Descripción del problema:
1. ¿Cuándo se descubrió el primer virus informático?
2. ¿Qué año estuvo libre de virus informáticos?
3. ¿En qué año empezó a aumentar el número de virus informáticos?
¡Responde estas tres preguntas respectivamente!
Análisis:
Con la popularidad de las computadoras, casi todos los usuarios de computadoras conocen el término "virus informático". Para la mayoría de los usuarios de computadoras, hablar de "virus informáticos" parece insondable e impredecible. La siguiente es una breve introducción:
Historia de los virus
Desde el nacimiento de la primera computadora von Neumann, ENIAC, en 1946, las computadoras se han aplicado a diversos campos de la sociedad humana. Sin embargo, el incidente del "virus gusano" en los Estados Unidos entre 65438 y 0988 ensombreció el desarrollo de la tecnología informática. Este gusano fue escrito por Morris, un estudiante de posgrado de la Universidad de Cornell en Estados Unidos. Aunque no era malicioso, el "gusano" se propagó salvajemente en Internet en ese momento, provocando que miles de computadoras en red dejaran de funcionar, causando enormes pérdidas y convirtiéndose en el centro de atención de la opinión pública en ese momento.
En China, los primeros virus que atrajeron la atención de la gente fueron el Black Friday, el virus Myersin y el virus Pebble que aparecieron a finales de los años 80. En ese momento, no había muchos tipos de software, los intercambios de software frecuentes entre usuarios y el software antivirus no eran populares, lo que llevó a la popularidad generalizada de los virus. Más tarde, las palabras macro virus y virus CIH en win95 dieron a las personas una mejor comprensión de los virus.
El concepto original de la teoría de los virus se remonta a la ciencia ficción. En su libro "La juventud de P1", publicado en la década de 1970, el escritor estadounidense Ryan concibió un programa informático que podía replicarse y propagarse a través de la comunicación, y lo llamó virus informático.
Definición de virus
¿Por qué se llama virus al "virus informático"? En primer lugar, a diferencia de los “virus” médicos, no existe de forma natural. Algunas personas aprovechan las vulnerabilidades inherentes del software y hardware para escribir programas con funciones especiales. El término se deriva del concepto de "virus" biomédico porque tiene las mismas características contagiosas y destructivas que un "virus" biomédico.
En términos generales, todos los programas que pueden provocar fallos de funcionamiento en el ordenador y destruir datos informáticos se denominan colectivamente virus informáticos. Según esta definición, los virus como las bombas lógicas y los gusanos pueden denominarse virus informáticos. En China, los expertos e investigadores tienen diferentes definiciones de virus informático, pero no existe una definición clara y generalmente aceptada.
No fue hasta el 18 de febrero de 1994 que nuestro país promulgó e implementó oficialmente el "Reglamento de la República Popular China sobre la protección de la seguridad de los sistemas de información informática". El artículo 28 del reglamento decía claramente: "Computadora". Los virus se refieren a virus en programas de computadora". Un conjunto de instrucciones de computadora o códigos de programa compilados o insertados que destruyen funciones o datos de la computadora, afectan el uso de la computadora y son capaces de autorreplicarse. "Esta definición es legal y autorizada. (Esta sección está extraída del libro "Gestión de la seguridad informática y tecnología práctica".)
La generación de virus
Entonces, ¿cómo se forma? El proceso se puede dividir en: programación-propagación-latencia-activación, ejecución-implementación del ataque. Los motivos de esta situación no son más que los siguientes:
Sólo una broma o una broma. Algunas personas que aman las computadoras y dominan la tecnología informática escriben estos programas especiales basándose en su profundo conocimiento del software y hardware para mostrar sus magníficas habilidades y sabiduría. Estos programas se activan bajo ciertas condiciones después de propagarse a través del vector. Por ejemplo, reproducir algunas animaciones, reproducir una pieza musical o hacer algunas preguntas de un cuestionario, el propósito no es más que la autoexpresión. Estos virus son generalmente benignos y no se destruyen.
Tiene su origen en una venganza personal. Todo el mundo está en un entorno social, pero siempre hay personas que están insatisfechas con la sociedad o reciben un trato injusto. Si esto le sucede a un maestro en programación, es posible que cree algunos programas peligrosos. Hay un ejemplo en el extranjero: un empleado de una determinada empresa compiló un código y lo ocultó en el sistema de su empresa mientras trabajaba. Una vez que detectó que su nombre había sido eliminado de los informes de nómina, el programa explotó, alterando todo el sistema. Casos similares han surgido en China.
Para protección de derechos de autor. En los primeros días del desarrollo informático, la protección legal de los derechos de autor del software no era tan completa como lo es hoy.
Muchos programas comerciales han sido copiados ilegalmente. Para proteger sus propios intereses, algunos desarrolladores han creado algunos programas especiales y los han adjuntado a sus productos. Por ejemplo, se utilizaron virus paquistaníes para rastrear a los usuarios que copiaban ilegalmente sus productos. Actualmente existen muy pocos virus utilizados con este fin.
Para fines especiales. Organizaciones o individuos promueven o socavan sistemas especiales de * * * instituciones o unidades para propósitos especiales. o con fines militares.
Características del Virus
Este plan especial tiene las siguientes características:
La infecciosidad es la característica básica del virus. En el mundo biológico, los virus se transmiten de un organismo a otro mediante infección. En las condiciones adecuadas, puede multiplicarse y provocar síntomas o incluso la muerte del organismo infectado. De manera similar, los virus informáticos se propagarán desde computadoras infectadas a computadoras no infectadas a través de varios canales. En algunos casos, las computadoras infectadas funcionarán de manera anormal o incluso quedarán paralizadas. A diferencia de los virus biológicos, los virus informáticos son códigos de programas informáticos compilados por humanos. Una vez que este código de programa ingresa a la computadora y se ejecuta, buscará otros programas o medios de almacenamiento que cumplan con sus condiciones de infección. Después de identificar el objetivo, insertará su propio código en él para lograr el propósito de autorreplicación. Mientras una computadora esté infectada, si no se trata a tiempo, el virus se propagará rápidamente en la computadora y una gran cantidad de archivos (generalmente archivos ejecutables) quedarán infectados. El archivo infectado se convierte en una nueva fuente de infección tras el intercambio de datos o el contacto con otras máquinas a través de la red, el virus seguirá propagándose.
Los programas informáticos normales generalmente no conectan a la fuerza su propio código con otros programas. Pero un virus puede forzar su propio código a infectar cualquier programa no infectado que cumpla con sus criterios de infección. Los virus informáticos pueden infectar otras computadoras a través de varios canales posibles, como disquetes y redes informáticas. Cuando encuentra un virus en su computadora, los disquetes que está utilizando en esa computadora también se infectan y otras computadoras conectadas a esta computadora también pueden estar infectadas. Si es contagioso o no es la condición más importante para juzgar si un programa es un virus informático.
Ejecución no autorizada. Generalmente, el usuario llama a un programa normal y luego el sistema asigna recursos para completar las tareas asignadas por el usuario. Su finalidad es visible y transparente para el usuario. Este virus tiene todas las características de un programa normal. Se esconde en programas normales, roba el control del sistema cuando los usuarios llaman a programas normales y se ejecuta antes que los programas normales. El usuario no tiene conocimiento de las acciones y finalidad del virus y no está autorizado a hacerlo.
Oculto. Los virus son generalmente programas breves y concisos con altas habilidades de programación. Por lo general, se adjunta a programas normales o ubicaciones ocultas en el disco, algunas de las cuales vienen en forma de archivos ocultos. El objetivo es evitar que los usuarios descubran su existencia. Sin análisis de código, no es fácil distinguir un programa antivirus de un programa normal. Generalmente, sin medidas de protección, los programas de virus informáticos pueden infectar una gran cantidad de programas en un corto período de tiempo después de obtener el control del sistema. Además, después de haber sido infectado, el sistema informático aún puede funcionar normalmente y el usuario no sentirá ninguna anomalía. Imagínese, si el virus no puede ejecutarse normalmente después de transmitirse a la computadora, entonces no podrá continuar infectándose. Debido a su invisibilidad, los virus informáticos pueden propagarse a millones de computadoras sin que los usuarios se den cuenta.
La mayoría de los códigos de virus están diseñados para ser muy cortos y ocultos. Los virus suelen tener sólo unos pocos cientos o 1k bytes, y las velocidades de acceso de la PC a archivos DOS pueden alcanzar cientos de KB por segundo, por lo que los virus pueden agregar estos breves cientos de bytes a programas normales en un abrir y cerrar de ojos. detectar.
Al acecho. La mayoría de los virus no atacan un sistema inmediatamente después de infectarlo. Pueden esconderse en el sistema durante largos períodos de tiempo, con sus módulos de rendimiento (destrucción) activados sólo cuando se cumplen sus condiciones específicas. Sólo así podrá difundirse ampliamente. Por ejemplo, "Peter-2" hará tres preguntas el 27 de febrero de cada año. Si la respuesta es incorrecta, el disco duro se cifrará. El famoso “Viernes Negro” ocurre el viernes 13. El "Shanghai No. 1" nacional tiene lugar el 13 de marzo, junio y septiembre de cada año. Por supuesto, lo más inolvidable fue el brote de CIH del día 26. Estos virus suelen estar bien ocultos y sólo revelan sus verdaderos colores el día que atacan.
Destructivo. Siempre que un virus invada el sistema, tendrá diferentes impactos en el sistema y las aplicaciones. En casos leves, reducirá la eficiencia del trabajo de la computadora y ocupará recursos del sistema. En casos graves, provocará que el sistema falle.
Según esta característica, los virus se pueden dividir en virus benignos y virus malignos. Las enfermedades benignas pueden simplemente mostrar algunas imágenes, música o frases aburridas, o puede que no haya ninguna acción destructiva, pero ocuparán recursos del sistema. Existen muchos virus de este tipo, como GENP, Xiaoqiu, W-BOOT, etc. Los virus maliciosos tienen un propósito claro, ya sea destruir datos, eliminar archivos o cifrar discos, formatear discos o causar daños irreparables a los datos. Esto también refleja las siniestras intenciones de los creadores de virus.
En términos de detección de virus, los virus son impredecibles. Los diferentes tipos de virus tienen códigos diferentes, pero algunas operaciones son comunes (como la memoria residente y el cambio de interrupciones). Algunas personas aprovechan esta característica común de los virus para crear programas que pretenden buscar todos los virus. De hecho, este programa puede detectar algunos virus nuevos, pero debido a que los tipos de software actuales son extremadamente ricos, algunos programas normales también utilizan operaciones similares a los virus e incluso toman prestadas algunas tecnologías de virus. El uso de este método para detectar virus inevitablemente provocará más falsos positivos. Además, la tecnología de producción de virus también mejora constantemente y los virus siempre van por delante del software antivirus.
Clasificación de los virus
Desde el nacimiento del primer virus hasta la actualidad, existen diferentes opiniones sobre cuántos tipos de virus hay en el mundo. No importa cuántos haya, la cantidad de virus sigue aumentando. Según estadísticas extranjeras, el número de virus informáticos aumenta a un ritmo de 10 por semana, y según estadísticas del Ministerio de Seguridad Pública de mi país, el número de virus informáticos aumenta a un ritmo de 4 por mes. Hay muchos tipos, que se pueden entender mejor mediante la clasificación.
Según el método de infección, se puede dividir en virus de arranque, virus de archivos y virus híbridos.
Los virus de archivos generalmente solo infectan archivos ejecutables (COM, EXE) en el disco. Cuando un usuario llama a un archivo ejecutable infectado, el virus se ejecuta primero y luego permanece en la memoria esperando infectar otros archivos o infectar directamente otros archivos. Su característica es que se adjunta al archivo de programa normal y se convierte en el shell o componente del archivo de programa. Esta es una forma común de infección.
Los virus mixtos tienen las características de los dos virus anteriores, no solo infectan el sector de arranque, sino que también infectan archivos, expandiendo así la propagación de este virus (como "TPVO-3783 (SPY), que fue ampliamente popular en China en 1997)".
Según el método de conexión, se puede dividir en: virus de origen, virus de intrusión, virus del sistema operativo y virus de shell.
Fuente Los virus de código son raros y difíciles de escribir porque atacan el programa fuente escrito en un lenguaje de alto nivel, por lo que se insertan antes de compilar el programa fuente y conectarlo con el programa fuente en un archivo ejecutable. el archivo ejecutable que acaba de generar ha sido envenenado.
El virus de intrusión puede reemplazar algunos módulos o áreas de pila de programas normales, por lo que este virus es muy específico y difícil de detectar y eliminar. Los virus del sistema operativo pueden agregar o reemplazar ciertas funciones del sistema operativo con sus propios componentes, por lo que dichos virus también son dañinos porque están adjuntos al principio o al final de los programas normales, lo que equivale a agregar un shell a los programas normales. /p>
Según su destructividad, se pueden dividir en: virus benignos y virus malignos.
p>Nueva generación: los virus de macro solo han aparecido en los últimos dos años. Si se clasifican, pueden. deben considerarse como tipos de archivos.
Nombres de virus
Diferentes programas antivirus nombran los virus de manera diferente. A veces, diferentes programas le darán a un virus nombres diferentes. Por ejemplo, el nombre del "espía". " El virus es SPY y el nombre de KV300 es "TPVO-3783". Existen varios métodos:
Según la ubicación donde apareció el virus, como "Zhenjiang_JES", la muestra provino primero de un usuario en Zhenjiang Según el nombre o los caracteres característicos que aparecieron en el virus, como "Zhang Fang-1535", "Disk Killer", "Shanghai No. 1", etc. como "Torch", "Worm" según la hora del ataque del virus, como 165438 + 9 de octubre, "9 de noviembre". Algunos nombres contienen la longitud del código del virus, como la serie "PIXEL.xxx". , "KO.xxx", etc.
Análisis preliminar de virus
Aunque existen muchos tipos de virus informáticos, se desconoce el código del virus. Los análisis y comparaciones muestran que sus estructuras principales son. similares y tienen sus características comunes.
Aunque el código completo del virus es muy breve, también contiene tres partes: la parte de inicio, la parte de infección y la parte de expresión.
La función de la parte de arranque es cargar el cuerpo del virus en la memoria para prepararse para la parte de infección (como almacenar memoria, modificar interrupciones, modificar memoria de alto nivel, guardar vectores de interrupción originales, etc. ).
La función de la parte de infección es copiar el código del virus al objetivo de la infección. Los diferentes tipos de virus tienen diferentes formas y condiciones de infección.
La parte de presentación es la mayor diferencia del virus, y las dos primeras partes también sirven para esta parte. La mayoría de los virus tienen condiciones específicas que desencadenan su comportamiento. Por ejemplo, utilizando un reloj o contador como condición de activación o ingresando caracteres específicos con el teclado. Esta parte es también la más flexible y varía ampliamente según los diferentes propósitos del compilador, o puede que no haya ninguna parte.
Identificación inicial y prevención de virus
La forma más sencilla de saber si su computadora está infectada con un virus es utilizar un software antivirus más nuevo para realizar una verificación exhaustiva del disco. Pero el software antivirus siempre llega tarde para combatir los virus. ¿Cómo detectar nuevos virus a tiempo? Los usuarios pueden hacer el siguiente juicio simple: no importa cuán inteligente sea el virus, siempre dejará algunas "pistas" después de invadir el sistema.
En primer lugar, preste atención a la situación de la memoria. La mayoría de los virus se almacenan en la memoria. Para los usuarios de DOS, pueden iniciar la máquina con la unidad c y luego usar el comando "MEM" para verificar si la memoria básica total es 640 K (porque la mayoría de los virus de arranque cambiarán este número cuando residan en la memoria). Si hay un virus, se puede cambiar a 638K o 637K. En circunstancias normales, algunas máquinas son normales (como algunas máquinas Compaq). También debes prestar atención a si la memoria ocupada se reduce sin motivo alguno.
En segundo lugar, preste atención al número de bytes de los archivos ejecutables de uso común (como COMMAND.COM). La mayoría de los virus aumentan la longitud de los archivos después de la infección. Al verificar el recuento de bytes de un archivo, primero debe comenzar con un disco del sistema limpio.
En el caso de los disquetes, preste atención a si aparecen bloques defectuosos sin ningún motivo (algunos virus marcarán el disco con grupos defectuosos para ocultar sus propias partes en su interior). Otros fenómenos, como la velocidad lenta de ejecución del software (excepto la velocidad de lectura del disco) y los puertos de salida anormales, pueden ser causados por virus. La forma más precisa es comprobar si el vector de interrupción y el sector de arranque se han modificado sin motivo. Por supuesto, esto requiere cierta comprensión del sistema y del formato del disco.