pasar por otra persona y, por ejemplo, retirar todo el dinero de su cuenta.

software espía- programas que envían datos del usuario a terceros sin su conocimiento. Los espías se dedican a estudiar el comportamiento del usuario y sus lugares favoritos en Internet, para luego mostrar anuncios que definitivamente serán de su interés.

rootkit- herramientas de software que permiten a un atacante penetrar libremente en el software de la víctima y luego ocultar completamente todos los rastros de su presencia.
Los virus polimórficos son virus que se camuflan y reencarnan. Mientras trabajan, pueden cambiar su propio código. Y por lo tanto son muy difíciles de detectar.

virus informático- un programa que se une a otros programas e interrumpe su trabajo. A diferencia de un troyano, un virus informático puede replicarse y, a diferencia de un gusano, necesita un programa que se “pegue” a él para funcionar correctamente.
Así, podemos decir que un programa malicioso (Malware) es cualquier programa que fue creado para brindar acceso a una computadora y la información almacenada en ella sin el permiso del propietario de esta computadora. El propósito de tales acciones es dañar o robar cualquier información. El término "Malware" es genérico para todos los virus existentes. Vale la pena recordar que un programa que ha sido infectado con un virus ya no funcionará correctamente. Por lo tanto, debe ser eliminado y luego reinstalado.

Virus de computadora- un tipo de software malicioso que puede infiltrarse en el código de otros programas, áreas de memoria del sistema, sectores de arranque y distribuir sus copias a través de varios canales de comunicación.

El objetivo principal de un virus es propagarlo. Además, a menudo su función concomitante es interrumpir el funcionamiento de los sistemas de hardware y software: eliminar archivos e incluso eliminar el sistema operativo, inutilizar las estructuras de datos, bloquear el trabajo del usuario, etc. Incluso si el autor del virus no ha programado efectos dañinos , el virus puede provocar fallas en la computadora debido a errores, sin tener en cuenta las sutilezas de la interacción con el sistema operativo y otros programas. Además, los virus tienden a ocupar espacio de almacenamiento y consumir recursos del sistema.

En la vida cotidiana, los "virus" se denominan todo el malware, aunque en realidad este es solo un tipo de él.

Historia

Los cimientos de la teoría de los mecanismos de autorreproducción fueron establecidos por John von Neumann, un estadounidense de origen húngaro, quien en 1951 propuso un método para crear tales mecanismos. Se conocen ejemplos prácticos de tales programas desde 1961.

Los primeros virus conocidos son Virus 1,2,3 y Elk Cloner para PC Apple II, que aparecieron en 1981. En el invierno de 1984, aparecieron las primeras utilidades antivirus: CHK4BOMB y BOMBSQAD de Andy Hopkins (ing. Andy Hopkins). A principios de 1985, Gee Wong escribió el programa DPROTECT, el primer antivirus residente.

Las primeras epidemias de virus datan de -1989: Cerebro (distribuido en los sectores de arranque de disquetes, provocó la mayor epidemia), Jerusalén(se manifestó el viernes 13 de mayo de 1988, destruyendo programas cuando se lanzaron), el gusano Morris (más de 6200 computadoras, la mayoría de las redes estuvieron fuera de servicio por hasta cinco días), DATACRIME (alrededor de 100 mil PC infectadas solo en los Países Bajos) .

Al mismo tiempo, tomaron forma las principales clases de virus binarios: gusanos de red (Morris worm, 1987), caballos de Troya (AIDS, 1989), virus polimórficos (Chameleon, 1990), virus sigilosos (Frodo, Whale, 2ª mitad de 1990 ).

Paralelamente, están tomando forma movimientos organizados tanto de orientación antivirus como antivirus: en 1990, apareció un BBS Virus Exchange especializado, el "Little Black Book of Computer Viruses" de Mark Ludwig, el primer antivirus comercial Symantec Norton AntiVirus.

Además, los virus monolíticos están dando paso en gran medida a conjuntos de malware separados por roles y auxiliares (troyanos, descargadores/cuentagotas, sitios de phishing, spambots y arañas). Las tecnologías sociales (spam y phishing) también están prosperando como medios de infección que eluden los mecanismos de protección del software.

En sus inicios, basados ​​en troyanos, y con el desarrollo de las tecnologías de red p2p -y de forma independiente- está cobrando fuerza el tipo de virus más moderno - los gusanos botnet (Rustock, 2006, unos 150 mil bots; Conficker, 2008-2009, más de 7 millones de bots; Kraken, 2009, unos 500 mil bots). Los virus, entre otro software malicioso, finalmente se formalizan como medios de ciberdelincuencia.

Etimología del nombre

Un virus informático lleva el nombre de virus biológicos por un mecanismo de propagación similar. Aparentemente, el primer uso de la palabra "virus" en relación con el programa fue utilizado por Gregory Benford (Gregory Benford) en la historia de fantasía "The Scarred Man", publicada en la revista Venture en mayo de 1970.

El término "virus informático" fue posteriormente "descubierto" y redescubierto más de una vez. Así, la variable de la subrutina PERVADE(), cuyo valor determinaba si el programa ANIMAL se distribuiría en disco, se denominó VIRUS. Joe Dellinger también llamó virus a sus programas, y esto fue probablemente lo que primero se etiquetó correctamente como virus.

Definicion formal

No existe una definición generalmente aceptada de virus. En el ámbito académico, el término fue utilizado por Fred Cohen en su obra "Experimentos con virus informáticos", donde él mismo atribuye la autoría del término a Leonard Adleman.

Formalmente, Fred Cohen define el virus con referencia a la máquina de Turing de la siguiente manera:

M: (S M , YO M , O M: S M x YO M > YO M , N M: S M x I M > S M , D M: S M x I M > d)

con un conjunto dado de estados SM, el conjunto de símbolos de entrada SOY y mapeos (OM, NM, DM), que en base a su estado actual s ∈ S M y carácter de entrada yo ∈ yo M, leído de la cinta semi-infinita, determina: el símbolo de salida o ∈ YO M para la grabación de cintas, el siguiente estado de la máquina s" ∈ SM y movimiento a lo largo de la cinta re ∈ (-1,0,1).

para esta maquina METRO secuencia de caracteres v: v yo ∈ yo M puede ser considerado un virus si y solo si el procesamiento de la secuencia v En el momento t implica que en uno de los siguientes momentos de tiempo t subsecuencia v'(no se superpone con v) existe en la cinta, y esta secuencia v' fue grabado METRO en el punto t' acostado entre t Y t″:

∀ C METRO ∀ t ∀ j: S METRO (t) = S METRO 0 ∧ PAGS METRO (t) = j ∧ ( C METRO (t, j) … C METRO (t, j + |v| - 1)) = v ⇒ ∃ v" ∃ j" ∃ t" ∃ t": t< t" < t" ∧ {j" … j" +|v"|} ∩ {j … j + |v|} = ∅ ∧ { C M (t", j") … C M (t", j" + |v"| - 1)} = v" ∧ P M (t") ∈ { j" … j" + |v"| - 1 }

• t ∈ norte el número de operaciones básicas de "movimiento" realizadas por la máquina
• P M ∈ norte número de posición en la cinta de la máquina en ese momento t
• S M 0 estado inicial de la máquina
• C M (t, c) contenido de la celda C En el momento t

Esta definición se dio en el contexto del conjunto viral. VS = (M, V)- un par formado por una máquina de Turing METRO y un conjunto de secuencias de caracteres V: v, v" ∈ V. De esta definición se deduce que el concepto de virus está indisolublemente ligado a su interpretación en un contexto o entorno determinado.

Fred Cohen ha demostrado que "cualquier secuencia de caracteres autorreproductiva: un VS singleton, según el cual hay un número infinito contra, y no- contra, para el cual hay máquinas para las que todas las secuencias de caracteres son virus, y máquinas para las que ninguna de las secuencias de caracteres es virus, permite entender cuándo cualquier secuencia finita de caracteres es virus para alguna máquina. También prueba que, en general, la cuestión de si un par dado es (M, X) : X yo ∈ yo METRO virus es indecidible (es decir, no existe un algoritmo que pueda identificar de forma fiable todos los virus) por los mismos medios por los que se demuestra que el problema de detención es indecidible.

Otros investigadores han demostrado que hay tipos de virus (virus que contienen una copia de un programa de detección de virus) que ningún algoritmo puede detectar con precisión.

Clasificación

Ahora hay muchas variedades de virus que difieren en el método principal de distribución y funcionalidad. Si inicialmente los virus se propagaban en disquetes y otros medios, ahora dominan los virus que se propagan a través de redes locales y globales (Internet). La funcionalidad de los virus, que adoptan de otro tipo de programas, también está creciendo.

A través de Internet, redes locales y medios extraíbles.

Mecanismo

Los virus se propagan copiando su cuerpo y asegurando su posterior ejecución: incrustándose en el código ejecutable de otros programas, reemplazando otros programas, registrándose en ejecución automática a través del registro, y más. Un virus o su portador pueden ser no solo programas que contengan código de máquina, sino también cualquier información que contenga comandos ejecutables automáticamente, como archivos por lotes y documentos de Microsoft Word y Excel que contengan macros. Además, para penetrar en una computadora, un virus puede usar vulnerabilidades en software popular (por ejemplo, Adobe Flash, Internet Explorer, Outlook), para lo cual los distribuidores lo incrustan en datos ordinarios (imágenes, textos, etc.) junto con un exploit que utiliza la vulnerabilidad.

Una vez que un virus se ha infiltrado con éxito en el código de un programa, archivo o documento, permanecerá inactivo hasta que las circunstancias obliguen a la computadora o dispositivo a ejecutar su código. Para que un virus infecte su computadora, debe ejecutar el programa infectado, lo que, a su vez, conducirá a la ejecución del código del virus. Esto significa que el virus puede permanecer latente en la computadora sin ningún síntoma de infección. Sin embargo, una vez que el virus hace efecto, puede infectar otros archivos y computadoras en la misma red. Dependiendo de los objetivos del programador de virus, los virus causan daños menores o tienen un efecto destructivo, como la eliminación de datos o el robo de información confidencial.

Canales

• Disquetes. El canal de infección más común en la década de 1980-1990. Ahora es prácticamente inexistente debido a la aparición de canales más comunes y eficientes y la falta de unidades de disquete en muchas computadoras modernas.
• Unidades flash ("unidades flash"). Actualmente, las unidades USB están reemplazando a los disquetes y repitiendo su destino: una gran cantidad de virus se propagan a través de unidades extraíbles, incluidas cámaras digitales, videocámaras digitales, reproductores digitales portátiles y, desde la década de 2000, los teléfonos móviles, especialmente los teléfonos inteligentes, han desempeñado un papel cada vez más importante. (han aparecido teléfonos móviles). virus). Anteriormente, el uso de este canal se basaba principalmente en la capacidad de crear un archivo autorun.inf especial en una unidad, en el que puede especificar el programa que inicia el Explorador de Windows cuando se abre la unidad. En Windows 7, se ha deshabilitado la capacidad de ejecutar automáticamente archivos desde medios portátiles.
• Correo electrónico . Por lo general, los virus en los correos electrónicos se disfrazan de archivos adjuntos inofensivos: imágenes, documentos, música, enlaces a sitios web. De hecho, es posible que algunos correos electrónicos solo contengan enlaces, es decir, es posible que las cartas en sí mismas no contengan código malicioso, pero si abre dicho enlace, puede acceder a un sitio web especialmente creado que contiene código de virus. Muchos virus de correo, una vez que ingresan a la computadora de un usuario, usan la libreta de direcciones de los clientes de correo instalados, como Outlook, para enviarse más.
• Sistemas de mensajería instantánea. También es común aquí enviar enlaces a supuestas fotos, música o programas que en realidad son virus a través de ICQ y otros programas de mensajería instantánea.
• Páginas web. También es posible infectar a través de páginas de Internet debido a la presencia en las páginas de la World Wide Web de varios contenidos "activos": scripts, componentes ActiveX. En este caso, se utilizan vulnerabilidades de software instaladas en la computadora del usuario o vulnerabilidades en el software del propietario del sitio (que es más peligroso, ya que los sitios respetables con un gran flujo de visitantes están expuestos a infecciones), y los usuarios desprevenidos, que han accedido a dicho sitio. , corren el riesgo de infectar su computadora .
• Internet y redes locales (gusanos). Los gusanos son un tipo de virus que se infiltran en la computadora de la víctima sin la intervención del usuario. Los gusanos usan los llamados "agujeros" (vulnerabilidades) en el software del sistema operativo para infiltrarse en una computadora. Las vulnerabilidades son errores y fallas en el software que permiten la descarga y ejecución remota de código de máquina, como resultado de lo cual un gusano ingresa al sistema operativo y, por regla general, comienza a infectar otras computadoras a través de una red local o Internet. Los atacantes usan las computadoras de los usuarios infectados para enviar spam o para ataques DDoS.

Anti-detección

Prevención y tratamiento

Por el momento, hay muchos programas antivirus que se utilizan para evitar que los virus entren en la PC. Sin embargo, no hay garantía de que puedan hacer frente a los últimos desarrollos. Por lo tanto, se deben tomar algunas precauciones, en particular:

1. No trabaje con cuentas privilegiadas a menos que sea absolutamente necesario (cuenta de administrador en Windows).
2. No ejecute programas desconocidos de fuentes dudosas.
3. Intente bloquear la posibilidad de modificación no autorizada de los archivos del sistema.
4. Deshabilite la funcionalidad del sistema potencialmente peligrosa (por ejemplo, medios de ejecución automática en MS Windows, ocultar archivos, sus extensiones, etc.).
5. No vaya a sitios sospechosos, preste atención a la dirección en la barra de direcciones del navegador.
6. Use solo distribuciones confiables.
7. Realice constantemente copias de seguridad de los datos importantes, preferiblemente en medios que no se borren (por ejemplo, BD-R) y tenga una imagen del sistema con todas las configuraciones para una implementación rápida.
8. Realice actualizaciones periódicas de los programas de uso frecuente, especialmente aquellos que brindan seguridad al sistema.

Economía

También se denominan millones e incluso miles de millones de daños por la acción de virus y gusanos. Tales declaraciones y evaluaciones deben tratarse con precaución: las cantidades de daños según las estimaciones de varios analistas difieren (a veces en tres o cuatro órdenes de magnitud) y no se proporcionan métodos de cálculo.

Criminalización

Al creador del virus Puntuaciones, quien causó daños a los usuarios de Macintosh en 1988, no fue acusado porque sus acciones no se enmarcaban en la ley entonces existente en los Estados Unidos. Ley de Abuso y Fraude Informático u otras leyes. Este caso llevó al desarrollo de una de las primeras leyes relacionadas con los virus informáticos: Ley de Erradicación de Virus Informáticos(1988). Del mismo modo, el creador del virus más destructivo, ILOVEYOU, escapó del castigo en 2000 debido a la ausencia de leyes al respecto en Filipinas.

La creación y distribución de malware (incluidos los virus) se procesa en algunos países como un tipo de delito separado: en Rusia según el Código Penal de la Federación Rusa (), en EE. UU. según Ley de Abuso y Fraude Informático, en Japón