Компьютерные вирусы

Вирусы, троянцы, черви и другие зловреды — этой живности всегда хватает в Интернете. Разберемся, что такое вирус, как он живет и чем вредит нашим компьютерам.

Компьютерные вирусы: что это такое?

Вирус — это самостоятельная программа, которая устанавливается против воли пользователя на его компьютер. Вирус устанавливает сам себя в программное обеспечение или в операционную систему, повреждает ПО, а затем продолжает распространяться по системе. То же самое делает биологический вирус человека, вызывающий болезни, отсюда и название.

Слово «вирус» часто используется как обычными пользователями, так и профессионалами в качестве обозначения любых вредоносных программ. Однако, вирус в классическом понимании — это именно вредитель, ломающий ПК, нарушающий его нормальную работу.

Кроме вирусов существуют и другие вредоносные программы. Так, к примеру, есть троянцы — программы, позволяющие злоумышленникам удаленно пользоваться вашим компьютером в своих целях без вашего ведома. Есть черви — размножающиеся вирусы, цель которых — установить себя на как можно большее количество компьютеров. Шпионское ПО, рекламное ПО и программы-вымогатели также относятся к категории вредоносных программ.

Вирусы могут вредить по-разному

Вирусы существуют с самых ранних этапов компьютерной истории. Когда Интернет еще не существовал, вирусы попадали на другие компьютеры путем переноса зараженных файлов на дискете с компьютера на другой компьютер. Сейчас, когда данные передаются, в основном, через Интернет, заразиться вирусом намного проще.

Компьютерный вирус можно «подхватить» по-разному. К примеру, веб-страницы и почтовые вложения могут использоваться для непосредственного запуска вируса в систему. Часто вирус бывает встроен в скачанную с Интернета программу, которая «выпускает» вирус на волю после того, как вы ее установите.

Когда вирус запускается, он заражает множество файлов, то есть копирует в них свой вредоносный код, чтобы существовать на компьютере как можно дольше. Под угрозу могут попасть как простые документы Word, так и скрипты, библиотеки программ и все другие файлы на вашем компьютере.

Какие повреждения вызывает компьютерный вирус?

Вирусы могут наносить самый различный вред. В большинстве случаев они удаляют файлы или необратимо повреждают их. Если такое произойдет с важным системным файлом, вы не сможете запустить операционную систему после заражения.

Повреждение физического оборудования также возможно, но случается довольно редко. Например, помимо прочего, вирус может разгонять видеокарту, вызывая ее перегрев и приводя к выходу из строя.

Простое уничтожение файлов не приносит финансовой выгоды для преступников, поэтому вирусы стали им неинтересны. Тем более, что сегодня есть значительно более прибыльные вредоносные программы — те же вымогатели или рекламное ПО, так называемая «адварь».

Как распознать вирусы?

Настоящий вирус, написанный профессионалом, не позволяет пользователю узнать, что компьютер заражен. Или же пользователь может понять это только когда уже будет слишком поздно.

Впрочем, есть несколько советов:

  • Если ваш компьютер вдруг стал заметно медленнее, это может быть признаком наличия вируса.
  • Найти и удалить вирус вам поможет антивирусный сканер. Существует множество бесплатных программ для сканирования компьютера на вирусы.
  • Предотвратить проникновение вируса на ПК вам поможет антивирусное программное обеспечение или антивирусный сканер на уровне сетевого подключения.

В следующем материале расскажем о лучшем антивирусном ПО для операционной системы Windows и о том, какой антивирус является наиболее производительным.

О мобильных антивирусах для Android вы можете прочесть в нашем обзоре.


Самые первые вирусы были безобидными. Это были эксперименты – типа одного из первых вирусов “Creeper”, который просто выводил сообщение “I’M A CREEPER: CATCH ME IF YOU CAN”. Их распространение ограничивалось домашними сетями (Creeper существовал на TENEX ОС). Это было в 1971 году.
Сейчас существуют миллионы вирусов, распространяющихся через интернет всякими путями – файловые раздачи, e-mail, сайты. Когда всё связано со всем, вирусы распространяются быстро. Защита от вирусов – прибыльный бизнес.
Начиналось это довольно медленно и гораздо раньше, чем можно было предположить. Первые вирусы распространялись через оффлайн – они работали с дискетами и переносились на них между компьютерами. Кто же изобрёл вирус?
Первый вирус для Mac был написан в качестве подростковой шутки. Первый вирус для PC был сделан для борьбы с пиратством.

Elk Cloner


В 1981 году Ричард Скрента был в 9 классе. Он был очень умным хулиганом, вооружённым компьютером Apple II. Больше всего он любил издеваться над сверстниками по поводу их пиратских компьютерных игр. В 2000 году винтервью он сказал:
Я шутил над сверстниками, меняя копии пиратских игр, чтобы они самоуничтожались через определённое количество запусков. Я раздавал игры, на них подсаживались, а затем она вдруг переставала работать и выдавала какой-нибудь смешной комментарий на экран (чувство юмора девятиклассника).
В итоге друзья перестали подпускать Скренту к своим дискетам. Ему перестали одалживать игры, все перестали играть в его игрушки, и т.п. Но он не угомонился. Он начал штудировать инструкции и описания, пытаясь отыскать дыру в безопасности Apple II. И он придумал способ выполнять код, не притрагиваясь к дискетам.
«Я придумал оставлять определённый след в ОС на работающем школьном компьютере. Если следующий пользователь не перезагружал комп со своего диска, его диск подвергался воздействию моего кода».
Написал он код на ассемблере за две недели, и назвал его Elk Cloner. Он стал тем, что впоследствии назвали «вирусом для загрузочного сектора». Когда неинфицированный диск вставляли в дисковод инфицированного компьютера, тот заражал диск, записывая на него копию вируса в загрузочный сектор. Этот код автоматически выполнялся при загрузке. Принося заражённый диск на другой компьютер, и загружаясь с него, человек заражал и этот компьютер копией вируса.
Вирус немного мешал работе компьютера, а на 50-й запуск вместо запуска программы выводил целую поэму на экран:
Elk Cloner: программа, обладающая личностью
Пролезет на ваши диски
Проникнет на ваши чипы
Да, это Клонер!
Прилипнет, словно клей
Оперативку вашу подправит
Пришлите Клонера скорей.
Из-за отсрочки появления программу сразу нельзя было заметить, что улучшало шансы на распространение. Эпидемия продолжалась несколько недель.
Программа добралась и до компьютера учителя Скренты, обвинившего его в проникновении к нему в кабинет. Вирус подхватили и родственники Скренты из Балтимора (сам он жил в Питсбурге), а через много лет он услышал про случай заражения компьютера, принадлежавшего какому-то моряку.

Brain


Первым распространившимся вирусом для IBM PC стал вирус Brain. Он тоже селился в загрузочном секторе. Он был написан братьями Базитом и Амжадом Фарук Альви из Пакистана в 1986 году. Им было 17 и 24 года.
У братьев была компьютерная фирма Brain Computer Services, и вирус они написали, чтобы отслеживать пиратские копии их медицинского софта. Пиратская программа отжирала оперативку, замедляла работу диска, и иногда мешала сохранить данные. По заверениям братьев, она не уничтожала данные. Программа содержала следующее сообщение:
Welcome to the Dungeon 1986 Basit & Amjad (pvt) Ltd. BRAIN COMPUTER SERVICES 730 NIZAB BLOCK ALLAMA IQBAL TOWN LAHORE-PAKISTAN PHONE :430791,443248,280530. Beware of this VIRUS… Contact us for vaccination… $#@%$@!!
Добро пожаловать в подземелье… Берегитесь этого вируса… Свяжитесь с нами для лечения…
В заголовке были указаны реальные контакты. Когда кто-либо звонил им за помощью, они могли идентифицировать пиратскую копию. Также вирус подсчитывал количество сделанных копий.
Они обнаружили, что пиратство было широко распространено, и копии их программ распространялись очень далеко. Амжад говорит, что первый их звонок поступил из США, Майами.

Братья Альви в 2011 году
Это был первый из множества звонков из США. Проблема оказалась в том, что Brain распространялся и по другим дискетам, а не только по копиям их программы. В Университете Делавера даже случилась эпидемия этого вируса в 1986 году, а затем он появлялся и во многих других местах. Исков подано не было, но в газетах про это писали много. Создателей даже упоминали в журнале Time Magazine в 1988.
New York Times писала в мае 1988: «Дерзкая компьютерная программа, которая в этом месяце появилась на компьютерах Бюллетеня Провиденса, уничтожила файлы одного корреспондента и распространилась через дискеты по всей сети газеты. Компьютерщики считают, что это первый случай заражения компьютерной ситемы американской газеты такой дерзкой программой, которую называют компьютерным „вирусом“.
Братьям Альви пришлось сменить телефоны и убрать контакты из поздних версий вируса. Продажи программы они прекратили в 1987 году. Их компания выросла в телекоммуникационного провайдера и сейчас это – крупнейший провайдер в Пакистане. Расположена она всё по тому же адресу.

А теперь – Chaos


Скрента в 2012 году
Скрента работал в области информационной безопасности, а сейчас он CEO компании Blekko, которая занимается поисковыми технологиями.
Хотя дискет уже давно нет, вирусы в загрузочных секторах существуют. Теперь они работают с USB-флешками. Поскольку физические носители всё меньше используются для переноса данных, специалисты уверены, что дни загрузочных вирусов сочтены.
Война с вирусами переместилась в онлайн. Скрента сказал в интервью The Register: „Грустно, что существует такая большая индустрия антивирусов. Надо делать более защищённые системы, а не организовывать многомиллионную индустрию, чтобы подчищать существующие“.
Скрента и братья Альви не чувствуют вины за то, что начали адское шествие вредоносных программ по миру. „Джин в любом случае выбрался бы из бутылки, — написал Скрента в блоге,– мне было интересно быть первым, кто его выпустил“.

И снова здравствуйте.
Тема сегодняшней статьи компьютерные вирусы. Виды компьютерных вирусов, принципы их работы, пути заражения компьютерными вирусами.

компьютерные вирусы

Что вообще такое компьютерные вирусы.

Компьютерный вирус — Это специально написанная программа или сборка алгоритмов которые пишутся с целью: пошутить, навредить чьему либо компьютеру, получение доступа к вашему компьютеру, для перехвата паролей или вымогания денег. Вирусы могут само-копироваться и заражать вредоносным кодом ваши программы и файлы, а так же загрузочные сектора.

Виды вредоносных программ.

Разделить вредоносные программы можно на два основных вида.
Вирусы и черви.


Вирусы — распространяются через вредоносный файл, который вы могли скачать в интернете, или может оказаться на пиратском диске, или часто передают их по скайпу под видом полезных программ (заметил что на последнее часто попадаются школьники, им передают якобы мод для игры или читы а на самом деле может оказаться вирусом который может навредить).
Вирус вносит свой код одну из программ, либо маскируется отдельной программой в том месте куда обычно пользователи не заходят (папки с операционной системой, скрытые системные папки).
Вирус не может запуститься сам, пока вы сами не запустите зараженную программу.
Черви заражают уже множество файлов вашем компьютере, например все exe файлы, системные файлы, загрузочные сектора и тд.
Черви чаще всего проникают в систему уже сами, используя уязвимости вашей ОС, вашего браузера, определенной программы.
Они могут проникать через чаты, программы для общения такие как skype, icq , могут распространяться через электронную почту.
Так же они могут быть на сайтах, и используя уязвимость вашего браузера проникнуть в вашу систему.
Черви могут распространяться по локальной сети, если один из компьютеров в сети окажется заражен он может распространяться на остальные компьютеры заражая все файлы на своём пути.
Черви стараются писать под самые популярные программы. Например сейчас самый популярный браузер «Chrome», поэтому мошенники будут стараться писать под него, и делать вредоносный код на сайты под него. Потому что часто интереснее заразить тысячи пользователей которые используют популярную программу чем сотню с непопулярной программой. Хотя chrome и постоянно улучшает защиту.
Лучшая защита от сетевых червей это обновлять ваши программы и вашу операционную систему. Многие пренебрегают обновлениями о чем часто жалеют.
Несколько лет назад я замечал следующий червь.

Но он явно попал не через интернет а скорее всего через пиратский диск. Суть его работы была таковой — он создавал будто бы копию каждой папки в компьютере или на флешке. Но на самом деле он создавал не похожую папку а exe файл. При нажатии на такой exe файл он распространялся ещё сильнее по системе. И вот было только избавишься от него, придешь к другу с флешкой, скинуть у него музыку а возвращаешься с зараженной таким червем флешку и снова приходилось его выводить. Наносил ли этот вирус какой то ещё вред системе я не знаю, но вскоре этот вирус прекратил своё существование.

Основные разновидности вирусов.

На самом деле существует множество видов и разновидностей компьютерных угроз. И все рассмотреть просто невозможно. Поэтому мы рассмотрим самые распространенные в последнее время и самые неприятные.
Вирусы бывают :
— Файловые — находятся в зараженном файле, активируются когда пользователь включает эту программу, сами не могут активироваться.
— Загрузочные — могут загружаться при загрузке windows попав в автозагрузку, при вставке флешки или подобное.
— Макро вирусы — это различные скрипты которые могут находиться на сайте, могут прислать их вам по почте или в документах Word и Excel, выполняют определенные функции заложенные в компьютере. Используют уязвимости ваших программ.

Типы вирусов.
-Троянские программы
— Шпионы
— Вымогатели
— Вандалы
— Руткиты
— Botnet
— Кейлогеры
Это самые основные виды угроз которые могут вам встретиться. Но на самом деле их намного больше.
Некоторые вирусы могут даже комбинироваться и содержать в себе сразу несколько видов этих угроз.
— Троянские программы. Название происходит от троянского коня. Проникает в ваш компьютер под видом безвредных программ, потом может открыть доступ к вашему компьютеру или переслать ваши пароли хозяину.
В последнее время распространены такие трояны которые называются стилеры (stealer). Они могут воровать сохраненные пароли в вашем браузере, в почтовых игровых клиентах. Сразу после запуска копирует ваши пароли и отправляет ваши пароли на email или на хостинг злоумышленнику. Ему остается собрать ваши данные, потом их либо продают либо используют в своих целях.
— Шпионы (spyware) отслеживают действия пользователя. Какие сайты посещает или что делает пользователь на своём компьютере.
— Вымогатели. К ним относятся Винлокеры (winlocker). Программа полностью, или полностью блокирует доступ к компьютеру и требует деньги за разблокировку, на пример положить на счет или тд. Ни в коем случае если вы попали на такое не стоит пересылать деньги. Компьютер вам не разблокируется, а деньги вы потеряете. Вам прямая дорога на сайт компании Drweb, там можно найти как разблокировать многие винлокеры, за счет ввода определенного кода или выполнения некоторых действий. Некоторые винлокеры могут пропасть например через день.
— Вандалы могут блокировать доступы к сайтам антивирусов и доступ к антивирусам и многим другим программам.
— Руткиты (rootkit) — вирусы гибриды. Могут содержать в себе различные вирусы. Могут получать доступ к вашему пк, и человек будет полностью иметь доступ к вашему компьютеру, причем могут слиться на уровень ядра вашей ОС. Пришли из мира Unix систем. Могут маскировать различные вирусы, собирать данные о компьютере и обо всех процессах компьютера.
— Botnet достаточно неприятная вещь. Ботнеты это огромные сети из зараженных компьютеров «зомби», которые могут использоваться для ддоса сайтов и прочих кибер атак, используя зараженные компьютеры. Этот вид очень распространен и его тяжело обнаружить, даже антивирусные компании могут долго не знать о их существовании. Очень многие могут быть ими заражены и даже не подозревать об этом. Не исключении вы и даже может и я.
— Кейлогеры (keylogger) — клавиатурные шпионы . Перехватывают всё что вы вводите с клавиатуры (сайты, пароли ) и отправляет их хозяину.

Пути заражения компьютерными вирусами.

Основные пути заражения.
— Уязвимость операционной системы.

— Уязвимость в браузере

— Качество антивируса хромает

— Глупость пользователя

— Сменные носители.
Уязвимость ОС — как бы не старались клепать защиту для ОС со временем находятся дыры безопасности. Большинство вирусов пишется под windows так как это самая популярная операционная система. Лучшая защита это постоянно обновлять вашу операционную систему и стараться использовать более новую версию.
Браузеры — Здесь происходит за счёт уязвимостей браузеров, особенно если они опять же старые. Лечится так же частым обновлением. Так же могут быть проблемы если вы качаете плагины для браузера со сторонних ресурсов.
Антивирусы — бесплатные антивирусы которые имеют меньший функционал в отличие от платных. Хотя и платные не дают 100 результата в защите и дают осечки. Но желательно иметь всё же хотя бы бесплатный антивирус. Я уже писал про бесплатные антивирусы в этой статье.
Глупость пользователя — клики по баннерам, переходи по подозрительным ссылкам из писем и тд, установка софта из подозрительных мест.
Сменные носители — вирусы могут устанавливаться автоматически с зараженных и специально подготовленных флешек и прочих сменных носителей. Не так давно мир услышал про уязвимость BadUSB.

https://avi1.ru/ — купить очень недорогое продвижение в социальных сетях Вы можете на этом сайте. Также Вы получите действительно выгодные предложения по приобретению ресурсов на свои страницы.

Виды заражаемых объектов.

Файлы — Заражают ваши программы, системные и обычные файлы.
Загрузочные секторы — резидентные вирусы. Заражают как понятно из названия загрузочные сектора компьютера, приписывают свой код в автозагрузку компьютера и запускаются при запуске операционной системе. Порою хорошо маскируются что трудно убрать из автозагрузки.
Макрокоманды — Документы word, excel и подобные. Использую макросы и уязвимости средств Microsoft office вносит свой вредоносный код в вашу операционную систему.

Признаки заражения компьютерными вирусами.

Не факт что при появлении некоторых из этих признаков означает наличие вируса в системе. Но если они имеются рекомендуется проверить свой компьютер антивирусом или обратиться к специалисту.
Один из распространенных признаков — это сильная перегрузка компьютера. Когда у вас медленно работает компьютер, хотя у вас ничего вроде бы не включено, программ которые могут сильно нагружать компьютер. Но если у вас антивирус заметьте антивирусы сами по себе нагружают компьютер очень хорошо. А в случае отсутствия такого софта который может грузить то скорее тут вирусы. Вообще советую по уменьшить для начала количество запускаемых программ в автозапуске.

Медленная загрузка программ, так же может быть одним из признаков заражения.
Но не все вирусы могут сильно нагружать систему, некоторые практически трудно заметить изменения.
Системные ошибки. Перестают работать драйвера, некоторые программы начинают работать не правильно или часто вылетают с ошибкой но раньше допустим такого не замечалось. Или начинают часто перезагружаться программы. Конечно такое бывает из за антивирусов, например антивирус удалил по ошибке посчитав системный файл вредоносным, либо удалил действительно зараженный файл но он был связан с системными файлами программы и удаление повлекло за собой такие ошибки.


Появление рекламы в браузерах или даже на рабочем столе начинают появляться баннеры.
Появление не стандартных звуков при работе компьютера (писк, щелчки ни с того ни с сего и подобное).
Открывается сам по себе CD/DVD привод, или просто начинает словно читать диск хотя диска там нет.
Длительное включение или выключение компьютера.
Угон ваших паролей. Если вы заметили что от вашего имени рассылается различный спам, с вашего почтового ящика или странички социальной сети, как вероятность что вирус проник в ваш компьютер и передал пароли хозяину, если вы заметили такое рекомендую провериться антивирусом в обязательном порядке (хотя не факт что именно так злоумышленник получил ваш пароль).
Частое обращение к жесткому диску. У каждого компьютера есть индикатор, который мигает когда используют различные программы или когда копируете, скачиваете, перемещаете файлы. Например у вас просто включен компьютер но не используется никаких программ, но индикатор начинает часто мигать якобы используются программы. Это уже вирусы на уровне жесткого диска.

Вот собственно и рассмотрели компьютерные вирусы которые могут вам встретиться в интернете. Но на самом деле их в разы больше, и полностью защититься не возможно, разве что не пользоваться интернетом, не покупать диски и вообще не включать компьютер.

Советую по возможности не пренебрегать использованием виртуальных машин или песочницы.

Берегите себя и свои компьютеры.

Вспыхнувшая в мае этого года эпидемия компьютерного вируса «LoveLetter» («Любовные письма») еще раз подтвердила опасность, которую таит в себе подобная «компьютерная фауна». Проникнув в сотни тысяч компьютеров по всему миру, вирус уничтожил огромное количество важной информации, буквально парализовав работу крупнейших коммерческих и государственных организаций.

Так выглядят «любовные письма», рассылаемые вирусом «LoveLetter» no электронной почте. Чтобы запустить вирус, достаточно нажать на иконку. Такой рисунок показывает вирус «Tentacle» («Щупальце») при попытке просмотреть любой файл с расширением GIF на зараженных компьютерах. Надпись на рисунке: «Я вирус Щупальце». Вирус «Marburg» показывает эти прелестные крестики и … удаляет файлы с дисков. Скрипт-вирус «Monopoly» поиздевался над главой компании Microsoft Биллом Гейтсом. Помимо показа забавной картинки вирус незаметно отсылает с компьютера секретную информацию. ‹

К сожалению, феномен «компьютерного вируса» до сих пор вызывает скорее суеверный трепет, нежели желание трезво разобраться в ситуации и принять меры безопасности. Какие они — эти вирусы? Насколько они опасны? Какие методы антивирусной защиты существуют сегодня и насколько они эффективны? На эти и другие темы рассуждают специалисты ведущего российского производителя антивирусных программ «Лаборатории Касперского».

ЧТО ТАКОЕ КОМПЬЮТЕРНЫЙ ВИРУС?

На этот, казалось бы, простой вопрос до сих пор не найден однозначный ответ. В специализированной литературе можно найти сотни определений понятия «компьютерный вирус», при этом многие из них различаются чуть ли ни диаметрально. Отечественная «вирусология» обычно придерживается следующего определения: компьютерным вирусом называется программа, без ведома пользователя внедряющаяся в компьютеры и производящая там различные несанкционированные действия. Это определение было бы неполным, если бы мы не упомянули еще одно свойство, обязательное для компьютерного вируса. Это его способность «размножаться», то есть создавать свои дубликаты и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. Причем дубликаты вируса могут и не совпадать с оригиналом.

Способность вирусов к «размножению» вызывает у некоторых людей желание сравнивать их с «особой формой жизни» и даже наделять эти программы неким «злым интеллектом», заставляющим их совершать мерзкие выходки ради достижения поставленной цели. Однако это не более чем вымысел и игра фантазии. Подобное восприятие событий напоминает средневековые представления о злых духах и ведьмах, которых никто не видел, но все боялись. «Размножение» вирусов ничем не отличается от, например, копирования программой файлов из одной директории в другую. Отличие лишь в том, что эти действия производятся без ведома пользователя, то есть на экране не появляется никаких сообщений. Во всем остальном вирус — самая обычная программа, использующая те или иные команды компьютера.

Компьютерные вирусы — один из подвидов большого класса программ, называемых вредоносными кодами. Сегодня эти понятия часто отождествляют, однако, с научной точки зрения это не верно. В группу вредоносных кодов входят также так называемые «черви» и «Троянские кони». Их главное отличие от вирусов в том, что они не могут «размножаться».

Программа-червь распространяется по компьютерным сетям (локальным или глобальным), не прибегая к «размножению». Вместо этого она автоматически, без ведома пользователя, рассылает свой оригинал, например, по электронной почте.

«Троянские» программы вообще лишены каких-либо встроенных функций распространения: они попадают на компьютеры исключительно «с помощью» своих авторов или лиц, незаконно их использующих. Вспомним «Илиаду» Гомера. После многих безуспешных попыток взять Трою штурмом, греки прибегли к хитрости. Они построили статую коня и оставили ее троянцам, сделав вид, что отступают. Однако конь был внутри пустым и скрывал отряд греческих солдат. Троянцы, поклонявшиеся божеству в образе коня, сами втащили статую в ворота города. «Троянские» программы используют похожий способ внедрения: они попадают в компьютеры под видом полезных, забавных и, зачастую, весьма прибыльных программ. Например, пользователю приходит письмо по электронной почте с предложением запустить присланный файл, где лежит, скажем, миллион рублей. После запуска этого файла в компьютер незаметно попадает программа, совершающая различные нежелательные действия. Например, она может шпионить за владельцем зараженного компьютера (следить, какие сайты он посещает, какие использует пароли для доступа в Интернет и т. п.) и затем отсылать полученные данные своему автору.

В последнее время участились случаи появления так называемых «мутантов», то есть вредоносных кодов, сочетающих в себе особенности сразу нескольких классов. Типичный пример — макровирус «Melissa», вызвавший крупную эпидемию в марте прошлого года. Он распространялся по сетям как классический Интернет-червь. «LoveLetter» — также помесь сетевого червя и вируса. В более сложных случаях вредоносная программа может содержать в себе характеристики всех трех типов (таков, например, вирус «BABYLONIA»).

ПРОИСХОЖДЕНИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

Как это ни странно, идея компьютерных вирусов возникла задолго до появления персональных компьютеров. В1959 году американский ученый Л. С. Пенроуз (L. С. Penrose) опубликовал в журнале «Scientific American» статью, посвященную самовоспроизводящимся механическим структурам. В этой статье была описана простейшая модель двухмерных структур, способных к активации, размножению, мутациям, захвату. Вскоре исследователь из США Ф. Г. Сталь (F. G. Stahl) реализовал эту модель с помощью машинного кода на IBM 650.

В те времена компьютеры были огромными, сложными в эксплуатации и чрезвычайно дорогими машинами, поэтому их обладателями могли стать лишь крупные компании или правительственные вычислительные и научно-исследовательские центры. Но вот 20 апреля 1977 года с конвейера сходит первый «народный» персональный компьютер Apple II. Цена, надежность, простота и удобство в работе предопределили его широкое распространение в мире. Общий объем продаж компьютеров этой серии составил более трех миллионов штук (без учета его многочисленных копий, таких, как Правец 8М/С, Агат и др.), что на порядок превышало количество всех других ЭВМ, имевшихся в то время. Тем самым доступ к компьютерам получили миллионы людей самых различных профессий, социальных слоев и склада ума. Неудивительно, что именно тогда и появились первые прототипы современных компьютерных вирусов, ведь были выполнены два важнейших условия их развития — расширение «жизненного пространства» и появление средств распространения.

В дальнейшем условия становились все более и более благоприятными для вирусов. Ассортимент доступных рядовому пользователю персональных компьютеров расширялся, помимо гибких 5-дюймовых магнитных дисков появились жесткие, бурно развивались локальные сети, а также технологии передачи информации при помощи обычных коммутируемых телефонных линий. Возникли первые сетевые банки данных BBS (Bulletin Board System), или «доски объявлений», значительно облегчавшие обмен программами между пользователями. Позднее многие из них переросли в крупные онлайновые справочные системы (CompuServe, AOL и др.). Все это способствовало выполнению третьего важнейшего условия развития и распространения вирусов — стали появляться отдельные личности и группы людей, занимающиеся их созданием.

Кто пишет вирусные программы и зачем? Этот вопрос (с просьбой указать адрес и номер телефона) особенно волнует тех, кто уже подвергся вирусной атаке и потерял результаты многолетней кропотливой работы. Сегодня портрет среднестатистического «вирусописателя» выглядит так: мужчина, 23 года, сотрудник банка или финансовой организации, отвечающий за информационную безопасность или сетевое администрирование. Однако по нашим данным, его возраст несколько ниже (14-20 лет), он учится или не имеет занятия вообще. Главное, что объединяет всех создателей вирусов — это желание выделиться и проявить себя, пусть даже на геростратовом поприще. В повседневной жизни такие люди часто выглядят трогательными тихонями, которые и мухи не обидят. Вся их жизненная энергия, ненависть к миру и эгоизм находят выход в создании мелких «компьютерных мерзавцев». Они трясутся от удовольствия, когда узнают, что их «детище» вызвало настоящую эпидемию в компьютерном мире. Впрочем, это уже область компетенции психиатров.

90-е годы, ознаменовавшиеся расцветом глобальной сети Интернет, оказались наиболее благодатным временем для компьютерных вирусов. Сотни миллионов людей по всему миру волей-неволей сделались «пользователями», а компьютерная грамотность стала почти так же необходима, как умение читать и писать. Если раньше компьютерные вирусы развивались в основном экстенсивно (то есть росло их число, но не качественные характеристики), то сегодня благодаря совершенствованию технологий передачи данных можно говорить об обратном. На смену «примитивным предкам» приходят все более «умные» и «хитрые» вирусы, гораздо лучше приспособленные к новым условиям обитания. Сегодня вирусные программы уже не ограничиваются порчей файлов, загрузочных секторов или проигрыванием безобидных мелодий. Некоторые из них способны уничтожать данные на микросхемах материнских плат. При этом технологии маскировки, шифрации и распространения вирусов подчас удивляют даже самых бывалых специалистов.

КАКИЕ БЫВАЮТ ВИРУСЫ

На сегодняшний день зарегистрировано около 55 тысяч компьютерных вирусов. Их число постоянно растет, появляются совершенно новые, ранее неизвестные типы. Классифицировать вирусы становится труднее год от года. В общем случае их можно разделить на группы по следующим основным признакам: среда обитания, операционная система, особенности алгоритма работы. Согласно этим трем классификациям известный вирус «Чернобыль», к примеру, можно отнести к файловым резидентным неполиморфичным Windows-вирусам. Поясним подробнее, что это значит.

1. Среда обитания

В зависимости от среды обитания различают файловые, загрузочные и макровирусы.

Поначалу самой распространенной формой компьютерной «заразы» были файловые вирусы, «обитающие» в файлах и папках операционной системы компьютера. К ним относятся, например, «overwriting»-вирусы (от англ. «записывать поверх»). Попадая в компьютер, они записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Однако это довольно примитивные вирусы: они, как правило, очень быстро себя обнаруживают и не могут стать причиной эпидемии.

Другой тип «файловых вредителей» — так называемые паразитические вирусы. Они оставляют зараженные файлы полностью или частично работоспособными, но при этом изменяют их содержимое. Например, они могут копировать себя в начало, конец или середину файлов. Так, «cavitys-вирусы (от англ. «полость») записывают свой код в заведомо неиспользуемые данные файла.

Еще более «хитро» ведут себя «companion»-вирусы (от англ. «приятель», «компаньон»). Они не изменяют сам файл, но создают для него файл-двойник таким образом, что при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Например, «companion»-вирусы, работающие под DOS, используют особенность этой операционной системы в первую очередь выполнять файлы с расширением СОМ, а потом уже с расширением ЕХЕ. Такие вирусы создают для ЕХЕ-файлов двойники, имеющие то же самое имя, но с расширением СОМ. Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске зараженного файла DOS первым обнаружит и выполнит именно СОМ-файл, то есть вирус, а уже потом вирус запустит файл с расширением ЕХЕ.

Иногда «соmpanion»-вирусы просто переименовывают заражаемый файл, а под старым именем записывают на диск свой собственный код. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске файла управление получает код вируса, который затем уже запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Подобного типа вирусы были обнаружены во многих операционных системах — не только в DOS, но и в Windows и OS/2.

Есть и другие способы создавать файлы-двойники. Например, вирусы типа «path-companion» «играют» на особенностях DOS PATH — иерархической записи местоположения файла в системе DOS. Вирус копирует свой код под именем заражаемого файла, но помещает его не в ту же директорию, а на один уровень выше. В этом случае DOS первым обнаружит и запустит именно файл-вирус.

Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы. Эти вирусы заражают загрузочный сектор (boot-сектор) дискеты или винчестера — специальную область на диске, содержащую программу начальной загрузки компьютера. Если изменить содержимое загрузочного сектора, то, возможно, вы даже не сможете запустить ваш компьютер.

Макровирусы — разновидность компьютерных вирусов, созданных при помощи макроязыков, встроенных в популярные офисные приложения наподобие Word, Excel, Access, PowerPoint, Project, Corel Draw и др. (см. «Наука и жизнь» № 6, 2000 г.). Макроязыки используются для написания специальных программ (макросов), позволяющих повысить эффективности работы офисных приложений. Например, в Word можно создать макрос, автоматизирующий процесс заполнения и рассылки факсов. Тогда пользователю достаточно будет ввести данные в поля формы и нажать на кнопку — все остальное макрос сделает сам. Беда в том, что, кроме полезных, в компьютер могут попасть и вредоносные макросы, обладающие способностью создавать свои копии и совершать некоторые действия без ведома пользователя, например изменять содержание документов, стирать файлы или директории. Это и есть макровирусы.

Чем шире возможности того или иного макроязыка, тем более хитрыми, изощренными и опасными могут быть написанные на нем макровирусы. Самый распространенный сегодня макроязык — Visual Basic for Applications (VBA). Его возможности стремительно возрастают с каждой новой версией. Таким образом, чем более совершенными будут офисные приложения, тем опаснее будет в них работать. Поэтому макровирусы представляют сегодня реальную угрозу компьютерным пользователям. По нашим прогнозам, с каждым годом они будут становиться все более неуловимыми и опасными, а скорость их распространения скоро достигнет небывалых величин.

2. Используемая операционная система.

Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем — DOS, Windows, OS/2, Linux, MacOS и т.д. На этом основан второй способ классификации вирусов. Например, вирус «BOZA», работающий только в Windows и нигде более, относится к Windows-вирусам. Вирус «BLISS» — к Linux-вирусам и т.д.

3. Алгоритмы работы.

Вирусы можно также различать по используемым ими алгоритмам работы, то есть различным программным хитростям, делающим их столь опасными и трудноуловимыми.

Во-первых, все вирусы можно разделить на резидентные и нерезидентные. Резидентный вирус подобен шпиону, постоянно работающему в чужой стране. Попав при загрузке в оперативную память компьютера, вирус остается в ней до тех пор, пока компьютер не будет выключен или перезагружен. Именно оттуда вирус-резидент и совершает все свои деструктивные действия. Нерезидентные вирусы не заражают память компьютера и способны «размножаться» только если их запустить.

К резидентным можно также отнести все макровирусы. Они присутствуют в памяти компьютера в течение всего времени работы зараженного ими приложения.

Во-вторых, вирусы бывают видимыми и невидимыми. Для простого обывателя невидимость вируса — пожалуй, самое загадочное его свойство. Однако ничего демонического в этом нет. «Невидимость» заключается в том, что вирус посредством программных уловок не дает пользователю или антивирусной программе заметить изменения, которые он внес в зараженный файл. Постоянно присутствуя в памяти компьютера, вирус-невидимка перехватывает запросы операционной системы на чтение и запись таких файлов. Перехватив запрос, он подставляет вместо зараженного файла его первоначальный неиспорченный вариант. Таким образом пользователю всегда попадаются на глаза только «чистые» программы, в то время как вирус незаметно вершит свое «черное дело». Одним из первых файловых вирусов-невидимок был «Frodo», а первым загрузочным невидимкой — вирус «Brain».

Чтобы максимально замаскироваться от антивирусных программ, практически все вирусы используют методы самошифрования или полиморфичности, то есть они могут сами себя зашифровывать и видоизменять. Меняя свой внешний вид (программный код), вирусы полностью сохраняют способность совершать те или иные вредоносные действия. Раньше антивирусные программы умели обнаруживать вирусы только «в лицо», то есть по их уникальному программному коду. Поэтому появление вирусов-полиморфиков несколько лет назад произвело настоящую революцию в компьютерной вирусологии. Сейчас уже существуют универсальные методы борьбы и с такими вирусами.

МЕТОДЫ БОРЬБЫ С КОМПЬЮТЕРНЫМИ ВИРУСАМИ

Необходимо помнить главное условие борьбы с компьютерными вирусами — не паниковать. Круглосуточно на страже компьютерной безопасности находятся тысячи высококлассных антивирусных специалистов, профессионализм которых многократно превосходит совокупный потенциал всех компьютерных хулиганов — хакеров. В России антивирусными исследованиями занимаются две компьютерные компании — «Лаборатория Касперского» (www.avp.ru) и «СалД» (www.drweb.ru).

Для того чтобы успешно противостоять попыткам вирусов проникнуть в ваш компьютер, необходимо выполнять два простейших условия: соблюдать элементарные правила «компьютерной гигиены» и пользоваться антивирусными программами.

С тех пор как существует антивирусная индустрия, было изобретено множество способов противодействия компьютерным вирусам. Пестрота и разнообразие предлагаемых сегодня систем защиты поистине поражает. Попробуем разобраться, в чем преимущества и недостатки тех или иных способов защиты и насколько они эффективны по отношению к различным типам вирусов.

На сегодняшний день можно выделить пять основных подходов к обеспечению антивирусной безопасности.

1. Антивирусные сканеры.

Пионер антивирусного движения — программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с цепью обнаружения в них вирусных сигнатур, то есть уникального программного кода вируса.

Главный недостаток сканера — неспособность отслеживать различные модификации вируса. К примеру, существует несколько десятков вариантов вируса «Melissa», и почти для каждого из них антивирусным компаниям приходилось выпускать отдельное обновление антивирусной базы.

Отсюда вытекает и вторая проблема: на время между появлением новой модификации вируса и выходом соответствующего антивируса пользователь остается практически незащищенным. Правда, позднее эксперты придумали и внедрили в сканеры оригинальный алгоритм обнаружения неизвестных вирусов — эвристический анализатор, который проверял код программы на возможность присутствия в нем компьютерного вируса. Однако этот метод имеет высокий уровень ложных срабатываний, недостаточно надежен и, кроме того, не позволяет ликвидировать обнаруженные вирусы.

И, наконец, третий недостаток антивирусного сканера — он проверяет файлы только тогда, когда вы его об этом «попросите», то есть запустите программу. Между тем пользователи очень часто забывают проверять сомнительные файлы, загруженные, например, из Интернета, и в результате своими собственными руками заражают компьютер. Сканер способен определить факт заражения только после того, как в системе уже появился вирус.

2. Антивирусные мониторы.

По своей сути антивирусные мониторы — это разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

3. Ревизоры изменений.

Работа этого вида антивирусных программ основана на снятии оригинальных «отпечатков» (CRC-сумм) с файлов и системных секторов. Эти «отпечатки» сохраняются в базе данных. При следующем запуске ревизор сверяет «отпечатки» с их оригиналами и сообщает пользователю о произошедших изменениях.

У ревизоров изменений тоже есть недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того как вирус разошелся по компьютеру. Во-вторых, они не могут обнаружить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии, или при распаковке файлов из архива), поскольку в базах данных ревизоров информация об этих файлах отсутствует. Этим и пользуются некоторые вирусы, заражая только вновь создаваемые файлы и оставаясь, таким образом, невидимыми для ревизоров. В-третьих, ревизоры требуют регулярного запуска — чем чаще это делать, тем надежнее будет контроль за вирусной активностью.

4. Иммунизаторы.

Антивирусные программы-иммунизаторы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: они абсолютно не способны обнаруживать вирусы-невидимки, хитро скрывающие свое присутствие в зараженном файле.

Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Например, чтобы предотвратить заражение СОМ-файла вирусом «Jerusalem» достаточно дописать в него строку MsDos. А для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена и можно ею не заниматься.

Конечно, нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности. Именно поэтому иммунизаторы не получили большого распространения и в настоящее время практически не используются.

5. Поведенческие блокираторы.

Все перечисленные выше типы антивирусов не решают главной проблемы — защиты от неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитны перед ними до тех пор, пока производители антивирусов не разработают противоядия. Иногда на это уходит несколько недель. За это время можно потерять всю важную информацию.

Однозначно ответить на вопрос «что же делать с неизвестными вирусами?» нам удастся лишь в грядущем тысячелетии. Однако уже сегодня можно сделать некоторые прогнозы. На наш взгляд, наиболее перспективное направление антивирусной защиты — это создание так называемых поведенческих блокираторов. Именно они способны практически со стопроцентной гарантией противостоять атакам новых вирусов.

Что такое поведенческий блокиратор? Это программа, постоянно находящаяся в оперативной памяти компьютера и «перехватывающая» различные события в системе. В случае обнаружения «подозрительных» действий (которые может производить вирус или другая вредоносная программа), блокиратор запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор не ищет код вируса, но отслеживает и предотвращает его действия.

Теоретически блокиратор может предотвратить распространение любого как известного, так и неизвестного (написанного после блокиратора) вируса. Но проблема заключается в том, что «вирусоподобные» действия может производить и сама операционная система, а также полезные программы. Поведенческий блокиратор (здесь имеется в виду «классический» блокиратор, который используется для борьбы с файловыми вирусами) не может самостоятельно определить, кто именно выполняет подозрительное действие — вирус, операционная система или какая-либо программа, и поэтому вынужден спрашивать подтверждения у пользователя. Таким образом пользователь, принимающий конечное решение, должен обладать достаточными знаниями и опытом для того, чтобы дать правильный ответ. Но таких людей мало. Именно поэтому блокираторы до сих пор не стали популярными, хотя сама идея их создания появилась довольно давно. Достоинства этих антивирусных программ зачастую становились их недостатками: они казались слишком навязчивыми, утруждая пользователя своими постоянным запросами, и пользователи их просто удаляли. К сожалению, эту ситуацию может исправить лишь использование искусственного интеллекта, который самостоятельно разбирался бы в причинах того или иного подозрительного действия.

Однако уже сегодня поведенческие блокираторы могут успешно применяться для борьбы с макровирусами. В программах, написанных на макроязыке VBA, можно с очень большой долей вероятности отличать вредоносные действия от полезных. В конце 1999 года «Лаборатория Касперского» разработала уникальную систему защиты от макровирусов пакета MS Office (версий 97 и 2000), основанную на новых подходах к принципам поведенческого блокиратора, — AVP Office Guard. Благодаря проведенному анализу поведения макровирусов, были определены наиболее часто встречающиеся последовательности их действий. Это позволило внедрить в программу блокиратора новую высокоинтеллектуальную систему фильтрации действий макросов, практически безошибочно выявляющую те из них, которые представляют собой реальную опасность. Благодаря этому блокиратор AVP Office Guard, с одной стороны, задает пользователю гораздо меньше вопросов и не столь «навязчив», как его файловые собратья, а с другой — практически на 100% защищает компьютер от макровирусов как известных, так и еще не написанных.

AVP Office Guard перехватывает и блокирует выполнение даже многоплатформенных макровирусов, то есть вирусов, способных работать сразу в нескольких приложениях. Кроме того, программа AVP Office Guard контролирует работу макросов с внешними приложениями, в том числе и с почтовыми программами. Тем самым исключается возможность распространения макровирусов через электронную почту. А ведь именно таким способом в мае этого года вирус «LoveLetter» поразил десятки тысяч компьютеров по всему миру.

Эффективность блокиратора была бы нулевой, если бы макровирусы могли произвольно отключать его. (В этом состоит один из недостатков антивирусной защиты, встроенной в приложения MS Office.) В AVP Office Guard заложен новый механизм противодействия атакам макровирусов на него самого с целью его отключения и устранения из системы. Сделать это может только сам пользователь. Таким образом, использование AVP Office Guard избавит вас от вечной головной боли по поводу загрузки и подключения обновлений антивирусной базы для защиты от новых макровирусов. Однажды установленная, эта программа надежно защитит компьютер от макровирусов вплоть до выхода новой версии языка программирования VBA с новыми функциями, которые могут быть использованы для написания вирусов.

Хотя поведенческий блокиратор и решает проблему обнаружения и предотвращения распространения макровирусов, он не предназначен для их удаления. Поэтому его надо использовать совместно с антивирусным сканером, который способен успешно уничтожить обнаруженный вирус. Блокиратор позволит безопасно переждать период между обнаружением нового вируса и выпуском обновления антивирусной базы для сканера, не прерывая работу компьютерных систем из-за боязни навсегда потерять ценные данные или серьезно повредить аппаратную часть компьютера.

ПРАВИЛА «КОМПЬЮТЕРНОЙ ГИГИЕНЫ»

» Ни в коем случае не открывайте файлы, присылаемые по электронной почте неизвестными вам людьми. Даже если адресат вам известен — будьте осторожны: ваши знакомые и партнеры могут и не подозревать, что в их компьютере завелся вирус, который незаметно рассылает свои копии по адресам из их адресной книги.

» Обязательно проверяйте антивирусным сканером с максимальным уровнем проверки все дискеты, компакт-диски и другие мобильные носители информации, а также файлы, получаемые из сети Интернет и других публичных ресурсов (BBS, электронных конференций и т. д.).

» Проводите полную антивирусную проверку компьютера после получения его из ремонтных служб. Ремонтники пользуются одними и теми же дискетами для проверки всех компьютеров — они очень легко могут занести «заразу» с другой машины!

» Своевременно устанавливаете «заплатки» от производителей используемых вами операционных систем и программ.

» Будьте осторожны, допуская других пользователей к вашему компьютеру.

» Для повышения сохранности ваших данных периодически проводите резервную архивацию информации на независимые носители.

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *