Вирусы. Мифы и реальность

Классификация вирусов

Следующая классификация, как мы надеемся, поможет сориентироваться в многообразии и особенностях вирусов. В ее основе лежит оригинальная классификация вирусов «Лаборатории Касперского».

По среде обитания вирусы можно разделить на:

– файловые вирусы, которые внедряются в исполняемые файлы (СОМ, ЕХЕ, SYS, BAT, DLL);

– загрузочные, которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record);

– макровирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, Microsoft Word или Microsoft Excel).

Существуют и сочетания. Например, вирусы, заражающие как файлы, так и загрузочные секторы. Они, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, и их труднее обнаружить.

Классификация вирусов по способам заражения.

– Резидентные вирусы – при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

– Нерезидентные вирусы – не заражают память компьютера и являются активными лишь ограниченное время.

По деструктивным возможностям вирусы можно разделить на:

– безвредные, то есть никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

– неопасные, влияние которых ограничено уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

– опасные – вирусы, которые могут привести к серьезным сбоям в работе;

– очень опасные – способные привести к потере программ, уничтожению данных, необходимой для работы компьютера информации, записанной в системных областях памяти, и т. д.

Классификация вирусов по особенностям алгоритма следующая.

– «Компаньон»-вирусы – алгоритм их работы состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла MS-DOS первым обнаружит и выполнит СОМ-файл, то есть вирус, который затем запустит и ЕХЕ-файл.

– Вирусы-«черви» (worm) – вариант «компаньон»-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в папках дисков, никаким образом не изменяя других файлов и не используя сом-ехе-прием, описанный выше.

– «Студенческие» – крайне примитивные вирусы, часто нерезидентные и содержащие большое количество ошибок.

– «Стелс»-вирусы (вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения MS-DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие обходить резидентные антивирусные мониторы.

– «Полиморфик»-вирусы (самошифрующиеся, или вирусы-«призраки», polymorphic) – достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же «полиморфик»-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

– Макровирусы – вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее время широко распространены макровирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel.

– Сетевые вирусы (сетевые «черви») – вирусы, которые распространяются в компьютерной сети и, как «компаньон»-вирусы, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Пути заражения

Самые популярные способы заражения следующие.

– Через Интернет, так называемым «добровольным» cпособом: когда пользователь скачивает что-либо из Сети. Очень часто под безобидным ускорителем браузера может сидеть самый настоящий WIN95. CIH (WIN95. CIH, или «Чернобыль», перепрошивает BIOS компьютера).

– Через Интернет методом «навязывания»: из-за неграмотной настройки обозревателя вам предлагают (в лучшем случае) загрузить JavaScript, ActiveX и т. д. как подписанный элемент. Результатом такой загрузки могут стать открытые порты (порт – канал взаимодействия между двумя или более компьютерами) для дальнейшей атаки, удаления данных или кражи файлов. Дело в том, что в состав веб-страниц входят не только текст, графика, музыка и анимация (то есть данные), но и активное содержимое, которое включает в себя апплеты Java и элементы ActiveX. Так вот, данные объекты являются программным кодом, выполняющимся на компьютере пользователя. Что мешает злонамеренному пользователю написать такой код, который бы форматировал диск? Конечно же, настройки безопасности Internet Explorer. Поэтому в настройках безопасности интернет-обозревателя необходимо отключить загрузку неподписанных элементов ActiveX и использование элементов ActiveX, непомеченных как безопасные, а еще лучше установить высокий уровень безопасности.

Вирус из Интернета может проникнуть на ваш компьютер совершенно самомстоятельно – для этого достаточно быть подключенным к Сети. По этому механизму распространяется широко известный MSBlast, а также ряд других. Вот один из примеров алгоритма распространения посредством брешей в системе: используя брешь в службе DCOM RPC, «червь» проверяет 135-й порт машин, висящих в сети. При благоприятных результатах проверки открывается порт 4444 для ожидания последующих команд. Далее открывается порт 69 UDP, после чего на компьютер «червь» загружает файл носителя. Поэтому необходимо, чтобы в операционную систему были загружены новые обновления, иначе «черви» могут стать последним кодом, который она обработает.

– Самым распространенным способом заражения является распространение вирусов через электронную почту. Несмотря на многочисленные предупреждения и предосторожности, он прогрессирует. Поэтому будьте внимательны и никогда не открывайте прикрепленные файлы, пришедшие с сообщением от незнакомого человека.

– Через дискету или компакт-диск – также довольно распространенный способ заражения. По статистике пользователи проверяют дискеты чаще, чем диски, если не сказать более: компакт-диски обычно не проверяют вообще. Однако именно пиратские диски (никто не будет отрицать, что таких у нас большинство) играют значительную роль в распространении вирусов. Почему, когда вирус «Чернобыль» пронесся над Европой и Азией, оказалось, что инфицированы около миллиона машин, а в США – всего 10000? Потому, что он распространялся через нелегальное программное обеспечение, скопированное на компакт-диски. Поэтому возьмите за правило проверять съемные диски антивирусной программой и регулярно обновляйте антивирусные базы.

Иногда вирус может быть замаскирован под joke-программу, имитирующую вирус, хотя и Kaspersky 5.0, и Panda Platinum определяют его как самый настоящий вирус. Изобретательность создателя вируса в этом случае не знает границ: название такой «шутки» может быть: Not virus! Joke! Убедиться в объективности антивирусной проверки можно, лишь дизассемблировав подобную программу. Иногда вирусы могут находиться даже в программном коде антивируса.

Вирусы, получившие широкое распространение в компьютерной среде, взбудоражили весь мир. Взлом сетей, грабеж банков и похищение интеллектуальной собственности – все это давно уже не миф, а суровая реальность. Ежегодные убытки, наносимые последствиями вирусной активности, составляют миллиарды долларов.

Основное большинство вирусов – программы по сути безобидные, ограничивающие поле своей деятельности текстовыми, звуковыми и видеоэффектами. Написанные любителями, они в большинстве своем содержат ошибки программного кода, что не позволяет им в полной мере наносить вред. Помимо такой распространенной неприятности, как, например, форматирование системного диска, вирусы могут наносить ущерб аппаратной составляющей, выжигать люминофор монитора и даже влиять на здоровье (нашумевший вирус 777). Вы, наверное, уже слышали, что вирусы заражают преимущественно EXE– и COM-файлы. Так было до недавнего времени. На сегодняшний день инфицированными документами, созданными в Office, никого не удивишь. Совсем недавно были зарегистрированы случаи распространения вирусов через файлы формата JPEG.

Однако даже в том случае, если компьютер работает без сбоев и не подает никаких признаков вирусной активности, это вовсе не означает, что система не заражена. В некоторых системных папках может находиться троянский конь, отсылающий своему хозяину пароли от вашей электронной почты или, еще хуже, от платежной системы WebMoney.

В некоторых случаях большинство пользователей даже не подозревают, что являются объектами контроля.

Е. КАСПЕРСКИЙ и Д. ЗЕНКИН

Вспыхнувшая в мае этого года эпидемия компьютерного вируса "LoveLetter" ("Любовные письма") еще раз подтвердила опасность, которую таит в себе подобная "компьютерная фауна". Проникнув в сотни тысяч компьютеров по всему миру, вирус уничтожил огромное количество важной информации, буквально парализовав работу крупнейших коммерческих и государственных организаций.

Так выглядят "любовные письма", рассылаемые вирусом "LoveLetter" no электронной почте. Чтобы запустить вирус, достаточно нажать на иконку.

Такой рисунок показывает вирус "Tentacle" ("Щупальце") при попытке просмотреть любой файл с расширением GIF на зараженных компьютерах. Надпись на рисунке: "Я вирус Щупальце".

Вирус "Marburg" показывает эти прелестные крестики и... удаляет файлы с дисков.

Скрипт-вирус "Monopoly" поиздевался над главой компании Microsoft Биллом Гейтсом. Помимо показа забавной картинки вирус незаметно отсылает с компьютера секретную информацию.

К сожалению, феномен "компьютерного вируса" до сих пор вызывает скорее суеверный трепет, нежели желание трезво разобраться в ситуации и принять меры безопасности. Какие они - эти вирусы? Насколько они опасны? Какие методы антивирусной защиты существуют сегодня и насколько они эффективны? На эти и другие темы рассуждают специалисты ведущего российского производителя антивирусных программ "Лаборатории Касперского".

ЧТО ТАКОЕ КОМПЬЮТЕРНЫЙ ВИРУС?

На этот, казалось бы, простой вопрос до сих пор не найден однозначный ответ. В специализированной литературе можно найти сотни определений понятия "компьютерный вирус", при этом многие из них различаются чуть ли ни диаметрально. Отечественная "вирусология" обычно придерживается следующего определения: компьютерным вирусом называется программа, без ведома пользователя внедряющаяся в компьютеры и производящая там различные несанкционированные действия. Это определение было бы неполным, если бы мы не упомянули еще одно свойство, обязательное для компьютерного вируса. Это его способность "размножаться", то есть создавать свои дубликаты и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. Причем дубликаты вируса могут и не совпадать с оригиналом.

Способность вирусов к "размножению" вызывает у некоторых людей желание сравнивать их с "особой формой жизни" и даже наделять эти программы неким "злым интеллектом", заставляющим их совершать мерзкие выходки ради достижения поставленной цели. Однако это не более чем вымысел и игра фантазии. Подобное восприятие событий напоминает средневековые представления о злых духах и ведьмах, которых никто не видел, но все боялись. "Размножение" вирусов ничем не отличается от, например, копирования программой файлов из одной директории в другую. Отличие лишь в том, что эти действия производятся без ведома пользователя, то есть на экране не появляется никаких сообщений. Во всем остальном вирус - самая обычная программа, использующая те или иные команды компьютера.

Компьютерные вирусы - один из подвидов большого класса программ, называемых вредоносными кодами. Сегодня эти понятия часто отождествляют, однако, с научной точки зрения это не верно. В группу вредоносных кодов входят также так называемые "черви" и "Троянские кони". Их главное отличие от вирусов в том, что они не могут "размножаться".

Программа-червь распространяется по компьютерным сетям (локальным или глобальным), не прибегая к "размножению". Вместо этого она автоматически, без ведома пользователя, рассылает свой оригинал, например, по электронной почте.

"Троянские" программы вообще лишены каких-либо встроенных функций распространения: они попадают на компьютеры исключительно "с помощью" своих авторов или лиц, незаконно их использующих. Вспомним "Илиаду" Гомера. После многих безуспешных попыток взять Трою штурмом, греки прибегли к хитрости. Они построили статую коня и оставили ее троянцам, сделав вид, что отступают. Однако конь был внутри пустым и скрывал отряд греческих солдат. Троянцы, поклонявшиеся божеству в образе коня, сами втащили статую в ворота города. "Троянские" программы используют похожий способ внедрения: они попадают в компьютеры под видом полезных, забавных и, зачастую, весьма прибыльных программ. Например, пользователю приходит письмо по электронной почте с предложением запустить присланный файл, где лежит, скажем, миллион рублей. После запуска этого файла в компьютер незаметно попадает программа, совершающая различные нежелательные действия. Например, она может шпионить за владельцем зараженного компьютера (следить, какие сайты он посещает, какие использует пароли для доступа в Интернет и т. п.) и затем отсылать полученные данные своему автору.

В последнее время участились случаи появления так называемых "мутантов", то есть вредоносных кодов, сочетающих в себе особенности сразу нескольких классов. Типичный пример - макровирус "Melissa", вызвавший крупную эпидемию в марте прошлого года. Он распространялся по сетям как классический Интернет-червь. "LoveLetter" - также помесь сетевого червя и вируса. В более сложных случаях вредоносная программа может содержать в себе характеристики всех трех типов (таков, например, вирус "BABYLONIA").

ПРОИСХОЖДЕНИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

Как это ни странно, идея компьютерных вирусов возникла задолго до появления персональных компьютеров. В1959 году американский ученый Л. С. Пенроуз (L. С. Penrose) опубликовал в журнале "Scientific American" статью, посвященную самовоспроизводящимся механическим структурам. В этой статье была описана простейшая модель двухмерных структур, способных к активации, размножению, мутациям, захвату. Вскоре исследователь из США Ф. Г. Сталь (F. G. Stahl) реализовал эту модель с помощью машинного кода на IBM 650.

В те времена компьютеры были огромными, сложными в эксплуатации и чрезвычайно дорогими машинами, поэтому их обладателями могли стать лишь крупные компании или правительственные вычислительные и научно-исследовательские центры. Но вот 20 апреля 1977 года с конвейера сходит первый "народный" персональный компьютер Apple II. Цена, надежность, простота и удобство в работе предопределили его широкое распространение в мире. Общий объем продаж компьютеров этой серии составил более трех миллионов штук (без учета его многочисленных копий, таких, как Правец 8М/С, Агат и др.), что на порядок превышало количество всех других ЭВМ, имевшихся в то время. Тем самым доступ к компьютерам получили миллионы людей самых различных профессий, социальных слоев и склада ума. Неудивительно, что именно тогда и появились первые прототипы современных компьютерных вирусов, ведь были выполнены два важнейших условия их развития - расширение "жизненного пространства" и появление средств распространения.

В дальнейшем условия становились все более и более благоприятными для вирусов. Ассортимент доступных рядовому пользователю персональных компьютеров расширялся, помимо гибких 5-дюймовых магнитных дисков появились жесткие, бурно развивались локальные сети, а также технологии передачи информации при помощи обычных коммутируемых телефонных линий. Возникли первые сетевые банки данных BBS (Bulletin Board System), или "доски объявлений", значительно облегчавшие обмен программами между пользователями. Позднее многие из них переросли в крупные онлайновые справочные системы (CompuServe, AOL и др.). Все это способствовало выполнению третьего важнейшего условия развития и распространения вирусов - стали появляться отдельные личности и группы людей, занимающиеся их созданием.

Кто пишет вирусные программы и зачем? Этот вопрос (с просьбой указать адрес и номер телефона) особенно волнует тех, кто уже подвергся вирусной атаке и потерял результаты многолетней кропотливой работы. Сегодня портрет среднестатистического "вирусописателя" выглядит так: мужчина, 23 года, сотрудник банка или финансовой организации, отвечающий за информационную безопасность или сетевое администрирование. Однако по нашим данным, его возраст несколько ниже (14-20 лет), он учится или не имеет занятия вообще. Главное, что объединяет всех создателей вирусов - это желание выделиться и проявить себя, пусть даже на геростратовом поприще. В повседневной жизни такие люди часто выглядят трогательными тихонями, которые и мухи не обидят. Вся их жизненная энергия, ненависть к миру и эгоизм находят выход в создании мелких "компьютерных мерзавцев". Они трясутся от удовольствия, когда узнают, что их "детище" вызвало настоящую эпидемию в компьютерном мире. Впрочем, это уже область компетенции психиатров.

90-е годы, ознаменовавшиеся расцветом глобальной сети Интернет, оказались наиболее благодатным временем для компьютерных вирусов. Сотни миллионов людей по всему миру волей-неволей сделались "пользователями", а компьютерная грамотность стала почти так же необходима, как умение читать и писать. Если раньше компьютерные вирусы развивались в основном экстенсивно (то есть росло их число, но не качественные характеристики), то сегодня благодаря совершенствованию технологий передачи данных можно говорить об обратном. На смену "примитивным предкам" приходят все более "умные" и "хитрые" вирусы, гораздо лучше приспособленные к новым условиям обитания. Сегодня вирусные программы уже не ограничиваются порчей файлов, загрузочных секторов или проигрыванием безобидных мелодий. Некоторые из них способны уничтожать данные на микросхемах материнских плат. При этом технологии маскировки, шифрации и распространения вирусов подчас удивляют даже самых бывалых специалистов.

КАКИЕ БЫВАЮТ ВИРУСЫ

На сегодняшний день зарегистрировано около 55 тысяч компьютерных вирусов. Их число постоянно растет, появляются совершенно новые, ранее неизвестные типы. Классифицировать вирусы становится труднее год от года. В общем случае их можно разделить на группы по следующим основным признакам: среда обитания, операционная система, особенности алгоритма работы. Согласно этим трем классификациям известный вирус "Чернобыль", к примеру, можно отнести к файловым резидентным неполиморфичным Windows-вирусам. Поясним подробнее, что это значит.

1. Среда обитания

В зависимости от среды обитания различают файловые, загрузочные и макровирусы.

Поначалу самой распространенной формой компьютерной "заразы" были файловые вирусы , "обитающие" в файлах и папках операционной системы компьютера. К ним относятся, например, "overwriting"-вирусы (от англ. "записывать поверх"). Попадая в компьютер, они записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Однако это довольно примитивные вирусы: они, как правило, очень быстро себя обнаруживают и не могут стать причиной эпидемии.

Еще более "хитро" ведут себя "companion"-вирусы (от англ. "приятель", "компаньон"). Они не изменяют сам файл, но создают для него файл-двойник таким образом, что при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Например, "companion"-вирусы, работающие под DOS, используют особенность этой операционной системы в первую очередь выполнять файлы с расширением СОМ, а потом уже с расширением ЕХЕ. Такие вирусы создают для ЕХЕ-файлов двойники, имеющие то же самое имя, но с расширением СОМ. Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске зараженного файла DOS первым обнаружит и выполнит именно СОМ-файл, то есть вирус, а уже потом вирус запустит файл с расширением ЕХЕ.

Иногда "соmpanion"-вирусы просто переименовывают заражаемый файл, а под старым именем записывают на диск свой собственный код. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске файла управление получает код вируса, который затем уже запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Подобного типа вирусы были обнаружены во многих операционных системах - не только в DOS, но и в Windows и OS/2.

Есть и другие способы создавать файлы-двойники. Например, вирусы типа "path-companion" "играют" на особенностях DOS PATH - иерархической записи местоположения файла в системе DOS. Вирус копирует свой код под именем заражаемого файла, но помещает его не в ту же директорию, а на один уровень выше. В этом случае DOS первым обнаружит и запустит именно файл-вирус.

Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы. Эти вирусы заражают загрузочный сектор (boot-сектор) дискеты или винчестера - специальную область на диске, содержащую программу начальной загрузки компьютера. Если изменить содержимое загрузочного сектора, то, возможно, вы даже не сможете запустить ваш компьютер.

Макровирусы - разновидность компьютерных вирусов, созданных при помощи макроязыков, встроенных в популярные офисные приложения наподобие Word, Excel, Access, PowerPoint, Project, Corel Draw и др. (см. "Наука и жизнь" № 6, 2000 г.). Макроязыки используются для написания специальных программ (макросов), позволяющих повысить эффективности работы офисных приложений. Например, в Word можно создать макрос, автоматизирующий процесс заполнения и рассылки факсов. Тогда пользователю достаточно будет ввести данные в поля формы и нажать на кнопку - все остальное макрос сделает сам. Беда в том, что, кроме полезных, в компьютер могут попасть и вредоносные макросы, обладающие способностью создавать свои копии и совершать некоторые действия без ведома пользователя, например изменять содержание документов, стирать файлы или директории. Это и есть макровирусы.

Чем шире возможности того или иного макроязыка, тем более хитрыми, изощренными и опасными могут быть написанные на нем макровирусы. Самый распространенный сегодня макроязык - Visual Basic for Applications (VBA). Его возможности стремительно возрастают с каждой новой версией. Таким образом, чем более совершенными будут офисные приложения, тем опаснее будет в них работать. Поэтому макровирусы представляют сегодня реальную угрозу компьютерным пользователям. По нашим прогнозам, с каждым годом они будут становиться все более неуловимыми и опасными, а скорость их распространения скоро достигнет небывалых величин.

2. Используемая операционная система .

Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем - DOS, Windows, OS/2, Linux, MacOS и т.д. На этом основан второй способ классификации вирусов. Например, вирус "BOZA", работающий только в Windows и нигде более, относится к Windows-вирусам. Вирус "BLISS" - к Linux-вирусам и т.д.

3. Алгоритмы работы.

Вирусы можно также различать по используемым ими алгоритмам работы, то есть различным программным хитростям, делающим их столь опасными и трудноуловимыми.

Во-первых, все вирусы можно разделить на резидентные и нерезидентные . Резидентный вирус подобен шпиону, постоянно работающему в чужой стране. Попав при загрузке в оперативную память компьютера, вирус остается в ней до тех пор, пока компьютер не будет выключен или перезагружен. Именно оттуда вирус-резидент и совершает все свои деструктивные действия. Нерезидентные вирусы не заражают память компьютера и способны "размножаться" только если их запустить.

К резидентным можно также отнести все макровирусы. Они присутствуют в памяти компьютера в течение всего времени работы зараженного ими приложения.

Во-вторых, вирусы бывают видимыми и невидимыми . Для простого обывателя невидимость вируса - пожалуй, самое загадочное его свойство. Однако ничего демонического в этом нет. "Невидимость" заключается в том, что вирус посредством программных уловок не дает пользователю или антивирусной программе заметить изменения, которые он внес в зараженный файл. Постоянно присутствуя в памяти компьютера, вирус-невидимка перехватывает запросы операционной системы на чтение и запись таких файлов. Перехватив запрос, он подставляет вместо зараженного файла его первоначальный неиспорченный вариант. Таким образом пользователю всегда попадаются на глаза только "чистые" программы, в то время как вирус незаметно вершит свое "черное дело". Одним из первых файловых вирусов-невидимок был "Frodo", а первым загрузочным невидимкой - вирус "Brain".

Чтобы максимально замаскироваться от антивирусных программ, практически все вирусы используют методы самошифрования или полиморфичности , то есть они могут сами себя зашифровывать и видоизменять. Меняя свой внешний вид (программный код), вирусы полностью сохраняют способность совершать те или иные вредоносные действия. Раньше антивирусные программы умели обнаруживать вирусы только "в лицо", то есть по их уникальному программному коду. Поэтому появление вирусов-полиморфиков несколько лет назад произвело настоящую революцию в компьютерной вирусологии. Сейчас уже существуют универсальные методы борьбы и с такими вирусами.

МЕТОДЫ БОРЬБЫ С КОМПЬЮТЕРНЫМИ ВИРУСАМИ

Необходимо помнить главное условие борьбы с компьютерными вирусами - не паниковать. Круглосуточно на страже компьютерной безопасности находятся тысячи высококлассных антивирусных специалистов, профессионализм которых многократно превосходит совокупный потенциал всех компьютерных хулиганов - хакеров. В России антивирусными исследованиями занимаются две компьютерные компании - "Лаборатория Касперского" (www.avp.ru) и "СалД" (www.drweb.ru).

Для того чтобы успешно противостоять попыткам вирусов проникнуть в ваш компьютер, необходимо выполнять два простейших условия: соблюдать элементарные правила "компьютерной гигиены" и пользоваться антивирусными программами.

С тех пор как существует антивирусная индустрия, было изобретено множество способов противодействия компьютерным вирусам. Пестрота и разнообразие предлагаемых сегодня систем защиты поистине поражает. Попробуем разобраться, в чем преимущества и недостатки тех или иных способов защиты и насколько они эффективны по отношению к различным типам вирусов.

На сегодняшний день можно выделить пять основных подходов к обеспечению антивирусной безопасности.

1. Антивирусные сканеры.

Пионер антивирусного движения - программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с цепью обнаружения в них вирусных сигнатур, то есть уникального программного кода вируса.

Главный недостаток сканера - неспособность отслеживать различные модификации вируса. К примеру, существует несколько десятков вариантов вируса "Melissa", и почти для каждого из них антивирусным компаниям приходилось выпускать отдельное обновление антивирусной базы.

Отсюда вытекает и вторая проблема: на время между появлением новой модификации вируса и выходом соответствующего антивируса пользователь остается практически незащищенным. Правда, позднее эксперты придумали и внедрили в сканеры оригинальный алгоритм обнаружения неизвестных вирусов - эвристический анализатор, который проверял код программы на возможность присутствия в нем компьютерного вируса. Однако этот метод имеет высокий уровень ложных срабатываний, недостаточно надежен и, кроме того, не позволяет ликвидировать обнаруженные вирусы.

И, наконец, третий недостаток антивирусного сканера - он проверяет файлы только тогда, когда вы его об этом "попросите", то есть запустите программу. Между тем пользователи очень часто забывают проверять сомнительные файлы, загруженные, например, из Интернета, и в результате своими собственными руками заражают компьютер. Сканер способен определить факт заражения только после того, как в системе уже появился вирус.

2. Антивирусные мониторы.

По своей сути антивирусные мониторы - это разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

3. Ревизоры изменений.

Работа этого вида антивирусных программ основана на снятии оригинальных "отпечатков" (CRC-сумм) с файлов и системных секторов. Эти "отпечатки" сохраняются в базе данных. При следующем запуске ревизор сверяет "отпечатки" с их оригиналами и сообщает пользователю о произошедших изменениях.

У ревизоров изменений тоже есть недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того как вирус разошелся по компьютеру. Во-вторых, они не могут обнаружить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии, или при распаковке файлов из архива), поскольку в базах данных ревизоров информация об этих файлах отсутствует. Этим и пользуются некоторые вирусы, заражая только вновь создаваемые файлы и оставаясь, таким образом, невидимыми для ревизоров. В-третьих, ревизоры требуют регулярного запуска - чем чаще это делать, тем надежнее будет контроль за вирусной активностью.

4. Иммунизаторы.

Антивирусные программы-иммунизаторы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: они абсолютно не способны обнаруживать вирусы-невидимки, хитро скрывающие свое присутствие в зараженном файле.

Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Например, чтобы предотвратить заражение СОМ-файла вирусом "Jerusalem" достаточно дописать в него строку MsDos. А для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена и можно ею не заниматься.

Конечно, нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности. Именно поэтому иммунизаторы не получили большого распространения и в настоящее время практически не используются.

5. Поведенческие блокираторы.

Все перечисленные выше типы антивирусов не решают главной проблемы - защиты от неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитны перед ними до тех пор, пока производители антивирусов не разработают противоядия. Иногда на это уходит несколько недель. За это время можно потерять всю важную информацию.

Однозначно ответить на вопрос "что же делать с неизвестными вирусами?" нам удастся лишь в грядущем тысячелетии. Однако уже сегодня можно сделать некоторые прогнозы. На наш взгляд, наиболее перспективное направление антивирусной защиты - это создание так называемых поведенческих блокираторов. Именно они способны практически со стопроцентной гарантией противостоять атакам новых вирусов.

Что такое поведенческий блокиратор? Это программа, постоянно находящаяся в оперативной памяти компьютера и "перехватывающая" различные события в системе. В случае обнаружения "подозрительных" действий (которые может производить вирус или другая вредоносная программа), блокиратор запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор не ищет код вируса, но отслеживает и предотвращает его действия.

Теоретически блокиратор может предотвратить распространение любого как известного, так и неизвестного (написанного после блокиратора) вируса. Но проблема заключается в том, что "вирусоподобные" действия может производить и сама операционная система, а также полезные программы. Поведенческий блокиратор (здесь имеется в виду "классический" блокиратор, который используется для борьбы с файловыми вирусами) не может самостоятельно определить, кто именно выполняет подозрительное действие - вирус, операционная система или какая-либо программа, и поэтому вынужден спрашивать подтверждения у пользователя. Таким образом пользователь, принимающий конечное решение, должен обладать достаточными знаниями и опытом для того, чтобы дать правильный ответ. Но таких людей мало. Именно поэтому блокираторы до сих пор не стали популярными, хотя сама идея их создания появилась довольно давно. Достоинства этих антивирусных программ зачастую становились их недостатками: они казались слишком навязчивыми, утруждая пользователя своими постоянным запросами, и пользователи их просто удаляли. К сожалению, эту ситуацию может исправить лишь использование искусственного интеллекта, который самостоятельно разбирался бы в причинах того или иного подозрительного действия.

Однако уже сегодня поведенческие блокираторы могут успешно применяться для борьбы с макровирусами. В программах, написанных на макроязыке VBA, можно с очень большой долей вероятности отличать вредоносные действия от полезных. В конце 1999 года "Лаборатория Касперского" разработала уникальную систему защиты от макровирусов пакета MS Office (версий 97 и 2000), основанную на новых подходах к принципам поведенческого блокиратора, - AVP Office Guard. Благодаря проведенному анализу поведения макровирусов, были определены наиболее часто встречающиеся последовательности их действий. Это позволило внедрить в программу блокиратора новую высокоинтеллектуальную систему фильтрации действий макросов, практически безошибочно выявляющую те из них, которые представляют собой реальную опасность. Благодаря этому блокиратор AVP Office Guard, с одной стороны, задает пользователю гораздо меньше вопросов и не столь "навязчив", как его файловые собратья, а с другой - практически на 100% защищает компьютер от макровирусов как известных, так и еще не написанных.

AVP Office Guard перехватывает и блокирует выполнение даже многоплатформенных макровирусов, то есть вирусов, способных работать сразу в нескольких приложениях. Кроме того, программа AVP Office Guard контролирует работу макросов с внешними приложениями, в том числе и с почтовыми программами. Тем самым исключается возможность распространения макровирусов через электронную почту. А ведь именно таким способом в мае этого года вирус "LoveLetter" поразил десятки тысяч компьютеров по всему миру.

Эффективность блокиратора была бы нулевой, если бы макровирусы могли произвольно отключать его. (В этом состоит один из недостатков антивирусной защиты, встроенной в приложения MS Office.) В AVP Office Guard заложен новый механизм противодействия атакам макровирусов на него самого с целью его отключения и устранения из системы. Сделать это может только сам пользователь. Таким образом, использование AVP Office Guard избавит вас от вечной головной боли по поводу загрузки и подключения обновлений антивирусной базы для защиты от новых макровирусов. Однажды установленная, эта программа надежно защитит компьютер от макровирусов вплоть до выхода новой версии языка программирования VBA с новыми функциями, которые могут быть использованы для написания вирусов.

Хотя поведенческий блокиратор и решает проблему обнаружения и предотвращения распространения макровирусов, он не предназначен для их удаления. Поэтому его надо использовать совместно с антивирусным сканером, который способен успешно уничтожить обнаруженный вирус. Блокиратор позволит безопасно переждать период между обнаружением нового вируса и выпуском обновления антивирусной базы для сканера, не прерывая работу компьютерных систем из-за боязни навсегда потерять ценные данные или серьезно повредить аппаратную часть компьютера.

ПРАВИЛА "КОМПЬЮТЕРНОЙ ГИГИЕНЫ"

" Ни в коем случае не открывайте файлы, присылаемые по электронной почте неизвестными вам людьми. Даже если адресат вам известен - будьте осторожны: ваши знакомые и партнеры могут и не подозревать, что в их компьютере завелся вирус, который незаметно рассылает свои копии по адресам из их адресной книги.

" Обязательно проверяйте антивирусным сканером с максимальным уровнем проверки все дискеты, компакт-диски и другие мобильные носители информации, а также файлы, получаемые из сети Интернет и других публичных ресурсов (BBS, электронных конференций и т. д.).

" Проводите полную антивирусную проверку компьютера после получения его из ремонтных служб. Ремонтники пользуются одними и теми же дискетами для проверки всех компьютеров - они очень легко могут занести "заразу" с другой машины!

" Своевременно устанавливаете "заплатки" от производителей используемых вами операционных систем и программ.

" Будьте осторожны, допуская других пользователей к вашему компьютеру.

" Для повышения сохранности ваших данных периодически проводите резервную архивацию информации на независимые носители.

Часто слышу вопросы от пользователей компьютеров – “У меня сломался компьютер. Сгорела , и т.п. Мне сказали, что это вирус. Это правда? ” Такой вопрос обычно вызывает у меня улыбку и краткий ответ - “кончено, это не правда.”
Как не странно, но основная масса пользователей компьютера, верят в то, что компьютерные вирусы могут всё, даже утащить компьютер из квартиры, шутка конечно?

Поэтому создаются разные мифы, и обычно распространяются различными мнимыми “компьютерными мастерами” которые только вчера научились водить мышкой.

И их стандартный ответ на любую поломку – “Да, это видимо вирус, сжёг твою ” или “Я не могу это сделать, видимо какой-то вирус мешает”. В общем если он не знает что сломалось и как это чинить, то его стандартная фраза “Это вирус”. Ну а дальше работает “сарафанное радио” от человека, к человеку передаётся информация, об ужасающих вирусах, которые сжигают сотни компьютеров за пару секунд.

Да, ещё конечно тут опять постарался Голливуд со своими фильмами, в которых компьютерные вирусы взрывают компьютеры невинных пользователей, в общем, не верьте всему что, показывают в кино.

Основные мифы о компьютерных вирусах и немного юмора

Это неправда, компьютерный вирус не может нанести никаких физических повреждений вашим, комплектующим. Конечно, теоретически можно, внести изменения, например в видеокарты. Но в 99% случаев виновен сам пользователь, который пытался разогнать видеокарту или прошить её , а не мифический вирус.

Лично я, никогда не встречался с случаями поломки (сгорания) комплектующих из-за вирусов.

2. Компьютерный вирус мешает .

Тоже полный бред. Так как вирусы работают только в среде операционной системы, то есть при запущенном windows. Да и после форматирования винчестера при установке виндовс, все данные, в том числе и вирусы начисто стираются.

3. Вирусы делают своё грязное дело, даже когда компьютер выключен.

Нет, вирусы не могут работать, когда выключен компьютер, потому, что вирус это тоже программа.

4. Компьютер поразили вирусы и он не включается.

Из-за вирусов может не запускаться Windows, но чтобы из-за них компьютер не включался вообще, быть не может.

5. Да! Вирусы взрывают компьютеры, проедают дырки в видеокартах и других комплектующих, размножаются в теплой среде радиатора процессора и строят совою государственность.

Конечно, этот пункт шутка, вирусы на это неспособны. Просто не могу писать это статью без юмора и улыбки. Вспоминая утверждения и вопросы некоторых пользователей, которые перечислены в этом пункте.

Что могут вирусы?

Да, вирусы бывают очень опасны и надоедливы. Но то, что я описал выше они сделать не могут. Самые противные это те вирусы которые удаляют информацию с вашего диска, заражая собой различные файлы. То есть удаляют, не они, а антивирусы, которые засекли их в этом файле.
В общем, вирусы, в основном способны мелко пакостить. Хоть и встречаются и более серьёзные собратья, но всё равно сжечь компьютер они не могут.

Главное, что нужно запомнить, вирус это такая же программа, которая самостоятельно копируется (размножается) и имеет своей целью навредить другим программам. Но так как это программа, то и за рамки функций программ выйти она не может.

Буду рад, если в комментариях, вы выскажите комичные убеждения людей, о том, что могут вирусы.

Все ведущие антивирусные компании имеют собственные страницы, посвященные мистификациям. И информацию можно найти на сайте Вирусной энциклопедии (http://www.viruslist.com/ ), Symantec (http://www.symantec.com/avcenter/index.html ) и McAfee (http://vil.mcafee.com/hoax.asp ).

И, конечно же, не забывайте о Google – на то он и поисковик, чтобы все знать!

Практически ни один разговор о компьютерных вирусах не обходится без термина «троянская программа», или «троянец». Чем это приложение отличается от вируса, каково его назначение и чем оно опасно? К этой категории относятся программы, выполняющие несанкционированные действия без ведома пользователя. По характеру действия троянец напоминает вирус: он может красть персональную информацию (прежде всего файлы паролей и почтовые базы), перехватывать данные, введенные с клавиатуры, реже – уничтожать важную информацию или нарушать работоспособность компьютера. Троянская программа может применяться для использования ресурсов компьютера, на котором она запущена, в неблаговидных или преступных целях: рассылки вирусов и спама, проведения DDOS-атак (Distributed Denial of Service – распределенных атак, направленных на нарушение работы сетевых сервисов).

Это могут делать и вирусы. Отличие заключается в том, что часто внешне троянец выглядит как вполне нормальная программа, выполняющая полезные функции. Однако у нее есть и «вторая жизнь», о которой пользователь не догадывается, так как часть функций приложения скрыты. Троянская программа отличается от вируса неспособностью к самораспространению: она не может сама копироваться на другие компьютеры, ничего не уничтожает и не изменяет в компьютере пользователя (кроме функций, которые нужны для ее запуска). Троян может прокрасться к ничего не подозревающему пользователю под видом ускорителя Интернета, очистителя дискового пространства, видеокодека, плагина к проигрывателю Winamp или исполняемого файла, имеющего двойное расширение.

Примечание

Хотя, в отличие от вируса, троянец не способен к саморазмножению, от этого он не становится менее опасным.

В последнем случае может прийти письмо с просьбой посмотреть фотографию и прикрепленным файлом вроде superfoto.bmp.exe (как вариант, после BMP может быть большое количество пробелов, чтобы пользователь ничего не заподозрил). В итоге получатель сам устанавливает вредоносную программу. Отсюда произошло название таких приложений: вспомните, как ахейцы захватили Трою. Город был хорошо укреплен, ахейцы долго не могли его взять и обманули защитников. Для жителей Трои конь был символом мира, и ахейцы, якобы для примирения, построили деревянную статую коня, внутрь которой посадили своих лучших воинов. Ничего не подозревающие троянцы затащили подарок в город, а ночью ахейцы вылезли из статуи, обезвредили стражу и открыли ворота, впустив основные силы.

Размножению троянской программы может способствовать сам пользователь, копируя его друзьям и коллегам. Возможен вариант, когда программа попадает на компьютер пользователя как червь, а далее работает как троян, обеспечивая создателю возможность дистанционного управления зараженным компьютером. Чаще всего такие программы все-таки относят к червям.

Запустившись, троянец располагается в памяти компьютера и отслеживает запрограммированные действия: крадет пароли для доступа в Интернет, обращается к сайтам, накручивая чьи-то счетчики (за что пользователь платит лишним трафиком), звонит на платные, часто дорогие, телефонные номера, следит за действиями и привычками хозяина компьютера и читает его электронную почту.

Современные троянцы, как правило, уже не тащат все подряд. Они целенаправленно занимаются сбором конкретной информации. Например, «банковские» шпионы крадут номера кредитных карточек и других банковских данных. В связи с ростом популярности интернет-игр появился интерес к краже игровых предметов или персонажей, цена которых порой доходит до нескольких тысяч долларов, поэтому кража учетных записей для мошенников не менее привлекательна, чем кража банковских атрибутов.

Отдельно следует упомянуть Trojan-Downloader и Trojan-Dropper, которые используются для установки на компьютеры троянских, рекламных (adware) или порнографических (pornware) программ. Кроме того, троянцы часто используются для создания троянских прокси-серверов или даже целых зомбисетей для рассылки спама или вирусов.

Как определить, что в системе поселилась троянская программа? Во-первых, согласитесь, странно, когда только что установленный плагин к Winamp не обнаруживается в списке. Во-вторых, при инсталляции трояна может быть выведено сообщение, причем как об успешном окончании установки (вроде Internet Exsplorer already patched ), так и, наоборот, говорящее о том, что утилита не установлена, потому что системная библиотека несовместима с версией программы либо архив поврежден. Возможно, будут также выведены рекомендации по устранению ошибки. После долгих мучений пользователь вряд ли получит ожидаемый результат, скорее всего, оставит все попытки и будет пребывать в уверенности, что это полезная программа, которая просто не запустилась по непонятным причинам. Троянец тем временем пропишется в автозапуске. Например, в Windows необходимо быть внимательным к следующим веткам реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce

Возможно помещение ярлыка трояна в папку (это встречается очень редко, так как присутствие вредоносной программы в этой папке легко обнаружить) или запись в файлы autoexec.bat , win.ini , system.ini . Часто разработчики принимают меры, чтобы трояна не было видно в окне Диспетчер задач , выводимом нажатием сочетания клавиш Ctrl+Alt+Delete . Наиболее сложные троянские программы умеют самостоятельно обновляться через Интернет, прятаться от антивирусов и расшифровывать файлы паролей. Управлять троянцем можно несколькими способами – от прямого подключения к компьютеру до проверки определенного сетевого ресурса, на который хозяин посылает e-mail, ICQ и IRC-команды.

Часто троянец состоит из двух частей: клиентской, установленной у хозяина, и серверной, работающей на машине жертвы. Такие программы также называют backdoor (потайной ход). Запустив программу-клиент, злоумышленник проверяет, находится ли сервер в Сети: если отклик получен, то удаленным компьютером можно управлять как своим.

Учитывая неумение троянских программ распространяться самостоятельно, простым и эффективным правилом, позволяющим избежать заражения, является загрузка файлов только из надежных источников. Несмотря на то что, в отличие от вирусных эпидемий, о троянских эпидемиях пока еще никто не слышал, да и вряд ли услышит, учитывая неспособность этих программ к самостоятельному размножению, они не менее (а, возможно, даже более) опасны, чем вирусы. Ведь часто такие программы создаются для персонального использования, и поэтому сегодняшние антивирусы не могут знать обо всех них. Это означает, что пользователь может долгое время работать на зараженной машине, не подозревая об этом. Чтобы найти троянское приложение, требуются специальные утилиты и наблюдение за сетевой активностью компьютера с помощью штатных средств операционной системы и установленного брандмауэра, о чем будет подробнее рассказано в главе 4.

Если троянцы, о которых говорилось выше, можно обнаружить с помощью системных утилит, то представители этого класса вычисляются только с помощью специальных утилит.

Руткиты представляют собой более продвинутый вариант троянских коней. Некоторые антивирусные компании не разделяют руткиты и троянцы, относя их к одной категории зловредных программ. Однако троян прячется на компьютере, обычно маскируясь под известную программу (например, Spymaster выдавает себя за приложение MSN Messenger), а руткиты используют для маскировки более продвинутые методы, внедряясь глубоко в систему.

Изначально словом «руткит» обозначался набор инструментов, позволяющий злоумышленнику возвращаться во взломанную систему таким образом, чтобы системный администратор не мог его видеть, а система – регистрировать. Долгое время руткиты были привилегией Unix-систем, но, как известно, хорошие идеи просто так не пропадают, и в конце ХХ века стали массово появляться руткиты, предназначенные для Microsoft Windows. О руткитах заговорили, только когда на их использовании в своих продуктах была поймана фирма Sony. Сегодня эксперты предсказывают бум этой технологии, и в ближайшие два-три года ожидается массовый рост количества руткитов – вплоть до 700 % в год. Самое печальное, что их будут использовать не только злоумышленники: руткиты станут массово применяться в коммерческих продуктах, в первую очередь для защиты от пиратства. Например, недавно было объявлено, что компания Microsoft создала руткит, обнаружить который невозможно. Не исключено, что это изобретение встретится в новых версиях Windows.

Обычному пользователю от этого не легче. Технология руткитов потенциально может быть использована для создания нового поколения программ-шпионов и червей, обнаружить которые после их проникновения в компьютер будет почти невозможно.

Практически все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать работающие программы, системные службы, драйверы и сетевые соединения. В основе функционирования руткитов лежит модификация данных и кода программы в памяти операционной системы. В зависимости от того, с какой областью памяти работают руткиты, их можно подразделить на следующие виды:

Системы, работающие на уровне ядра (Kernel Level, или KLT);

Системы, функционирующие на пользовательском уровне (User Level).

Первый известный руткит для системы Windows, NT Rootkit, был написан в 1999 году экспертом в области безопасности Грегом Хоглундом в виде драйвера уровня ядра. Он скрывал все файлы и процессы, в имени которых встречалось сочетание _root , перехватывал информацию, набираемую на клавиатуре, и использовал другие способы маскировки.

Самым известным на сегодня руткитом является Hacker Defender. Эта программа работает в режиме пользователя и маскируется за счет перехвата некоторых API. Hacker Defender может обрабатывать сетевой трафик до того, как он будет передан приложению, то есть любая программа, работающая в сети, может быть использована для взаимодействия со взломщиком. Руткит умеет скрывать файлы и процессы, записи в реестре и открытые порты и может неправильно показывать количество свободного места на диске. Он прописывается в автозагрузку, оставляя для себя черный вход, и прослушивает все открытые и разрешенные брандмауэром порты на предмет 256-битного ключа, который укажет, какой порт использовать для управления. Hacker Defender перехватывает функции запуска новых процессов, что позволяет ему заражать все программы, запускаемые пользователем. Он полиморфен: для шифрования исполняемых файлов руткита обычно используется утилита Morphine.

Примечание

Все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать программы, системные службы, драйверы и сетевые соединения.

Одним из наиболее опасных руткитов является FU, выполненный частично как приложение, а частично как драйвер. Он не занимается перехватами, а манипулирует объектами ядра системы, поэтому найти такого вредителя очень сложно.

Если вы обнаружили руткит, это еще не значит, что вы сможете избавиться от него. Для защиты от уничтожения пользователем или антивирусом в руткитах применяется несколько технологий, которые уже встречаются и в зловредных программах других типов. Например, запускаются два процесса, контролирующих друг друга. Если один из них прекращает работу, второй восстанавливает его. Применяется также похожий метод, использующий потоки: удаленный файл, параметр реестра или уничтоженный процесс через некоторое время восстанавливаются.

Популярен способ блокировки доступа к файлу: файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно. Если попытаться воспользоваться отложенным удалением (во время следующей загрузки), например с помощью программы типа MoveOnBoot, то, скорее всего, запись об этой операции будет через некоторое время удалена либо файл будет переименован.

Любопытный способ защиты использует червь Feebs. Для борьбы с антивирусами, антируткитами и другими утилитами, пытающимися уничтожить его, он выставляет приманку – замаскированный процесс, не видимый на вкладке Процессы в окне Диспетчера задач . Любое приложение, которое попытается обратиться к этому процессу, уничтожается. Программа может устанавливаться как дополнительный модуль к браузеру Internet Explorer, изменяющий его функциональность. Стандартные средства контроля автозапуска типа msconfig не видят эти параметры, а применение дополнительных утилит для изучения системы требует от пользователя определенной квалификации, поэтому единственный действительно надежный способ уничтожить такую программу – отформатировать жесткий диск и заново установить операционную систему.

К сожалению, существующие сегодня специализированные программы, предназначенные для обнаружения руткитов, и традиционные антивирусы не дают стопроцентной гарантии безопасности. Обладая исходным кодом этих программ, можно создать любые модификации руткитов или включить часть кода в любую шпионскую программу. Главное умение руткитов – не прочно закрепиться в системе, а проникнуть в нее, поэтому основным правилом для вас должны стать максимальная защита и осторожность.

Если после всего рассказанного в предыдущих главах у вас еще не пропало желание работать с компьютером, вам будет интересно узнать, как различные зловредные программы могут попасть в систему. Эта информация, возможно, убережет вас от простейших ошибок и позволит трезво оценить ситуацию.

Можно выделить три причины проникновения вирусов:

Ошибки при разработке программного обеспечения;

Ошибки в настройках;

Воздействие на пользователя (социальный инжиниринг).

Описать все варианты невозможно: технологии не стоят на месте и злоумышленники постоянно придумывают новые методы. Остановимся на основных моментах. Если в последних двух случаях от действий пользователя что-то зависит, то в первом он может повлиять на ход событий только частично. Ошибки в программном обеспечении часто способны свести на нет все попытки пользователя защитить систему от проникновения вредоносных приложений.

Некоторые вирусы и атаки достигают цели без участия пользователя. Несмотря на усилия, интенсивность удаленных атак не снижается, а отражать их становится все труднее. Как это получается? Ведь чтобы программа, пусть и зловредная, что-то сделала, она должна быть кем-то или чем-то запущена. Анализ показывает, что в подавляющем большинстве атак используются ошибки переполнения буфера, и эта проблема является первостепенной.

Впервые данная уязвимость была использована в 1988 году – на ней основывались атаки червем Морриса. С тех пор количество подобных атак увеличивается с каждым годом. В настоящее время можно утверждать, что уязвимости, связанные с переполнением буфера, являются доминирующими при удаленных атаках, где обычный пользователь Сети получает частичный или полный контроль над атакуемым. Приблизительно половина вредоносных программ использует этот тип уязвимости.

В материале «Википедии» (http://ru.wikipedia.org ) дано следующее определение данной уязвимости: «Переполнение буфера – это явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера».

В «Новом словаре хакера» Эрика С. Рэймонда сказано, что «переполнение буфера – это то, что с неизбежностью происходит при попытке засунуть в буфер больше, чем тот может переварить».

Представьте следующую ситуацию. Функция изменения пароля может воспринять пароль длиной не более 256 символов. Чаще всего никто не пользуется паролями длиннее 8–10 символов, поэтому разработчики не предусмотрели проверку строки ввода данных. При попытке ввести более 256 символов, если за данными находился адрес возврата функции, он будет перезаписан и в лучшем случае выполнение программы завершится с ошибкой. Хакеру, обнаружившему такой уязвимый участок, остается подставить в качестве адреса возврата правильный адрес, что переведет управление в любую точку программы на его выбор. В результате может быть выполнен любой произвольный код, который хакер поместил в указанную область памяти, с привилегиями, с которыми выполняется текущая программа.

Подобные ошибки в программном обеспечении находят чуть ли не ежедневно, но не всегда и не сразу устраняют. Для примера можно просмотреть статистику на специализированных сайтах. Согласно данным Secunia (http://secunia.com ) в Microsoft Windows XP Professional не устранено 30 из 201 уязвимостей, обнаруженных с 2003 по начало 2008 года, хотя имеющих статус highly critical (предельно опасный), которые позволяют удаленно выполнить код (то есть фактически получить доступ к системе), в этом списке уже нет. В среднем обнаруживается три-четыре уязвимости в месяц.

В Internet Explorer 7 не устранено 7 из 21 найденной уязвимости, и некоторые из них имеют статус highly critical. В среднем в месяц обнаруживается одна-две уязвимости. Если учесть все уязвимости, при которых можно удаленно выполнить код в системе, можно сделать вывод, что с этим браузером вообще опасно выходить в Интернет. Internet Explorer позволяет выполнение кода при обработке HTML Help ActiveX, файлов HTA, SWF, ZIP, BMP и JPEG, архивов FTP, Cookies, тега IFRAME и всплывающих окон, то есть для проникновения в систему троянца достаточно зайти на сайт и просмотреть/сохранить рисунки или архив ZIP.

Внимание!

Найденные уязвимости далеко не всегда устраняются сразу, часто они присутствуют годами.

В операционной системе Windows код Internet Explorer используют и многие другие приложения (почтовый клиент Outlook Express, Проигрыватель Windows Media и др.), отчего увеличивается вероятность поражения. Например, существует JPEG-эксплоит, который использует ошибку в системной библиотеке, возникающую при обработке графических JPEG-файлов. Эта ошибка позволяет заразить компьютер через любую программу – Outlook Еxpress или любой другой почтовый клиент, показывающий JPEG-картинки.

Следует также обратить внимание на возможность вывода в адресной строке Internet Explorer адреса, не соответствующего адресу загруженного сайта (такой вид атаки называется URL-спуфинг), и отображение всплывающих окон, которые, как думает пользователь, принадлежат просматриваемой в браузере странице, а также модификация заголовка окна или информации в строке состояния.

По данным различных источников, именно Internet Explorer сегодня является самым популярным веб-браузером, так как он интегрирован в Windows. Поэтому данная программа будет привлекать внимание злоумышленников, желающих реализовать свои замыслы, ведь вероятность того, что пользователь придет на специально созданный ресурс именно с Internet Explorer, остается самой высокой.

Давайте посмотрим, что на сегодня можно сказать о самом известном из бесплатных браузеров – Mozilla Firefox 2. В нем обнаружено 19 уязвимостей, из которых не устранено четыре. Самая опасная из них имеет статус less critical (ниже критического). Использовав эти уязвимости, получить полное управление компьютером невозможно, злоумышленник может лишь раскрыть некоторую системную информацию, поэтому следует признать, что положение этого браузера лучше, чем Internet Explorer.

Таким образом, оптимальным решением будет использование альтернативных приложений. Вместо Internet Explorer для серфинга можно применять, например, Mozilla Firefox, вместо Outlook Еxpress – The Bat! и т. д. У этих программ ситуация с безопасностью лучше.

Следует также периодически устанавливать обновления и использовать новые версии программ, в которых устранены старые ошибки (возможные новые ошибки – это уже другой вопрос). Правда, размер обновлений подчас до стигает нескольких десятков мегабайт и кроме Internet Explorer и Windows необходимо обновлять другие продукты, следовательно, трафик может быть накладным для бюджета. В таком случае следует ограничиться хотя бы обновлениями, устраняющими критические ошибки.

Наверняка вы задаетесь вопросом: неужели за столько лет никто не пытался бороться с переполнением буфера? Конечно же, пытались. Ведь разработка атакующих программ за несколько десятилетий переросла чистый энтузиазм и приняла коммерческую основу, что говорит о нарастающей опасности.

На борьбу с данной уязвимостью направлены такие утилиты, как, например, Stack-Guard. Первоначально она была разработана для Unix-систем, но в настоящее время ее аналог используется в Microsoft Visual Studio.NET и ProPolice компании IBM. В продуктах компании Microsoft, Windows XP SP2 и Server 2003 SP1 используется технология DEP (Data Execution Protection – защита от выполнения данных), которая делает секцию данных и стек неисполняемыми, что должно предотвращать подобный тип атак.

В некоторых процессорах Intel и AMD имеется специальный бит: в Intel – XD (eXecute Disable – запрет выполнения), в AMD – NX (No eXecute – нет выполнения), позволяющий аппаратно реализовать поддержку DEP.

При отсутствии поддержки на компьютере неисполняемых страниц на аппаратном уровне используется Software-enforced DEP (принудительный программный DEP). Программная защита DEP встраивается во время компиляции и поэтому работает только для пересобранных с поддержкой DEP системных библиотек и приложений.

В этих средствах можно обнаружить и недостатки. При использовании технологии DEP встал вопрос совместимости. Некоторым приложениям требуется исполняемый стек (а таких много: эмуляторы, компиляторы, защитные механизмы и пр.), поэтому по умолчанию защита включена только для системных процессов. Появление новой технологии подстегнуло хакеров, и практически одновременно были представлены методы, позволяющие обойти защиту. Атаковать стало сложнее, но все равно возможно.

Другие описанные механизмы позволяют защититься только от одного типа переполнения буфера, а их существует несколько видов, поэтому считать это полноценной защитой нельзя.

Хотелось бы немного успокоить вас: наличие ошибки не всегда позволяет реализовать атаку в полной мере: буфер может быть мал для внедрения кода (невозможно использование нулевых байтов), адреса системных функций у различных версий могут не совпадать, и человек, пытающийся использовать уязвимость, должен обладать действительно глубокими знаниями.

К сожалению, большинство пользователей часто сами создают проблемы. Например, браузеру часто разрешают запуск JavaScript, ActiveX и других элементов управления, с помощью которых легко установить шпионские программы. Некоторые почтовые клиенты умеют обрабатывать и выводить на экран HTML-контент, позволяющий выполнять любые действия. Из-за неправильных настроек почтовой программы или имеющихся в ней ошибок при просмотре содержимого полученных писем могут автоматически открываться файлы вложений. Иногда используется следующий прием: к сообщению прилагается исполняемый файл, а в заголовке MIME, который указывает на тип передаваемого файла, в поле Content-Type указывается, что это рисунок. Почтовый клиент, пытаясь загрузить рисунок, запускает исполняемый файл.

Примечание

MIME – Мultipurpose Internet Мail Extension – почтовый стандарт Интернета: кодирование в одном сообщении текстовой и нетекстовой информации (графики, архивов и пр.) для передачи по электронной почте.

Опасность кроется не только в присылаемых EXE-файлах. Существует малоизвестная возможность выполнения сценариев в HLP– и CHM-файлах, причем эти сценарии позволяют запускать исполняемые файлы, поэтому следует остерегаться любых непрошеных сообщений электронной почты.

Если вы предпочитаете использовать для серфинга Internet Explorer, установите высокий уровень безопасности. Для этого выполните команду меню Сервис > Свойства обозревателя , в появившемся окне перейдите на вкладку Безопасность , выберите категорию Интернет , в нижней части окна нажмите кнопку Другой , в открывшемся окне Параметры безопасности выберите из списка На уровень пункт Высокий и нажмите кнопку OK .

Пользователи часто работают в Интернете с правами администратора, соответственно, злоумышленник, получивший доступ к компьютеру посредством, например, атаки на Internet Explorer, получит те же права, поэтому для работы в Интернете следует завести отдельную учетную запись, наделив ее минимальными правами.

Червь Lovesan использовал уязвимость в сервисе Microsoft RPC (Remote Procedure Call – удаленное выполнение команд). И хотя эта уязвимость устранена, если служба DCOM (Distributed Component Object Model – модель распределенных компонентных объектов) вам не нужна, лучше отключить ее, а заодно и остальные ненужные сервисы. Чтобы проверить список запущенных служб, следует выполнить команду меню Пуск > Выполнить и в окне Запуск программы ввести cmd . В появившемся окне командной строки введите команду net start . На рис. 1.1 показан пример списка работающих служб.

Рис. 1.1. Вывод списка запущенных служб

Чтобы отредактировать список автоматически запускающихся служб, следует выполнить команду Пуск > Панель управления , выбрать категорию Производительность и обслуживание , затем Администрирование , после чего щелкнуть на ярлыке Службы . Двойной щелчок на выбранной службе покажет информацию о ее назначении и позволит изменить статус запуска. Если вы сомневаетесь в необходимости служб, можно постепенно отключать их, наблюдая за реакцией системы.

В Интернете существует достаточное количество руководств, подробно описывающих назначение системных служб Windows. Одно из них можно найти по адресу http://www.oszone.net/display.php?id=2357 . Желательно отключить нулевую сессию (Null Session), позволяющую подключиться к системе, основанной на Windows NT, без ввода имени пользователя и пароля. При включенной нулевой сессии анонимный пользователь может получить большое количество информации о конфигурации системы, которую сможет использовать в дальнейших действиях (список ресурсов, предоставленных для общего доступа, список пользователей, рабочих групп и т. д.). Открытый 139-й порт относится к категории серьезных уязвимостей. Чтобы отключить нулевую сессию, необходимо выполнить команду меню Пуск > Выполнить и набрать в строке Открыть команду regedit . В разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa для Windows 2000/XP/2003 нужно задать параметру restrictanonymous значение 2 (тип – REG_DWORD ), для Windows NT3.5/NT4.0 – значение 1 . Для Windows 2000/XP/2003 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver нужно задать для параметра RestrictNullSessionAccess значение 1 (тип параметра – REG_DWORD ), а для Windows NT3.5/NT4.0 это можно сделать в разделе системного реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters . Если таких параметров нет, их необходимо создать.

После внесения изменений требуется перезагрузка компьютера.

Следует также запретить скрытые ресурсы C$, D$, ADMIN$. Для этого проще использовать специализированные утилиты. Например, программа LanSafety позволяет сделать это одним щелчком (рис. 1.2).

Рис. 1.2. Рабочее окно программы LanSafety

Желательно использовать файловую систему NTFS, которая позволит разграничить доступ к ресурсам вашего компьютера и усложнит процесс локального взлома базы SAM.

Ранние версии Microsoft Word и Microsoft Ехсеl вместе с открытием документа автоматически запускали сценарии, написанные на языке Visual Вasic for Аррlication, что приводило к заражению компьютера макровирусами. Последние версии этих приложений запрашивают у пользователя подтверждение запуска сценариев.

Это далеко не все мероприятия, которые нужно выполнить для повышения уровня безопасности работы на компьютере. Обязательно следует установить антивирус, включить брандмауэр и использовать другие программы, о которых будет рассказано в следующих главах.

Среди специалистов по информационной безопасности распространено мнение, что компьютерная защита – это постоянная борьба с глупостью пользователей и интеллектом хакеров. Отсюда следует, что наиболее уязвимое звено в защите – человек. Существуют и системные уязвимости, которые становятся источником массовых эпидемий (достаточно вспомнить червь Lovsan aka W32. Blaster, использовавший уязвимость в RPC DCOM). Здесь, к сожалению, пользователь бессилен, и бороться с этим можно либо постоянно устанавливая всевозможные заплатки, либо сменив операционную систему на более безопасную, а от последствий действий пользователя порой не спасет ничто.

Внимание!

Часто пользователь становится источником своих же проблем: будьте внимательны при работе с письмами неизвестных отправителей, пользуйтесь антивирусом и брандмауэром.

Разработчики вирусов используют те же приемы, что и маркетологи, и всегда найдется хотя бы один человек из ста, который, несмотря на предупреждения, сочтет полученное неизвестно от кого письмо безопасным и откроет его, понадеявшись на защиту антивируса. Для достижения цели вирусописатели (как, впрочем, и другие мошенники, в том числе и в реальном мире) используют человеческие слабости:

Недостаточную подготовку;

Желание выделиться;

Тягу мгновенно разбогатеть или получить что-то даром;

Жалость и милосердие;

Желание посмотреть «интересные» картинки;

Интерес к продукту, который нужен некоторой части населения или который невозможно достать;

Интерес к методикам быстрого обогащения с помощью финансовых пирамид, суперидеям для успешного ведения бизнеса или беспроигрышной игры в казино;

Доверие к заплаткам, якобы направленным пользователю заботливым сотрудником компании Microsoft.

В последнее время начали появляться ложные сообщения от сотрудника антивирусной компании о вирусе, якобы найденном в отправленном пользователем сообщении, или о начале новой эпидемии. Чтобы обезопасить пользователя, «доброжелатель» прикрепляет к письму файл, с помощью которого этот вирус можно удалить. После запуска этого файла на компьютере будет установлен троянец. Чтобы не вызвать подозрение пользователя, в письме часто обращаются совсем к другому человеку. При этом в теме сообщения может говориться, что «найден классный сайт, продающий дешевый товар»; к самому письму могут прикрепляться фотографии «со студенческой вечеринки» с просьбой «никому не показывать»; в письме может быть ссылка на «очень нужную программу» и т. д. Это делается, чтобы убедить получателя, что письмо попало к нему случайно, но информация может быть для него интересной.

Пожалуй, единственным путем распространения вирусов через ICQ является передача файлов, поэтому необходимо быть очень осторожным с предложениями загрузить файл от постороннего человека.

Операционная система не всегда способна правильно выдать информацию о запускаемом файле. По умолчанию Microsoft Windows не показывает зарегистрированные расширения имен. В результате имя файла foto.jpg.ехе будет показано как foto.jpg . Для маскировки реального расширения применяется двойное расширение вроде xxx.jpg.exe (в данном случае может помочь то, что некоторые почтовые серверы отказываются пропускать исполняемые файлы) или добавляется большое количество пробелов, из-за чего имя файла отображается не полностью.

Совет

Включите отображение расширения файлов, выполнив команду Сервис > Свойства папки и сняв флажок Скрывать расширение для зарегистрированных типов файлов на вкладке Вид.

Значки – это отдельная тема. Большинство пользователей до сих пор думают, что запускаемую программу определяет значок. Щелкнув на значке с изображением калькулятора, они ожидают, что запустится именно калькулятор, а не какой-нибудь W32.Bagle-А. Этим пользуются злоумышленники: высылают файл с двойным расширением типа creditcard.doc.exe и значком, обычно используемым для документов Microsoft Word. Второе расширение чаще всего скрыто, и пользователь не сомневается, что по почте пришел именно текстовый документ.

В ближайшее время компьютерная грамотность вряд ли достигнет уровня, когда можно будет забыть о человеческом факторе, поэтому един ственный совет, который можно дать, – будьте бдительны и внимательны, критически относитесь к различным предложениям и не открывайте подозрительные письма.

Компьютерные вирусы были не более чем мифом несколько десятилетий назад, но на протяжении многих лет ситуация изменилась коренным образом. В современные дни вредоносные программы стали очень весомой угрозой для правительств и крупных международных корпораций, для малого бизнеса и индивидуальных пользователей компьютеров. Во всем мире нет человека, который бы не рисковал подвергнуться кибер-атаке, независимо от того, насколько мощное антивирусное программное обеспечение стоит у него на компьютере.

1. Creeper Virus

Самым первым компьютерным вирусом был Creeper Virus, который был обнаружен в сети ARPANET, предшественнице Интернета, в начале 1970-х годов. Это была экспериментальная самовоспроизводящаяся программа, написанная Бобом Томасом из BBN Technologies в 1971 году.

2. Вирусы, черви и трояны

В настоящее время существуют три основные категории вредоносных программ-угроз: вирусы, черви и трояны. В то время, как их предназначение и то, каким именно они способом наносят вред, отличаются, все вирусы построены на одних и тех же принципах.

3. Melissa

Вирус Melissa (март 1999 года) был настолько мощным, что он заставил Microsoft и многие другие крупные компании отключить свои системы электронной почты. Почтовые сервера корпораций не работали до тех пор, пока вирус не был удален полностью.

4. Заря эпохи персональных компьютеров

Перед тем как компьютерные сети получили широкое распространение, большинство вирусов распространялись через переносные носители информации, в частности через дискеты. На заре эпохи персональных компьютеров большинство пользователей регулярно обменивались информацией и программами на дискетах.

5. Вирусы вне закона

Тем не менее, создание компьютерного вируса сегодня не считается незаконным актом в США. Некоторые другие страны внедряют законы о компьютерной преступности, которые гораздо строже, чем в США. Например, в Германии запрещено обмениваться компьютерными вирусами вне зависимости от причины, а в Финляндии незаконным является даже написание компьютерного вируса.

6. Киберпреступность

Из-за постоянно растущего количества компьютерных вирусов и хакеров, возникают новые виды компьютерных преступлений. В наши дни так называемая киберпреступность охватывает широкий круг занятий, таких как кибер-терроризм, кибер-вымогательство и кибервойны.

7. Убытки - $ 38 млрд

Самым дорогим компьютерным вирусом всех времен стал червь MyDoom, который был запущен в январе 2004 года. Он привел к убыткам в размере $ 38 млрд. Согласно предварительным оценкам, этот вирус заразил 25% всех электронных писем.

8. Anonymous

На самом деле, очень легко стать членом Anonymous - самой известной международной сети хакеров. Но лишь немногие члены этой организации являются элитными хакерами, способными использовать недостатки безопасности в компьютерных системах и писать вирусы.

9. Активация через ссылку

Невозможно заразиться компьютерным вирусом, просто читая электронную почту. Вирус активируется только при нажатии на ссылку или при открытии инфицированного вложения.

10. Пугающая динамика

К 1990 году насчитывалось всего около 50 известных компьютерных вирусов. В конце 1990-х годов количество вирусов резко возросло до более чем 48 000. Сегодня каждый месяц появляются около 6 000 новых вирусов.

11. Осторожно, дети!

Некоторыми авторами вирусов являются дети, которые создают вирусы, чтобы просто проверить свои навыки программирования. Около 32% всех компьютеров в мире (то есть почти каждый третий компьютер) заражен какой-либо вредоносной программой.

12. Антивирусы не всесильны

Несмотря на максимальные усилия исследователей и разработчиков в области компьютерной безопасности, в настоящее время ни одна из существующих разновидностей антивирусного программного обеспечения не в состоянии определить все компьютерные вирусы.

13. VBA Microsoft Office

Созданный филиппинскими программистами Рионелем Рамонесом и Онелем де Гузманом в 2000 году, компьютерный червь известный как ILOVEYOU или "письмо счастья" стал одним из самых опасных компьютерных вирусов за всю историю. Вирус инфицировал около 10% в мире подключенных к Интернету компьютеров на то время. Убытки пользователей ПК по всему миру составили более $ 10 млрд.

Компьютер стал сегодня неотъемлемой частью жизнь человека. А учёные работают над совершенствованием суперкомпьютеров и мечтают, что найдут ответы на .