Распространение компьютерных вирусов как информационное оружие правовое регулирование

Обновлено: 06.07.2024

В судебно-следственной практике, пожалуй, наибольшее распространение получило признание вредоносными компьютерных программ, которые заведомо предназначены для генерации кода установки (серийного номера) и кода активации, запрашиваемых при установке лицензионных программных продуктов (KEYGEN.exe и др.). Так, Розов был осужден по ч. 2 ст. 146 УК РФ и ч. 1 ст. 273 УК РФ. Согласно приговору суда Розов, находясь в помещении общества с ограниченной ответственностью, из корыстной заинтересованности выполнил несанкционированное копирование (установку) с неустановленного следствием носителя информации программного продукта AutoCAD-2014 на системный блок электронно-вычислительной машины, принадлежащей организации, и для достижения работоспособности указанного программного продукта незаконно использовал вредоносную компьютерную программу X-Force с неустановленного следствием носителя информации[5].

Сравнительно реже правоохранительные органы выявляют случаи использования "компьютерных вирусов", "троянов" и т.п. Так, например, Маликов был осужден по ч. 1 ст. 273 УК РФ. В соответствии с приговором суда Маликов, обладая специальными познаниями в области работы с компьютерными программами, действуя умышленно, находясь по месту жительства, приобрел путем копирования с неустановленных интернет-ресурсов компьютерные программы, заведомо предназначенные для несанкционированного копирования компьютерной информации, после чего посредством принадлежащего ему компьютерного оборудования, а также находящихся в его пользовании хостинговых сервисов (серверов для хранения информации в сети Интернет) использовал указанные вредоносные компьютерные программы для заражения 50 компьютеров неустановленных пользователей сети Интернет и построения из них контролируемой сети, в результате чего без ведома и согласия указанных пользователей скопировал хранящуюся в памяти зараженных устройств компьютерную информацию, содержащую сведения о логинах и паролях авторизации пользователей на различных интернет-ресурсах, которую планировал использовать в личных целях. Согласно заключению эксперта на жестком диске персонального компьютера Маликова обнаружены комплексы вредоносного программного обеспечения, построенного на использовании вирусов типа "троян" ("троянская программа")[6].

Пункт 2 Правил оказания телематических услуг связи, утвержденных Постановлением Правительства Российской Федерации от 10 сентября 2007 г. N 575, вредоносное программное обеспечение раскрывает как целенаправленно приводящее к нарушению законных прав абонента и (или) пользователя, в том числе к сбору, обработке или передаче с абонентского терминала информации без согласия абонента и (или) пользователя, либо к ухудшению параметров функционирования абонентского терминала или сети связи[9].

К.Н. Евдокимов делает вывод, что "вредоносными программами могут быть и обычные лицензионные компьютерные программы в случае их использования при совершении преступного деяния и достижения вредных последствий, указанных в ст. 273 УК РФ"[10]. Полагаем, что автор необоснованно смешивает вредоносные программы и легальное программное обеспечение, которое достаточно часто используется при совершении посягательств на объекты уголовно-правовой охраны. Известно, что многие разрешенные к обороту программные продукты применяются злоумышленниками для совершения преступлений. Так, например, программы для записи дисков (InfraRecoder, BurnAware, Nero и др.) используются злоумышленниками для изготовления контрафактной продукции (неправомерного копирования информации), программное обеспечение для удаленного администрирования (RDP, VNC, DameWare, TeamViewer, Remote Office Manager, Hamachi и т.д.) довольно часто применяется при совершении хищений, связанных с неправомерным вмешательством в системы дистанционного банковского обслуживания. Вместе с тем вредоносными их признавать нельзя, поскольку такие программы по факту остаются аутентичными, сохраняют стандартный набор настроек и возможностей, заложенный разработчиком.

Другое дело, когда центральную часть легальной программы (так называемый "движок") приспосабливают для совершения конкретных преступлений. Например, для незаконного пополнения баланса проездных билетов злоумышленник использует одну из многих компьютерных программ, предназначенных для записи информации с одного носителя на другой, но меняет ее интерфейс таким образом, чтобы можно было выбрать перевозчика, количество поездок, срок действия и т.п. В этом случае, на наш взгляд, можно говорить о наличии признаков изготовления вредоносной компьютерной программы, поскольку в окончательном виде полученное программное обеспечение обладает уже другими характеристиками, напрямую указывающими на ее предназначение для осуществления противоправной деятельности. Так, например, Сергеев Е.А. был осужден за совершение преступлений, предусмотренных ч. 3 ст. 30, п. "а" ч. 2 ст. 165 УК РФ, ч. 2 ст. 272 УК РФ и ч. 2 ст. 273 УК РФ. Согласно материалам дела Сергеев Е.А. использовал нелегальную компьютерную программу Troyka.exe для несанкционированной модификации компьютерной информации на проездных билетах "Тройка" и "Единый" о якобы оплаченных ГУП "Мосгортранс" поездках путем неправомерного доступа к записанной на них информации[11].

Однако этот подход к квалификации подобного рода деятельности вызывает определенные сомнения. Прежде всего описание алгоритма на естественном языке, а не на языке программирования, выступает лишь одним из этапов создания программы. В связи с этим напрашивается закономерный вывод, что сама по себе идея (концепция, проект и т.п.) вредоносной программы, выраженная на листе бумаге, не есть программа как таковая. Не станем же мы оценивать как оконченное изготовление оружия создание его сборочного чертежа с разнесенными составными частями (взрыв-схемы)? Таким образом, определение целей компьютерного вируса, разработка его алгоритма и последующие действия по программированию правильнее оценивать как покушение на создание вредоносной программы. Создание вредоносной компьютерной программы следует считать оконченным с момента придания ей такого состояния, при котором она уже обладает соответствующим деструктивным функционалом (вредоносными свойствами) и пригодна для использования.

Самостоятельным и значимым вопросом является квалификация действий лица, которое осуществляет распространение вредоносной компьютерной программы (ст. 273 УК РФ) под контролем сотрудников оперативно-разыскных подразделений (при этом не важно, осуществлялась ли проверочная закупка в виртуальном или физическом пространстве). В разрешении данной проблемы нельзя оставить без внимания изменение Верховным Судом Российской Федерации позиции в части юридической оценки сбыта наркотических средств. В соответствии с новым разъяснением изъятие сотрудниками правоохранительных органов из незаконного оборота наркотиков при проведении проверочной закупки не влияет на квалификацию преступления как оконченного[14]. Ранее идея о том, что проведение оперативно-розыскного мероприятия не может и не должно оказывать влияние на признание сбыта наркотических средств оконченным, последовательно обосновывалась в доктрине уголовного права[15].

Полагаем, что подход к квалификации преступлений, связанных со сбытом запрещенных в свободном обороте объектов (наркотических средств, оружия, вредоносных компьютерных программ и т.д.), должен быть унифицированным. В связи с этим распространение вредоносного программного обеспечения при проведении проверочной закупки с учетом последних разъяснений Пленума Верховного Суда Российской Федерации, на наш взгляд, следует оценивать как оконченное преступление.

И, наконец, отдельно следует упомянуть о возможных проблемах квалификации еще одного компьютерного преступления, связанного с оборотом вредоносного программного обеспечения. Речь идет о вступившей в силу с 1 января 2018 г. уголовно-правовой норме об ответственности за неправомерное воздействие на критическую информационную инфраструктуру Российской Федерации (ст. 274.1 УК РФ). Предметом преступления, предусмотренного ч. 1 ст. 274.1 УК РФ, является компьютерная информация или компьютерные программы, заведомо предназначенные для совершения компьютерных атак на объекты критической информационной инфраструктуры. Вместе с тем нельзя не отметить, что установление данного признака на практике может вызвать значительные затруднения. Функциональная направленность вредоносной программы, то есть ее предназначение именно для посягательств на соответствующие объекты, может быть установлена только в случае уникальности средств и технологий программной защиты объектов критической информационной инфраструктуры, что представляется маловероятным.

Литература

2. Дворецкий М.Ю. Преступления в сфере компьютерной информации: понятие, система, проблемы квалификации и наказания: Монография / М.Ю. Дворецкий. Тамбов: Изд-во ТГУ, 2003. 197 с.

3. Евдокимов К.Н. Создание, использование и распространение вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты: Монография / К.Н. Евдокимов. Иркутск: Изд-во Иркутского юридического ин-та (фил.) Акад. Генеральной прокуратуры РФ, 2013. 267 с.

Также рекомендуется Вам:

4. Ефремова М.А. Уголовная ответственность за преступления, совершаемые с использованием информационно-коммуникационных технологий: Монография / М.А. Ефремова. М.: Юрлитинформ, 2015. 194 с.

[2] СЗ РФ. 2009. N 13. 30 марта. Ст. 1460.

[3] ГОСТ Р 50922-2006. Защита информации. Основные термины и определения. М.: Стандартинформ, 2008.

[5] Приговор Александровского городского суда Владимирской области от 19 августа 2015 г. по делу N 1-82/2015.

[6] Приговор Андроповского районного суда Ставропольского края от 6 апреля 2017 г. по делу N 1-31/2017.

[9] СЗ РФ. 2007. N 38. 17 сент. Ст. 4552.

[10] Евдокимов К.Н. Создание, использование и распространение вредоносных компьютерных программ: уголовно-правовые и криминологические аспекты: Монография. Иркутск, 2013. С. 60.

[11] Приговор Останкинского районного суда г. Москвы от 4 декабря 2017 г. по делу N 1-507/17.

[13] Методические рекомендации Генеральной прокуратуры Российской Федерации по осуществлению прокурорского надзора за исполнением законов при расследовании преступлений в сфере компьютерной информации. М., 2013. С. 9.

[14] Постановление Пленума Верховного Суда Российской Федерации от 30 июня 2015 г. N 30 "О внесении изменений в Постановление Пленума Верховного Суда Российской Федерации от 15 июня 2006 г. N 14 "О судебной практике по делам о преступлениях, связанных с наркотическими средствами, психотропными, сильнодействующими и ядовитыми веществами" // Российская газета. 2015. 10 июля.

[16] Приговор Ноябрьского городского суда Ямало-Ненецкого автономного округа от 11 апреля 2012 г. по делу N 1-133/2012.

Компьютеры Windows и Mac, ноутбуки, смартфоны и планшеты находятся под постоянной угрозой заражения растущим количеством вредоносных программ и других угроз безопасности.

В качестве первого шага для защиты своих устройств и своих действий в Интернете стоит убедиться, что вы хорошо осведомлены об основных категориях вредоносного ПО и других угроз.

Что такое вредоносное ПО?

Под вредоносной программой подразумевается любая программа, созданная для выполнения любого несанкционированного — и, как правило, вредоносного — действия на устройстве пользователя. Примеры вредоносных программ: Компьютерные вирусы

вирусы;
макровирусы для Word и Excel;
загрузочные вирусы;
скрипт-вирусы, включая batch-вирусы, заражающие оболочку ОС Windows, Java-приложения и т.д.;
клавиатурные шпионы;
программы для кражи паролей;
троянцы-бэкдоры;
crimeware — вредоносные программы, созданные для автоматизации совершения финансовых преступлений;
шпионские программы;
рекламные программы и другие типы вредоносных программ

Чем вирус отличается от червя?

Компьютерные вирусы это вредоносные программы, которые могут воспроизводить сами себя и заражать файл за файлом на компьютере, а также может распространяться с одного компьютера на другой.

Обычно компьютерные вирусы запрограммированы на выполнение разрушающих действий, таких как повреждение или удаление данных.

Чем дольше вирус остается необнаруженным на компьютере, тем больше файлов он заразит.

Черви, как правило, считаются разновидностью компьютерных вирусов, но с некоторыми отличиями:

Червь – это вредоносная программа, которая многократно копирует сама себя, но не наносит прямого вреда безопасности.

Червь, однажды попавший на компьютер, будет искать способы распространения на другие компьютеры и носители.

Если вирус является фрагментом программного кода, добавляющимся к обычным файлам, червь – это самостоятельная программа.

Дополнительную информацию о компьютерных вирусах и червях читайте в статье «Что такое компьютерный вирус и компьютерный червь?»

Что такое троянская программа?

Троянская программа— разновидность вредоносного ПО, проникающая в компьютер под видом легального программного обеспечения и после своего запуска выполняющая вредоносные действия.

В отличие от вирусов и червей троянские программы не умеют распространяться самостоятельно.

Как правило, троянцы тайно загружаются в компьютер пользователя и начинают осуществлять несанкционированные им вредоносные действия.

Киберпреступники используют множество троянских программ разных типов, каждый из которых предназначен для выполнения особой вредоносной функции. Наиболее распространены:

Бэкдоры (в их состав часто входят программы-кейлоггеры);
троянские шпионские программы;
троянские программы для кражи паролей;

троянские прокси-серверы, которые преобразуют ваш компьютер в средство распространение спама.

Дополнительную информацию о троянских программах читайте в статье «Что такое троянская программа?»

Почему троянские программы называются «троянскими»?

В греческой мифологии во время Троянской войны греки пошли на хитрость, чтобы проникнуть в город Трою. Они построили огромного деревянного коня и преподнесли его в подарок жителям Трои, а те, не зная, что внутри коня находились греческие воины, внесли коня в город.

Ночью греки покинули коня и открыли городские ворота, чтобы греческое войско смогло войти в Трою.

Сегодня в троянских программах применяются различные трюки для того, чтобы они могли проникнуть на устройства ничего не подозревающих пользователей.

Дополнительную информацию о троянских программах читайте в статье «Что такое троянская программа?»

Что такое клавиатурный шпион?

Клавиатурный шпион, или кейлоггер, — это программа, которая записывает все нажатия клавиш на клавиатуре зараженного компьютера.

Киберпреступники используют клавиатурные шпионы для кражи конфиденциальных данных, наприме, имен пользователей, паролей, номеров и PIN-кодов кредитных карт, а также прочих сведений. Как правило, кейлоггеры входят в состав бэкдоров.

Что такое фишинг?

Фишинг — это особый вид компьютерных преступлений, который заключается в том, чтобы обманом заставить пользователя раскрыть ценную информацию, например сведения о банковском счете или кредитных картах.

Как правило, киберпреступники создают фальшивый сайт, который выглядит так же, как легальный, например официальный сайт банка.

При посещении фальшивого сайта, как правило, предлагается ввести конфиденциальные данные, например имя пользователя, пароль или PIN-код.

Дополнительную информацию о фишинге читайте в статье «Спам и фишинг»

Что такое шпионская программа?

Шпионские программы предназначены для сбора данных и их отправки стороннему лицу без уведомления или согласия пользователя. Как правило, шпионские программы:

отслеживают, какие клавиши пользователь нажимает на клавиатуре;
собирают конфиденциальную информацию, такую как пароли, номера кредитных карт, номера PIN и т.д.;
собирают адреса электронной почты с компьютера пользователя;
запоминают наиболее посещаемые вами веб-страницы.

Кроме возможного ущерба при доступе киберпреступников к этому типу информации, шпионская программа также отрицательно влияет на производительность компьютера.

Что такое drive-by загрузка?

При drive-by загрузке заражение компьютера происходит при посещении веб-сайта, содержащего вредоносный код.

Киберпреступники ведут в интернете поиск уязвимых серверов, которые можно взломать. Когда уязвимый сервер найден, киберпреступники могут разместить свой вредоносный код на веб-страницах сервера.

Если операционная система компьютера или одно из приложений, работающих на компьютере, имеет незакрытую уязвимость, вредоносная программа автоматически загрузится на компьютер при посещении зараженной веб-страницы.

Что такое руткит?

Руткиты — это программы, используемые хакерами для предотвращения обнаружения при попытке получить несанкционированный доступ к компьютеру.

Очень часто руткиты используются в качестве прикрытия действий троянской программы.

При установке на компьютер руткиты остаются невидимыми для пользователя и предпринимают действия, чтобы вредоносные программы не были обнаружены антивирусным программным обеспечением.

Благодаря тому, что многие пользователи входят в систему компьютера с правами администратора, а не создают отдельную учетную запись с ограниченными правами, киберпреступнику проще установить руткит.

Что такое Adware?

Рекламные программы используются либо для запуска рекламных материалов (например, всплывающих баннеров) на компьютере, либо для перенаправления результатов поиска на рекламные веб-сайты.

Рекламные программы часто встраиваются в бесплатные или в условно-бесплатные программы.

При загрузке бесплатной или условно-бесплатной программы в систему без уведомления или согласия пользователя может быть установлена рекламная программа.

В некоторых случаях рекламная программа скрытым образом загружается с веб-сайта и устанавливается на компьютере пользователя троянцем.

Если у вас установлена не последняя версия веб-браузера, хакеры могут воспользоваться его уязвимостями, используя специальные инструменты (Browser Hijackers), которые могут загрузить рекламную программу на компьютер.

Browser Hijackers могут изменять настройки браузера, перенаправлять неправильно или не полностью набранные URL-адреса на специальный сайт или поменять домашнюю страницу, загружающуюся по умолчанию.

Они также могут перенаправлять результаты поиска в интернете на платные и порнографические веб-сайты.

Дополнительную информацию о рекламных программах см. в статье «Adware, Pornware и Riskware».

Что такое ботнет?

Ботнет — это сеть компьютеров, контролируемых киберпреступниками с помощью троянской или другой вредоносной программы.

Дополнительную информацию о ботнетах см. в статье «Что такое ботнет?»

Что такое атака типа «отказ в обслуживании»?

Атаки типа «отказ в обслуживании» (Denial-of-Service, DoS) затрудняют или прекращают нормальное функционирование веб-сайта, сервера или другого сетевого ресурса.

Хакеры добиваются этого несколькими способами, например, отправляют серверу такое количество запросов, которые он не в состоянии обработать.

Работа сервера будет замедлена, веб-страницы будут открываться намного дольше, и сервер может совсем выйти из строя, в результате чего все веб-сайты на сервере будут недоступны.

Что такое распределенная атака типа «отказ в обслуживании»?

Распределенная атака типа «отказ в обслуживании» (Distributed-Denial-of-Service, DDoS) действует аналогично обычной атаке типа «отказ в обслуживании».

Однако распределенная атака типа «отказ в обслуживании» осуществляется с использованием большого количества компьютеров.

Обычно для распределенной атаки типа «отказ в обслуживании» хакеры используют один взломанный компьютер в качестве «главного» компьютера, который координирует атаку со стороны других зомби-компьютеров.

Как правило, киберпреступник взламывает главный компьютер и все зомби-компьютеры, используя уязвимость в приложениях для установки троянской программы или другого компонента вредоносного кода.

Дополнительную информацию о распределенных атаках типа «отказ в обслуживании» см. в статье «Распределенные сетевые атаки/DDoS».

Компьютеры стали настоящими помощниками человека и без них уже не может обойтись ни коммерческая фирма, ни государственная организация. Однако в связи с этим особенно обострилась проблема защиты информации.

Вирусы, получившие широкое распространение в компьютерной технике, взбудоражили весь мир. Многие пользователи компьютеров обеспокоены слухами о том, что с помощью компьютерных вирусов злоумышленники взламывают сети, грабят банки, крадут интеллектуальную собственность.

Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.

1. Информационная безопасность

Под информационной безопасностью понимается защищенность информации и поддерживающей ее инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, ее владельцам или поддерживающей инфраструктуре. Задачи информационной безопасности сводятся к минимизации ущерба, а также к прогнозированию и предотвращению таких воздействий.

Что угрожает информационной безопасности? Есть несколько факторов: действия, осуществляемые авторизованными пользователями; "электронные" методы воздействия, осуществляемые хакерами; спам; "естественные" угрозы. Но более подробно в работе рассматривается такая угроза как компьютерные вирусы.

Борьбой с компьютерными вирусами профессионально занимаются сотни или тысячи специалистов в десятках, а может быть, сотнях компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.

При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Случается так, что пользователи и профессионалы-программисты часто не имеют даже навыков «самообороны», а их представления о вирусе порой являются настолько поверхностными, что лучше бы их представлений и не было.

2. Угроза информационной безопасности

Одной из самых опасных на сегодняшний день угроз информационной безопасности являются компьютерные вирусы.

Почему вирусы? Поскольку вирусы не возникают сами по себе в результате электромагнитных коллизий, а создаются людьми, то для ответа на этот вопрос следует разобраться в психологии тех индивидуумов, которые создают "вредное" программное обеспечение, в обиходе именуемое "вирусами". Наиболее вероятными причинами, толкающими вирусо-писателей на создание и распространение вредоносного программного обеспечения являются следующие:

- обычное юношеское хулиганство, попытки самоутверждения на основе достигнутого интеллектуального уровня. Фактически подобное компьютерное хулиганство ничем не отличается от обычного уличного хулиганства, за исключением того, что "самоутверждение" происходит на разных аренах — либо в подворотне, либо в сети. И страдают от него разные люди — либо прохожие, либо сетевые соседи. А ущерб наносится либо стенам и витринам, либо программному обеспечению на зараженном компьютере

- мошенничество с целью присвоения ресурсов жертвы: незаметное управление пораженным компьютером, воровство паролей доступа в Интернет, средств с "кошельков" WebMoney и даже кодов доступа к персональным банковским счетам (в том случае, если жертва использует данный сервис). В случае с атакой корпоративных сетей речь идет скорее уже о шпионаже: как правило, это проникновение в сеть с целью присвоения конфиденциальной информации, представляющей финансовую ценность

Естественная "среда обитания" хулиганов и мошенников всех мастей подразумевает под собой гарантированную анонимность, поскольку ни те, ни другие не ставят перед собой задачу отвечать в будущем за свои действия. И современная сеть как нельзя лучше для этого приспособлена, к сожалению.

3. Классификация компьютерных вирусов

В зависимости от проявления и дальнейшего поведения вирусы условно можно разделить на следующие группы:

«черви», троянские кони, программы группы риска, непосредственно вирусы.

Вирусы классифицируются по следующим основным признакам:

1. среда обитания

2. способ заражения

3. степень воздействия

4. особенности алгоритма работы

По среде обитания вирусы можно разделить на:

По способу заражения вирусы делятся на:

По степени воздействия вирусы можно разделить на следующие виды:

1. неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках. Действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

2. опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

3. очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

3.1 Загрузочные вирусы

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или MasterBootRecord (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOSSetup) и передает на него управление.

3 .2 Файловые вирусы

К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо или каких-либо ОС.

Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств.

3.3 Файлово-загрузочные вирусы

Очень часто встречаются комбинированные вирусы, объединяющие свойства файловых и загрузочных.

Широко был распространен файлово-загрузочный вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.

Вирус OneHalf использует различные механизмы маскировки. Он представляет собой стелс-вирус и при распространении применяет полиморфные алгоритмы.

3 .4 Сетевые вирусы

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

3 .5 Макро-вирусы

Макро-вирусы (macroviruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для MicrosoftWord, Excel и Office. Существуют также макро-вирусы, заражающие документы баз данных MicrosoftAccess.

3.6 Резидентные вирусы

Под термином "резидентность" (DOS'овский термин TSR - TerminateandStayResident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов — форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно после того, как он отформатирован.

3.7 Нерезидентные вирусы

Нерезидентные вирусы, напротив, активны довольно непродолжительное время – только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе – носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы.

Таким образом, нерезидентные вирусы являются опасными только во время выполнения инфицированной программы, когда они проявляют свои деструктивные возможности или создают свои копии. Файлы, пораженные такими вирусами, обычно легче поддаются обнаружению и лечению, чем файлы, содержащие резидентный вирус.

4. Методы обеспечения информационной безопасности

По убеждению экспертов, задача обеспечения информационной безопасности должна решаться системно. Это означает, что различные средства защиты (аппаратные, программные, физические, организационные и т. д.) должны применяться одновременно и под централизованным управлением. При этом компоненты системы должны "знать" о существовании друг друга, взаимодействовать и обеспечивать защиту как от внешних, так и от внутренних угроз.

Современные антивирусные технологии позволяют выявить практически все уже известные вирусные программы через сравнение кода подозрительного файла с образцами, хранящимися в антивирусной базе. Кроме того, разработаны технологии моделирования поведения, позволяющие обнаруживать вновь создаваемые вирусные программы. Обнаруживаемые объекты могут подвергаться лечению, изолироваться (помещаться в карантин) или удаляться. Защита от вирусов может быть установлена на рабочие станции, файловые и почтовые сервера, межсетевые экраны, работающие под практически любой из распространенных операционных систем, на процессорах различных типов.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.

Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.

Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов антивирусных программ:

2. программы-доктора или фаги

3. программы-ревизоры (инспектора)

4. программы-фильтры (мониторы)

5. программы-вакцины или иммунизаторы

4.1 Программы-детекторы

4.2 Программы-доктора

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов.

4.3 Программы-ревизоры (инспектора)

Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов.

Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).

4.4 Программы - фильтры (мониторы)

Программы-фильтры (мониторы) или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

1. попытки коррекции файлов с расширениями COM, EXE

2. изменение атрибутов файла

3. прямая запись на диск по абсолютному адресу

4. запись в загрузочные сектора диска

5. загрузка резидентной программы.

4.5 Вакцины или иммунизаторы

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Принцип работы антивирусных сканеров основан на проверке файлов, секторов и системной памяти, а также поиске в них известных и новых (неизвестных сканеру) вирусов. Для поиска известных вирусов используются так называемые «маски». Маской вируса является некоторая постоянная последовательность кода, специфичная для конкретного вируса. Если вирус не содержит постоянной маски или длина этой маски недостаточно велика, то используются другие методы.

Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Из всего вышесказанного можно смело сделать вывод, что необходимость защиты от компьютерных вирусов на данный момент стоит на первом месте. Если правильно выбирать антивирусное программное обеспечение и регулярно обновлять его, можно избежать заражения вирусом и соответственно всех его последствий.

Список литературы

1. Козлов Д.А., Парандовский А.А., Парандовский А.К. Энциклопедия компьютерных вирусов. – М.: «СОЛОН-Р», 2001.

2. Левин А.Ш. Самоучитель полезных программ. 4-е издание. – СПБ.: Питер, 2005.

3. Мостовой Д.Ю. Современные технологии борьбы с вирусами - Мир ПК. - №8. 2001.

Некоторые исследователи сравнивают информационное оружие с оружием массового уничтожения.45 Некоторые считают, что информационное оружие в отличие от оружия массового уничтожения является оружием массового искажения. В отличие от оружия массового уничтожения, основной целью и эффектом оружия массового искажения является не причинение массовых разрушений, но скорее искажение информации таким образом, чтобы противник мог быть подавлен с минимальным использованием физических сил.46

Указанное выше различие в понимании сущности информационного оружия отражает два аспекта информационной безопасности. Рассмотрение информационного оружия в качестве оружия массового уничтожения в большей степени связано со вторым аспектом. Действительно, последствия применения негативных средств и методов воздействия на информационную и коммуникационную структуру государства, особенно в случае если многие критические структуры сильно зависят от их функционирования, может привести к поистине драматическим последствиям, сравнимым с последствиями применения оружия массового уничтожения. Например, в результате воздействия вредоносных программ перестанет функционировать кредитно-финансовая система, что безусловно приведет к нарушению нормального функционирования экономики.

Понимание информационного оружия, как оружия массового искажения отражает первый аспект информационной безопасности и связан с распространением информации, наносящей вред интересам личности, общества и государства в информационном пространстве, то есть с психологическим или идеологическим воздействием.

Таким образом, информационное оружие - это средства и методы, применяемые с целью воздействия и нанесения ущерба информационным и коммуникационным структурам, в том числе критическим структурам государства и общества, а также с целью оказания психологического и идеологического воздействия.

Информационное оружие бывает различных видов. Сразу следует оговориться, что по нашему мнению основным критерием отнесения определенных средств к информационному оружию является используемый метод, а именно информационный метод, а не объект воздействия оружия. Если использовать критерий объекта воздействия, то к информационному оружию можно отнести любое оружие, которое используется например для разрушения информационной инфраструктуры (компьютеров, сетей и т.д.) То есть, если использовать критерий объекта воздействия, к информационному оружию можно отнести обычный пистолет, так как он может быть использован для уничтожения компьютера или, например, взрывчатку и т.д. Информационный метод воздействия понятие достаточно условное и используется в настоящем исследовании для того, чтобы акцентировать внимание на то, что информационное оружие, во-первых, является результатом развития информационных и коммуникационных технологий и функционирует в информационном пространстве также как и другие информационные и коммуникационные средства (например компьютерные программы), но только с негативным знаком, с отрицательным эффектом. Во-вторых, информационное оружие представляет собой собственно информацию скомпонованную таким образом, чтобы оказывать сильное психологическое или идеологическое воздействие на сознание человека.

Исходя из аспектов информационной безопасности можно выделить два вида информационного оружия:

особым образом сформулированная или оформленная информация, которая специально предназначена для психологической или идеологической обработки населения, для подрыва моральных и нравственных устоев общества.

Специальные информационные или коммуникационные средства, предназначенные для негативного воздействия на информационную или коммуникационную инфраструктуры.

Второй вид информационного оружия представляет собой достаточно новый вид, поэтому целесообразно остановиться на нем поподробнее. Информационное оружие этого вида включает в себя следующее:

Компьютерные вирусы. Компьютерные вирусы представляют собой программы, которые присоединяются к обычным прикладным или игровым компьютерным программам и осуществляют действия, направленные на нарушение нормальной работы компьютерной системы. Компьютерные вирусы характеризуются способностью самостоятельно размножаться, распространяться, активизироваться и функционировать. Известны следующие виды компьютерных вирусов.

Логическая бомба - программный вирус, который активизируется в определенное время или после того как выполнена определенная последовательность действий. Эти программы как правило уничтожают или перезаписывают данные во всех системах, к которым у них имеется доступ.

Новое поколение вирусов - вирусы на генетической основе. Подобные вирусы могут самовосстанавливаться или воспроизводиться по образу биологического организма. Каждое успешное поколение этих вирусов может воспроизводиться с возрастающей комплексностью и собственной иммунной системой и с улучшенной способностью избегать обнаружения и уничтожения. Снифферы - программы электронного слежения используемые, в том числе, для мониторинга коммуникаций или коммерческих сделок, таких как перевод денег или передача паролей для секретных информационных сетей. Использование снифферов наиболее распространенный способ проникновения в сети. Подобная программа устанавливается скрыто и после этого она начинает собирать ценную информацию, такую как пароли, количественную информацию и секретную информацию.

Подобны снифферам троянские кони - программы, встроенные в программное обеспечение которое часто используется компьютерным оператором. Эта программа скрытно разрушает, удаляет, искажает, или похищает данные.

Компьютерные черви - самовоспроизводящиеся программы, которые используют дисковое пространство и память и могут, в конечном счете, вывести из строя компьютерную систему.

Временная бомба - компьютерная программа, которая сконструирована таким образом, что начинает действовать после того, как наступают определенные условия.

Следующий вид - электронно-почтовые бомбы.

Программа, которая проникает в систему электронной почты и рассылает себя по тем адресам, которые она обнаруживает в адресной книге системы. Самый известный пример такой бомбы - распространение вируса I LOVE YOU в результате чего в мае 2000 года были парализованы десятки миллионов компьютеров по всему миру, а экономический ущерб составил более 4 млрд. долларов США.

Задние двери или люки - представляют собой бреши в программах, созданные специально для того, чтобы несанкционированный пользователь мог проникнуть в систему. В некоторых случаях задние двери являются результатом непредумышленной ошибки программиста.

Информационное оружие также можно разделить на наступательное оружие, которое используется для нападений или для причинения ущерба, защитное оружие, которое используется для защиты от нападений и оружие двойного назначения. Наступательное оружие включает в себя перечисленные выше средства и, прежде всего, компьютерные вирусы. Защитное оружие включает п себя шифрование, аутентификацию, системы контроля доступа, сетевые экраны, антивирусное программное обеспечение, устройства проверки функционирования системы, программы отслеживания проникновений в систему. Оружие двойного назначения может быть использовано как для облегчения нападения, так и для защиты от нападения. Примерами этого вида оружия могут быть программы для взламывания паролей, ключей, программы снифферы, сканеры для обнаружения недостатков системы и т.д.47

Таким образом, развитие информационных технологий и появление новых методов и средств воздействия на государство через его информационные и коммуникационных структуры, в том числе с использованием информационного оружия, вызывает к жизни значительное число вопросов, прежде всего международного характера, ответы на которые еще предстоит сформулировать.

Читайте также: