Введение:
Ни для кого не секрет, что самым большим и опасным врагом любого современного компьютера являются вирусы. И не важно, для чего используется ПК и подключен ли он к Интернету или локальной сети. На сегодняшний день разнообразие зловредных программ настолько велико, что под угрозой оказывается буквально каждый компьютер. А вообще, вся история развития компьютерных вирусов больше всего напоминает гонку вооружений.
20-е столетие, несомненно, является одним из поворотных этапов в жизни человечества. Человечество захвачено техникой и уже вряд ли откажется от удобств, предоставляемых ею (мало кто пожелает поменять современный автомобиль на гужевую тягу). Невозможно представить себе существования современного общества без компьютера, способного многократно повысить производительность труда и доставить любую мыслимую информацию. С развитием компьютеров неразрывно связан и феномен компьютерных вирусов.
Компьютерные вирусы - это серьезная и довольно заметная проблема. Тема вирусов стоит несколько особняком от всех остальных задач, решаемых при помощи компьютера (забудем о таких специфичных задачах, как взлом защиты от копирования и криптографию). Практически все проблемы, решаемые при помощи вычислительной техники, являются продолжением целенаправленной борьбы человека с окружающей его природой. А вот борьба с компьютерными вирусами является борьбой человека с человеческим же разумом (в некотором смысле тоже проявлением природных сил, хотя на этот счет имеется более одного мнения). Эта борьба является борьбой умов, поскольку задачи, стоящие перед вирусологами, ставят такие же люди.
Итак, появление компьютерных вирусов - один из наиболее интересных моментов в истории технического прогресса 20-го века.
Глава 1. Компьютерные вирусы, их свойства и классификация
§1.1. Что такое компьютерный вирус?
Компьютерный вирус – это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Программа, внутри которой находится вирус, называется "зараженной". Когда такая программа начинает работу, то сначала управление получает вирус. Вирус находит и "заражает" другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске "засоряет" оперативную память и т.д.).
Вирус – это программа, обладающая способностью к самовоспроизведению. Такая способность является единственным свойством, присущим всем типам вирусов. Вирус не может существовать в "полной изоляции". Это означает, что сегодня нельзя представить себе вирус, который бы так или иначе не использовал код других программ, информацию о файловой структуре или даже просто имена других программ. Причина этого довольно понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.
§1.2. Типы компьютерных вирусов
Классификация вирусов – в настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам: среде обитания способу заражения среды обитания воздействию особенностям алгоритма.
1.2.1. Internet-черви.
Самым распространённым типом вирусов в последние два года являются Интернет черви. Именно они представляют главную угрозу для всех пользователей глобальной сети. Почти все Интернет черви - это почтовые черви, и лишь малая доля - это непочтовые черви, применяющие уязвимости программного обеспечения (как правило, серверного). Примеры непочтовых Internet-червей: IIS-Worm. CodeRed, IIS-Worm. CodeBlue, Worm. SQL. Helkern.
Почтовые черви можно делить на подклассы по-разному, но для конечного пользователя они делятся на два основных класса:
Черви, которые запускаются сами (без ведома пользователя);
Черви, которые активизируются, только если пользователь сохранит присоединённый к письму файл и запустит его.
К первому типу относятся черви, которые используют уязвимости (ошибки) почтовых клиентов. Чаще всего такие ошибки находятся в почтовом клиенте Outlook, а вернее даже не в нём, а в Интернет браузере Internet Explorer. Дело в том, что MS Outlook создаёт письмо в виде HTML страницы и при отображении этих страниц он использует функции браузера Internet Explorer.
Наиболее распространённая уязвимость, применяемая червями, ошибка IFRAME. Применяя соответствующий код, вирус имеет возможность при просмотре письма автоматически сохранить присоединённый к письму файл на диск и запустить его. Самое обидное то, что данная уязвимость обнаружена более двух лет назад. Тогда же компанией Microsoft выпущены заплатки для всех версий браузера Internet Explorer, Internet Explorer, исправляющие эту ошибку. И, тем не менее черви, применяющие данную уязвимость, по-прежнему являются наиболее распространёнными (I-Worm. Klez, I-Worm. Avron, I-Worm. Frethem, I-Worm. Aliz). Почтовые черви второго типа рассчитаны на то, что пользователь, по каким-то соображениям сам запустит программу, присоединённую к письму. Для того чтобы подтолкнуть пользователя к запуску инфицированного файла авторами червей применяются различные психологические ходы. Самый распространённый приём - выдать зараженный файл, за какой-то важный документ, картинку или полезную программку (I-Worm. LovGate создаёт ответы на письма, содержащиеся в почтовой базе; I-Worm. Ganda маскируется под информацию о боевых действиях в Ираке). Практически всегда червями применяются "двойные расширения". В этом случае присоединённый файл имеет имя вроде: "Doc1. doc. pif", "pict. jpg.com". Данный принцип рассчитан на то, что почтовые клиенты не отображают полное имя файла (если оно слишком длинное), и пользователь не увидит второго расширения, которое и является "реальным". То есть пользователь думает, что файл является документом или картинкой, а тот на самом деле является исполняемым файлом с расширением вроде: EXE, COM, PIF, SCR, BAT, CMD и т.п. Если такой файл "открыть", то тело червя активизируется, и боевую нагрузку. Действительно, зачем писать червя и выпускать его "в свет", предварительно не заложив бомбу. Вложенные функции чрезвычайно разнообразны. Так, например, очень часто почтовые черви призваны для того, чтобы установить на зараженный компьютер троянскую программу или утилиту скрытого администрирования и сообщить адрес компьютера творцу червя. Не редко просто уничтожают информацию или просто делают невозможной дальнейшую работу на компьютере. Так червь I-Worm. Magistr выполнял те же действия, что и печально-известный WinCIH - стирал содержимое FLASH BIOS и затирал мусорными данными информацию на жёстком диске. В любом случае, независимо от наличия или отсутствия вредоносных функций и их "опасности" почтовые черви вредны уже только потому, что они существуют. Это связано с тем, что при размножении они загружают каналы связи и нередко настолько, что полностью парализуют работу человека или целой организации.
Вторыми по распространённости в диком виде являются макровирусы. Данные вирусы являются макросами, хранящимися во внешних файлах программного обеспечения (документах Microsoft Office, Autocad, CorelDRAW и пр.) и при открытии документа исполняются внутренними интерпретаторами данных программ. Широкое распространение они получили благодаря огромным возможностям интерпретатора языка Visual Basic, интегрированного в Microsoft Office.
Излюбленным местом обитания этих вирусов являются офисы с большим документооборотом. В таких организациях людям, работающим за компьютерами (секретари, бухгалтеры, операторы ЭВМ) некогда заниматься такими мелочами как компьютерные вирусы. Документы лихо переносятся с компьютера на компьютер, без какого-либо контроля (особенно при наличии локальной сети). К сожалению, людям свойственно не воспринимать всерьёз макровирусы, а напрасно. На самом деле макрос, написанный на языке VBA и интегрированный в документ того же Word или Excel, обладает всеми теми же возможностями, что и обычное приложение. Он может отформатировать Ваш винчестер или просто удалить информацию, украсть какие-то файлы или пароли и отправить их по электронной почте. Фактически вирусы этого класса способны парализовать работу целого офиса, а то даже и не одного.
Опасность макровирусов заключается ещё и в том, что распространяется вирус целиком в исходном тексте. Если человек, к которому попал вирус, более-менее умеет писать на Visual Basic, то он без труда сможет модифицировать вирус, вложить в него свои функции и сделать его невидимым для антивирусов. Не забывайте, что авторы вирусов пользуются теми же антивирусными программами и модифицируют свои вирусы до тех пор, пока те не перестают детектироваться антивирусами. Фактически, таким образом, рождаются новые модификации уже известных вирусов, но для того, чтобы данный вирус обнаруживался антивирусом, он сначала должен попасть в антивирусную лабораторию и только после этого будут добавлены функции детектирования и обезвреживания новой модификации. Так специалистам Украинского Антивирусного Центра известно более 100 модификаций вируса Macro. Word97. Thus, более 200 модификаций Macro. Word 97. Marker и более 50 модификаций Macro. Word 97. Ethan (здесь речь идёт о модификациях, значительно отличающихся друг от друга, что требует добавления дополнительных модулей детектирования и лечения данных модификаций вирусов).
1.2.2. Вирусы-маскировщики — Rootkit
Rootkit — наиболее сложная в обнаружении и удалении разновидность компьютерной заразы. Предупрежден — значит вооружен!
Эти вирусы используются для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Rootkit'ы также могут модифицировать операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.
Руткиты существуют уже около 20 лет, помогая атакующим действовать на компьютерах своих жертв, подолгу оставаясь незамеченными. Термин нередко применяется к тем вредоносным программам, которые специально созданы так, чтобы действовать на зараженном компьютере скрытно и при этом позволять удаленно контролировать ПК. Поскольку руткиты относятся к наиболее неприятным разновидностям вредоносных приложений, мы решили кратко объяснить, каков принцип действия руткита и как поступать, если вы подозреваете, что компьютер заражен подобной гадостью.
Первоначально термин rootkit означал набор вредоносных приложений, скрывающих свое присутствие на компьютере и позволяющих хакеру делать свои дела незаметно. Слово root в названии явно указывает, что слово зародилось в мире Unix-компьютеров, но сегодня, когда мы говорим о руткитах, как правило речь ведется о Windows-компьютерах, и в понятие «руткит» включаются не только средства обеспечения скрытности, но и весь набор функций вредоносного приложения. Оно обычно прячется глубоко в недрах операционной системы и специально написано таким образом, чтобы избегать обнаружения антивирусами и другими средствами безопасности. Руткит может содержать различные вредоносные инструменты, такие как клавиатурный шпион, вор сохраненных паролей, сканер данных о банковских карточках, дистанционно управляемый бот для осуществления DDoS-атак, а также функции для отключения антивирусов. Руткит обычно имеет также функции бэкдора, то есть он позволяет атакующему дистанционно подключаться к зараженному компьютеру, устанавливать или удалять дополнительные модули и таким образом делать с машиной все, что подскажет фантазия. Некоторые примеры актуальных сегодня руткитов для Windows это TDSS, ZeroAccess, Alureon and Necurs.
Вариции руткитов
Руткиты делятся на две категории: уровня пользователя и уровня ядра. Первые получают те же права, что обычное приложение, запущенное на компьютере. Они внедряются в другие запущенные процессы и используют их память. Это более распространенный вариант. Что касается руткитов уровня ядра, то они работают на самом глубинном уровне ОС, получая максимальный уровень доступа на компьютере. После инсталляции такого руткита, возможности атакующего практически безграничны. Руткиты уровня ядра обычно более сложны в создании, поэтому встречаются реже. Также их гораздо сложней обнаружить и удалить.
Есть и еще более экзотические вариации, такие как буткиты (bootkit), которые модифицируют загрузчик компьютера и получают управление еще даже до запуска операционной системы. В последние годы появились также мобильные руткиты, атакующие смартфоны под управлением Android.
Метод инфицирования
Первично руткиты попадают на компьютер так же, как другие вредоносные приложения. Обычно используется уязвимость в браузере или плагине, также популярный способ заражения – через USB-флешки. Атакующие иногда даже оставляют зараженные флешки в общественных местах, где их может подобрать подходящая жертва. Затем руткит использует уязвимости ОС чтобы получить привилегированное положение в системе и устанавливает дополнительные компоненты, обеспечивающие удаленный доступ к компьютеру и другую вредоносную функциональность.
Удаление
Основная сложность борьбы с руткитами в том, что они активно противодействуют своему обнаружению, пряча свои файлы и ключи реестра от сканирующих программ, а также применяя другие методики. Существуют утилиты, специально созданные для поиска известных и неизвестных руткитов разными узкоспециальными методами, а также с помощью сигнатурного и поведенческого анализа. Удаление руткита – тоже сложный и многоэтапный процесс, который редко сводится к удалению пары файлов. Обычно приходится применять специальную программу, такую как TDSSkiller, созданную для борьбы с руткитом TDSS. В некоторых случаях жертве даже приходится переустанавливать операционную систему, если в результате заражения компьютерные файлы повреждены слишком глубоко. Для менее сложных и вредоносных руткитов удаление может быть осуществлено с помощью обычной функции лечения в Kaspersky Internet Security.
1.2.3. Троянские программы и утилиты скрытого администрирования
Следующими по распространённости являются Trojan и Backdoor программы. Отличие этих двух типов программ заключается в том, что троянская программа выполняет активные действия (уничтожение данных, сбор данных и отправка через Internet, выполнение каких-либо действий в определённое время), в то время как Backdoor-программы открывают удалённый доступ к компьютеру и ожидают команды злоумышленника. Для простоты будем называть оба этих класса троянскими программами.
Главное отличие "троянов" от всех перечисленных выше творений человеческого разума является то, что троянские программы не размножаются сами. Они единоразово устанавливаются на компьютер и долгое время (как правило, либо до момента обнаружения, либо до переустановки операционной системы по какой-либо причине) выполняет свои функции. При этом троянский конь не может самостоятельно переместиться с одного компьютера в локальной сети на другой.
Так почему же Трояны так распространены. Причина таится именно в том, что они максимально "полезны" и незаметны. Часто они являются спутниками сетевых или почтовых червей. Так, почтовый червь I-Worm. LovGate при попадании на компьютер устанавливает в систему backdoor модуль, открывающий доступ к компьютеру по TCP/IP и отправляет разработчику червя письмо, в котором указывается имя пользователя, имя компьютера и сетевой адрес зараженного компьютера.
Все троянские программы можно разделить на три основных класса по выполняемым действиям:
Логические (временные) бомбы – программы, различными методами удаляющие/модифицирующие информацию в определённое время, либо по какому-то условию.
Шпионы – собирающие информацию (имена, пароли, нажатия на клавиши) и складирующие её определённым образом, а не редко и отправляющие собранные данные по электронной почте или другим методом.
Собственно, BackDoor программы - удалённое управление компьютером или получение команд от злоумышленника (через локальную/глобальную сеть, по электронной почте, в файлах, от других приложений, например тех же червей или вирусов).
Одинаково опасны все три типа программ. Каждый из них способен либо уничтожить данные, либо украсть ценную информацию (хотя бы те же имена и пароли доступа к различным ресурсам).
Стоит отметить, что многие троянские программы постоянно обновляются, выходят всё новые и новые модификации. Учитывая то, что троянская программа не может попасть к вам случайно, злоумышленник старательно выбирает: какой бы троян вам установить. Очень велика вероятность того, что он пойдёт в Интернет и выкачает что-то свеженькое. Именно поэтому необходимо регулярно обновлять базы антивирусного продукта. И если вы активно пользуетесь Интернетом, рекомендуем обновлять антивирус минимум раз в неделю (хотя конечно идеально было бы обновляться каждый день).
В завершение хотелось бы сказать: процесс развития вирусов и антивирусов - это постоянная война технологий. Регулярно в вирусах реализовываются оригинальные идеи, что требует адекватных действий от разработчиков антивирусного ПО. Поэтому рядовому пользователю рекомендуется следить за новостями на сайтах антивирусных компаний и прислушиваться к советам специалистов по информационной безопасности о необходимости обновления программного обеспечения (не только антивирусного) или выполнении специфических действий по улучшению защищённости ПК.
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т.е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-cord).
Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные.
Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. По степени воздействия вирусы можно разделить на следующие виды:
- неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
- опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
- очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.
Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или "троянские" программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
1.2.4. Вирусы – блокировщики — Winlock
WinLock – семейство компьютерных вирусов, которые препятствуют работе компьютера и требуют совершить денежный платеж в пользу автора.
WinLock выделяют в отдельное семейство вредоносного ПО. Этот тип программ не имеет функции размножения, которая характерна для семейства вирусного ПО. Отсутствуют в нем и возможности сокрытия своей деятельности, характерные для троянов. Наоборот, WinLock не скрывается, а блокирует работу ПК, вымогая деньги.
Такие программы блокирует пользователю доступ к операционной системе. На рис.1.1. показано что при загрузке компьютера появляется окно, в котором пользователя обвиняют в скачивании нелицензионного контента или нарушении авторских прав. И под угрозой полного удаления всех данных с компьютера требуют отослать смс на номер телефона или пополнить его счет. Естественно, после перевода денег на счет злоумышленника, баннер никуда не пропадает.
Глава 2. История компьютерных вирусов
§2.1. Первые самовоспроизводящиеся программы
Что такое компьютерный вирус? Идея компьютерных вирусов впервые обсуждалась в серии лекций математика Джона фон Неймана в конце 1940-х годов; в 1966 году вышла его монография «Теория самовоспроизводящихся автоматов» – по сути, это мысленный эксперимент, рассматривающий возможность существования «механического» организма – например, компьютерного кода – который бы повреждал машины, создавал собственные копии и заражал новые машины аналогично тому, как это делает биологический вирус.
2.1.1. Программа Creeper
Программа Creeper, о которой часто говорят, как о первом вирусе, была создана в 1971 году сотрудником компании BBN Бобом Томасом. По факту, Creeper был создан как тестовая программа, чтобы проверить, возможна ли в принципе самовоспроизводящаяся программа. Оказалось, что в некотором смысле возможна. Заразив новый жесткий диск, Creeper пытался удалить себя с предыдущего компьютера. Creeper не совершал никаких вредоносных действий – он только выводил простое сообщение: "I'M THE CREEPER. CATCH ME IF YOU CAN!" (Я CREEPER. ПОЙМАЙ МЕНЯ, ЕСЛИ СМОЖЕШЬ!).
2.1.2. Вирус Rabbit
Вирус Rabbit (также известный как Wabbit) был создан в 1974 г. с вредоносной целью и мог самовоспроизводиться. Попав на компьютер, он делал большое количество копий себя, значительно ухудшал работоспособность системы и в итоге приводил к отказу компьютера. Имя («Кролик») было дано вирусу из-за того, что он очень быстро самовоспроизводился.
2.1.3. Первый троянец
Первый троянец под названием ANIMAL (хотя есть споры относительно того, были ли это действительно троянец или просто вирус) был разработан компьютерным программистом Джоном Уолкером в 1975 г. В то время были очень популярны компьютерные игры, в которых пользователь загадывал какое-нибудь животное, а программа должна была его угадать за 20 вопросов. Уолкер написал одну из таких игр, и она стала популярной. Чтобы поделиться ею со своими друзьями, Уолкер записывал и передавал ее на магнитной ленте. Чтобы упростить эту процедуру, Уолкер создал программу PERVADE, которая устанавливалась на компьютер вместе с игрой ANIMAL. Пока пользователь играл в игру, PREVADE проверял все доступные пользователю директории на компьютере, а затем копировал ANIMAL во все директории, где этой программы не было. Вредоносной цели здесь не было, но ANIMAL и PREVADE подпадают под определение троянца: по сути, внутри программы ANIMAL была запрятана другая программа, которая выполняла действия без согласия пользователя.
§2.2. Первые вирусы (1980-1989)
2.2.1. Появление первых вирусов
Появление первых компьютерных вирусов зачастую ошибочно относят к 1970-м и даже 1960-м годам. Обычно упоминаются как «вирусы» такие программы, как Animal, Creeper, Cookie Monster и Xerox worm.
В феврале 1980 года студент Дортмундского университета Юрген Краус подготовил дипломную работу по теме «Самовоспроизводящиеся программы», в которой помимо теории приводились так же и листинги строго самовоспроизводящихся программ (которые вирусами на самом деле не являются) для компьютера Siemens. Вполне очевидно, что все описанные примеры не являются компьютерными вирусами в строгом смысле, и хотя они и оказали существенное влияние на последующие исследования, первыми известными вирусами являются Virus 1,2,3 и Elk Cloner для ПК Apple II. Оба вируса очень схожи по функциональности и появились независимо друг от друга, с небольшим промежутком во времени в 1981.
С появлением первых персональных компьютеров Apple в 1977 и развитием сетевой инфраструктуры начинается новая эпоха истории вирусов. Появились первые программы вандалы, которые под видом полезных программ выкладывались на BBS (Bulletin Board System), однако после запуска уничтожали данные пользователей. В это же время появляются троянские программы-вандалы, проявляющие свою деструктивную сущность лишь через некоторое время или при определённых условиях.
2.2.2. Elk Cloner — один из первых вирусов
В конце 70-ых и в начале 80-ых все большую популярность стали приобретать персональные компьютеры, которые использовали для хранения информации дискеты, которые зачастую использовались на нескольких ПК одновременно — прямо рай для вирусов.
И первым под удар попал компьютер Apple II с операционной системой DOS (да, популярность притягивает к себе вирусописателей — именно поэтому сейчас под macOS вирусов относительно мало). 15-летний американский школьник Ричард Скрент написал в 1981 году вирус Elk Cloner, способный самозаписываться на дискеты с DOS, и, что самое важное — оставаться в памяти ПК до установки в него новой, еще не зараженной дискеты, тем самым обеспечивая себе распространение.
Изначально вирус никаких «злых» функций не нес — он просто выводил на экран стишок рис.1.2.
Перевод: Elk Cloner:
Программа с индивидуальностью
Она проникнет во все ваши диски
Она внедрится в ваши чипы
Да, это — Cloner!
Она прилипнет к вам как клей
Она даже изменит оперативную память
Cloner выходит на охоту.
2.2.3. Вирус загрузочного сектора Brain
Brain, первый вирус для IBM-совместимых компьютеров, появился в 1986 году – он заражал пятидюймовые дискеты. Как сообщает Securelist, вирус был написан двумя братьями – Баситом и Амджадом Фаруком Алви, которые держали компьютерный магазин в Пакистане. Братьям надоело, что покупатели нелегально копировали купленное у них ПО, и они создали этот вирус, которые заражал загрузочные сектора дискет. Brain заодно оказался и первым вирусом-невидимкой: при обнаружении попытки чтения зараженного сектора диска вирус незаметно подставлял его незараженный оригинал. Также он записывал на дискету фразу «(c) Brain», но при этом не портил никаких данных
Причем что самое любопытное — такой стишок выводился лишь при каждой 50-ой загрузке, поэтому пользователь, решивший продемонстрировать его коллегам и перезагрузивший при них компьютер, в итоге показывал зрителям обычную загрузку системы, оставаясь в дураках.
В будущем обнаружилось, что вирус был не так и безвреден: если на дискете был нестандартный образ DOS, то вирус, записываясь на нее, мог стереть некоторые дорожки и тем самым привести к потере данных, а то и к невозможности загрузки системы. Рис. 1.3.
2.2.4. Червь Морриса (1988)
В конце 80-ых в мире существовало как минимум две крупные сети, объединявшие множество компьютеров — это ARPANET и NSFNet (из которой и вырос современный Интернет). И конечно же вирусописатели не могли себе отказать в соблазне заразить по сети сразу множество ПК.
Первый такой вирус был написан аспирантом Корнеллского университета Робертом Таппаном Моррисом и запущен в ARPANET 2 ноября 1988 года. После этого начался Судный день массовое заражение компьютеров в сети: ведь тогда понятия сетевой безопасности толком и не было, и большинство паролей совпадало с логинами. Если это не помогало — вирус начинал перебирать пароли по словарю из 400 слов — сейчас этого кажется мало, но тогда — вполне хватало.
Плюс сам червь был достаточно «умным»: он удалял свой исполняемый файл после запуска, переименовывал свой процесс в sh (то есть маскировался под командную оболочку Unix), каждые три минуты ветвился, да еще и случайным образом при попадании на каждый новый ПК решал, перезаписывать ли существующую копию вируса или нет — это была своеобразная защита от подделки.
Увы — как обычно бывает, Моррис допустил небольшую ошибку, которая привела к фатальным последствиям: вирус самокопировался слишком часто, многократно заражая ПК и тем самым замедляя или полностью парализуя их работу (а может, он так и хотел?) В итоге всего за несколько дней было инфицировано 6200 подключенных в сети компьютеров — около 10% от общего их числа. Страшно представить, чтобы сейчас случилось в мире, если бы каждый десятый подключенный к Интернету гаджет был заражен. И если общий ущерб был оценен тогда «всего» в 96.5 млн долларов, то сейчас это были бы заоблачные сотни миллиардов.
И хотя сам Моррис достаточно хорошо законспирировал код вируса, и скорее всего его бы не нашли, его отец, компьютерный эксперт Агентства национальной безопасности, решил, что Моррису все же лучше во всем сознаться. В итоге с учетом всех смягчающих обстоятельств отделался он можно сказать «легким испугом»: 3 года условно, штраф в 10000 долларов и 400 часов общественных работ.
Сам же червь дал толчок к развитию сетевой безопасности — появились требования по выбору пароля и его длины, и ужесточили администрирование сетевых узлов. Конечно, это помогло лишь отчасти, но хотя бы начало было положено.
2.2.5. Чернобыль, он же CIH (1998)
Пожалуй, первую серьезную эпидемию, затронувшую множество ПК по всему миру, начал вирус, написанный студентом Чэнь Инхао, живущим в Тайване. Особенностью же вируса стало то, что он мог быть неактивным долгое время, а запуск был приурочен к 26 апреля — годовщине аварии на ЧАЭС, из-за чего вирус и приобрел свое второе название. Ну а первое название — CIH — это всего лишь инициалы Чэня.
Но изначально как таковой привязки к времени не было — еще в июне 1998 года автор опробовал свой вирус в собственном университете, за что чуть было из него не вылетел. Привязка ко времени была придумана позже, и вирус не стал бы таким массовым, если бы он не заразил несколько американских веб-серверов, распространявших компьютерные игры. Более чем полмиллиона человек качали с них себе на компьютеры игры, уже зараженные вирусом, и 26 апреля 1999 произошел «взрыв» — в одночасье была уничтожена информация на жестких дисках этих ПК, а также повреждены данные на микросхемах BIOS.
Сам вирус работал только на популярных в то время системах Windows — 95, 98 и ME (все дальнейшие ОС на ядре NT — то есть 2000, XP и выше — в безопасности), а принцип его действия был достаточно прост: вирус копировал свой код память, перехватывал запуск EXE-файлов и записывал в них свою копию. В зависимости от версии при этом могли повреждаться как программы на жестком диске, так и микросхемы BIOS Рис. 1.5.
Примечательно, что решение последней проблемы было достаточно простым: так как BIOS в то время еще не припаивали к плате, то достаточно было просто найти «живую» материнскую плату и на загруженной системе поставить в нее микросхему с поврежденным BIOS и просто-напросто ее перепрошить.
Нанесенный ущерб варьировался от 20 до 80 млн долларов, если не учитывать около миллиона выведенных из строя ПК и терабайты потерянных данных. Причем самому Чэню ничего не было — в то время тайваньские законы не предусматривали наказаний за киберпреступления, так что он никогда не привлекался к уголовной ответственности за этот вирус, а в настоящее время вообще работает в Gigabyte.
2.2.6. Вирус ILoveYou
В начале 21 века появился надежный высокоскоростной интернет-доступ, и это изменило методы распространения вредоносных программ. Теперь они не были ограничены дискетами и корпоративными сетями и могли очень быстро распространяться через электронную почту, популярные веб-сайты и даже напрямую через интернет. Начало формироваться вредоносное ПО в современном виде. Ландшафт угроз оказался заселенным вирусами, червями и троянцами. Возник собирательный термин «вредоносное ПО». Одна из самых серьезных эпидемий новой эры была вызвана червем ILoveYou, который появился 4 мая 2000 г. Рис. 1.6.
ILoveYou следовал модели ранее существовавших вирусов, распространявшихся по почте. При этом, в отличие от макровирусов, широко распространенных с 1995 года, ILoveYou распространялся не в виде зараженного документа Word, а в виде VBS-файла (такое расширение имеют скрипты, написанные в Visual Basic). Метод оказался простым и действенным – пользователи еще не привыкли остерегаться незапрошенных электронных писем. В качестве темы письма была строчка «I Love You», а в приложении к каждому письму был файл «LOVE-LETTER-FOR-YOU-TXT.vbs». По задумке создателя Онеля де Гузмана, червь стирал существующие файлы и поверх них записывал собственные копии, благодаря которым червь рассылался по всем адресам из списка контактов пользователя. Поскольку письма, как правило, приходили со знакомых адресов, получатели обычно открывали их – и заражали червем свой компьютер. Таким образом, ILoveYou на практике подтвердил эффективность методов социальной инженерии.
2.2.7. Червь Code
Червь Code Red был так называемым бестелесным червем – он существовал только в памяти и не предпринимал попыток заразить файлы в системе. Используя брешь в системе безопасности Microsoft Internet Information Server, червь всего за несколько часов распространился по всему миру и вызвал хаос, внедряясь в протоколы обмена информацией между компьютерами. Зараженные компьютеры в итоге были использованы для проведения DDoS-атаки на веб-сайт Белого дома – Whitehouse.gov.
2.2.8. Heartbleed
Угроза Heartbleed появилась в 2014 г. и сразу поставила под угрозу множество интернет-серверов. В отличие от вирусов и червей, Heartbleed – это уязвимость в OpenSSL – криптографической библиотеке универсального применения, широко использующейся по всему миру. OpenSSL периодически рассылает соединенным устройствам специальные сигналы, подтверждающие актуальность соединения. Пользователи могут отослать некоторый объем данных и в ответ запросить такое же количество данных – например, отослать один байт и получить в ответ тоже один байт. Максимальное количество данных, отправляемых за один раз – 64 килобайта. Как объясняет специалист по безопасности Брюс Шнайер, пользователь может объявить, что отсылает 64 килобайта, а по факту отправить только один байт – в этом случае сервер в ответ пришлет 64 килобайта данных, хранящихся в его оперативной памяти, в которых может оказаться все что угодно – от имен пользователей до паролей и криптостойких ключей.
Глава 3. История антивирусных программ
§3.1. Первые антивирусы
Первые антивирусные программы появились еще зимой 1984 года (первый вирус для персональных компьютеров Apple появился в 1977 году, и только в 1981 году появились вирусы, представляющие какую-либо угрозу) под названиями CHK4BOMB и BOMBSQAD. Их написал американский программист Энди Хопкинс (Andy Hopkins). CHK4BOMB позволяла проанализировать текст загрузочного модуля и выявить все текстовые сообщения и «подозрительные» участки кода. Программа BOMBSQAD перехватывала операции записи и форматирования, выполняемые через BIOS. При выявлении запрещённой операции можно было разрешить или запретить её выполнение.
Первый антивирус в современном понимании этого термина, то есть резидентный, «защищающий» от вирусных атак, появился в 1985 году. Программа DRPROTECT создана усилиями Джи Вонг (Gee Wong). Разработка блокировала все операции (запись, форматирование), выполняемые через BIOS. В случае выявления такой операции программа требовала рестарта системы.
Антивирусные программы до начала 90-х годов представляли собой, по сути, набор из нескольких десятков сигнатур (образцов вирусного кода), которые хранились в теле программы. Предполагалась также процедура поиска этих сигнатур в файлах. Причем зачастую эти сигнатуры разработчики даже не шифровали. Получалось так, что порой один антивирус легко мог «найти вирус» в другом. Усложнение ситуации с вирусами повлекло за собой и усложнение программ, которые были призваны бороться с ними. Как это обычно бывает, совсем скоро инициатива по разработке и впоследствии продаже антивирусных программ перешла к большим компаниям, состоящим, естественно, более чем из одного программиста-энтузиаста. С гордостью стоит отметить, что в развитии этой индустрии одну из ведущих ролей сыграли программисты из России.
В 1992 году появилась программа MtE — генератор полиморфного (постоянно меняющегося) кода, которым мог воспользоваться не только опытный, но и любой начинающий программист. Полиморфные вирусы стали появляться каждый день, а всевозможные дополнительные способы борьбы, такие как усложнение алгоритмических языков сверки кода, — перестали работать. Спасло ситуацию только появление эмулятора кода. Система «снимала» зашифрованную часть полиморфного вируса и добиралась до постоянного тела вируса. Первой антивирусной программой с эмулятором стал AVP Евгения Касперского.
Помимо эмулятора кода, позволившего антивирусам подстроиться под стремительно набиравшую обороты «индустрию вирусов», примерно в то же время появились такие системы защиты, как криптоанализ, статистический анализ, эвристический анализатор и поведенческий блокиратор. Расписывать, в чем заключается их суть, мы не будем, отметим только, что на их принципах, заданных уже более 15 лет назад, антивирусы большей частью «выезжают» до сих пор.
С появлением Windows с присущей ей многозадачностью и разветвленной системой сложных программ появились новые требования к производителям антивирусов. Среди них — необходимость проверять файлы «на лету» (в момент обращения к ним) и хорошая работа с программами, такими как Microsoft Office. Количество разработчиков антивирусов тогда резко сократилось ввиду более строгих требований к ним, предъявляемых временем. Правда, и прибыль их существенно выросла. На широкое распространение Интернета и следующего за ним по пятам развития вредоносных (шпионских) программ, маскирующихся под самые обыкновенные, разработчики антивирусного ПО ответили внедрением «защиты шлюзов, периметра» — файерволов. На данный момент борьба с вирусами продолжается. Сейчас во всем мире работает около 60 компаний, разрабатывающих антивирусное ПО.
Но ситуация может измениться — рынок антивирусов, лучшие образчики которых всегда были платными, взрывает Microsoft своим совершенно бесплатным Microsoft Security Essentials (www.msantivirus.ru), разработанным опытнейшими специалистами на основе наработок, примененных в продуктах для безопасности бизнеса — Forefront. По качеству и уровню защиты Microsoft Security Essentials не уступает платным аналогам. Вслед за тем, как Сеть пришла в каждый дом, становятся легкодоступными и антивирусы. Правда, при одном условии: версия Windows должна быть лицензионной.
§3.2. Специальные антивирусы
В ноябре 2014 международная организация Amnesty International выпустила антивирусную программу Detect, предназначенную для выявления вредоносного ПО, распространяемого государственными учреждениями для слежки за гражданскими активистами и политическими оппонентами. Антивирус выполняет более глубокое сканирование жесткого диска, нежели обычные антивирусы.
§3.3. Поддельные антивирусы (Лжеантивирусы)
В 2009 году началось активное распространение лжеантивирусов — программного обеспечения, не являющегося антивирусным (то есть не имеющего реальной функциональности для противодействия вредоносным программам), но выдающим себя за таковое. По сути, лжеантивирусы могут являться как программами для обмана пользователей и получения прибыли в виде платежей за «лечение системы от вирусов», так и обычным вредоносным программным обеспечением.
Глава 4. Методы защиты от компьютерных вирусов
§4.1. Как не заразить свой компьютер вирусами?
Прежде всего нужно позаботиться о наличии надёжного файервола, антивирусной и антишпионской программ (последние более эффективны при обнаружении и удалении вирусов категорий Spyware и Adware). Также существуют встроенные антивирусные решения для браузеров, ну а о том, что антивирусник должен работать с защитой в режиме реального времени, говорить, думаем, излишне.
Если на вашем ПК или в телефоне есть важные файлы (например, для работы), не забывайте регулярно делать их резервные копии («бэкапить»), причём копии должны храниться не в самом устройстве, а на внешних накопителях или в надёжных облачных хранилищах, которые в идеале должны быть защищены методом сквозного шифрования, чтобы никто, даже владельцы этого хранилища, не мог получить доступ к вашим файлам.
Позаботьтесь о безопасности при сёрфинге в интернете и отучитесь от привычки бездумно нажимать на баннеры и ссылки (тем более в электронных письмах!), а лучше вообще кликать только на те ссылки, в которых вы на 100% уверены. Сравнительно недавно (в 2014-2016 гг.) был весьма распространён способ воровства аккаунтов Skype: пользователю приходило сообщение со взломанного аккаунта из списка контактов, в котором содержалась только ссылка. После нажатия на ссылку со своим аккаунтом можно было попрощаться.
Также могут помочь и блокировщики рекламы, которые, помимо прочего, активно борются со всплывающими окнами, которые могут содержать вредоносный код. Не забывайте периодически чистить кэш браузера — в этих файлах могут таиться шпионские и рекламные программы.
Не посещайте сомнительные сайты даже если «очень хочется». С высокой долей вероятности на таких ресурсах содержится вредоносный код, используя который, владелец сайта попытается установить в ваш браузер шпионское или другое вредоносное ПО. Особого внимания заслуживают так называемые фишинговые, то есть поддельные сайты. По интерфейсу они выглядят один в один как настоящие, однако дьявол, как всегда, кроется в мелочах, в данном случае — в доменном имени. Например, вам присылают ссылку на сайт известной социальной сети, но вместо корректного facebook.com там будет faceboook.com (заметили разницу?). Невнимательный пользователь перейдёт на такой сайт и введёт там свой логин и пароль, что и нужно злоумышленнику, который получит доступ к вашему аккаунту на реальном «Фейсбуке». А теперь представьте, что вы на поддельном сайте банка ввели данные своей банковской карты, на которой лежит кругленькая сумма… Вообще же методов фишинга наберётся на пару десятков, но это тема отдельной статьи. Разумеется, блокировка сама по себе не является сигналом, что сайт фальшивый и заражённый, но ряд заблокированных сайтов действительно представляет опасность для пользователей.
Если вы бороздите океаны интернета под пиратским флагом, будьте осторожны при скачивании и установке хакнутых платных программ: далеко не все хакеры альтруисты и выкладывают взломанные программы по доброте душевной. Поэтому, если антивирусник громко ругается на кряк, задумайтесь, так ли уж важна для вас эта программа, ведь сказать с уверенностью, что это срабатывание ложное, не может никто. Не скачивайте программы с сомнительных сайтов по распространению софта — они, как правило, подсовывают в установщики (исполняемые файлы exe) шпионское и другое ПО. Так что лучшим решением будет качать приложения непосредственно на сайтах разработчиков.
Файлы из сторонних источников следует проверять на соответствие расширению — например, двойное расширение почти наверняка говорит о том, что перед нами программа-вирус, поэтому не забудьте включить в Windows отображение расширений. Также заведите привычку обязательно проверять все скачанные файлы антивирусной программой и не открывайть те файлы, в безопасности которых вы не уверены. Сканировать, кстати, нужно и подключаемые накопители USB.
Чтобы эффективно бороться с вирусами, необходимо иметь представление о “привычках” вирусов и ориентироваться в методах противодействия вирусам. Если вирус попал в компьютер вместе с одной из программ или с файлом документа, то через некоторое время другие программы или файлы на этом компьютере будут заражены.
Если компьютер подключен к локальной или глобальной сети, то вирус может распространиться и дальше, на другие компьютеры. В прошлой статье я дал подробную классификацию компьютерных вирусов.
Для защиты от проникновения вирусов необходимо проводить мероприятия, исключающие заражение программ и данных компьютерной системы. Основными источниками проникновение вирусов являются коммуникационные сети и съемные носители информации.
Для исключения проникновения вирусов через коммуникационную сеть необходимо осуществлять автоматический входной контроль всех данных, поступающих по сети, который выполняется сетевым экраном (брандмауэром), принимающим пакеты из сети только от надежных источников, рекомендуется проверять всю электронную почту на наличие вирусов, а почту, полученную от неизвестных источников, удалять не читая.
Для защиты от вирусов можно использовать:
- общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
- профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
- специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов.
Имеются две основные разновидности этих средств:
копирование информации - создание копий файлов и системных областей дисков;
разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).
ПРОГРАММЫ-ДЕТЕКТОРЫ ¬¬– позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей "известны". Некоторые программы-детекторы могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не мение невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.
Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова - в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.
Многие программы-детекторы не умеют обнаруживать заражение "невидимыми" вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых "хитрых" вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с "чистой", защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты. Некоторые детекторы умеют ловить "невидимые" вирусы, даже когда они активны.
Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах. Большинство программ-детекторов имеют функцию "доктора", т.е. Они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.
Большинство программ-докторов умеют "лечить" только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.
ПРОГРАММЫ-РЕВИЗОРЫ – имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.
Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC. BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы. Многие программы-ревизоры являются довольно "интеллектуальными" - они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.
Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC. BAT, надеясь работать на "чистом" компьютере, и т.д. Увы, против некоторых "хитрых" вирусов все это бесполезно. Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно. В последнее время появились очень полезные гибриды ревизоров и докторов, т.е. ДОКТОРА-РЕВИЗОРЫ, - программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.
Но они могут лечить не от всех вирусов, а только от тех, которые используют "стандартные", известные на момент написания программы, механизмы заражения файлов.
Существуют также ПРОГРАММЫ-ФИЛЬТРЫ, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции. Некоторые программы-фильтры не "ловят" подозрительные действия, а проверяют вызываемые на выполнение программы, на наличие вирусов. Это вызывает замедление работы компьютера.
Однако преимущества использования программ-фильтров весьма значительны - они позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно свести убытки от вируса к минимуму.
ПРОГРАММЫ-ВАКЦИНЫ, или ИММУНИЗАТОРЫ, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.
§4.2. Антивирусные программы
Итак, что же такое антивирус? Почему-то многие считают, что антивирус может обнаружить любой вирус, то есть, запустив антивирусную программу или монитор, можно быть абсолютно уверенным в их надежности. Такая точка зрения не совсем верна. Дело в том, что антивирус - это тоже программа, конечно, написанная профессионалом. Но эти программы способны распознавать и уничтожать только известные вирусы. То есть антивирус против конкретного вируса может быть написан только в том случае, когда у программиста есть в наличии хотя бы один экземпляр этого вируса. Вот и идет эта бесконечная война между авторами вирусов и антивирусов, правда, первых в нашей стране почему-то всегда больше, чем вторых. Но и у создателей антивирусов есть преимущество! Дело в том, что существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Как правило, такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими "копиями" придумано новое оружие - эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Естественно, надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 0,5. Таким образом, в этой информационной войне, как, впрочем, и в любой другой, остаются сильнейшие.
Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.
Таким образом, на 100% защититься от вирусов практически невозможно (подразумевается, что пользователь меняется дискетами с друзьями и играет в игры, а также получает информацию из других источников, например из сетей). Если же не вносить информацию в компьютер извне, заразиться вирусом невозможно - сам он не родится.
DOCTOR WEB - в последнее время стремительно растет популярность антивирусной программы - Doctor Web. Dr. Web относится к классу детекторов - докторов, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Последние при размножении модифицируют свое тело так, что не остается ни одной характерной цепочки байт, присутствовавшей в исходной версии вируса. Управление режимами осуществляется с помощью ключей. Пользователь может указать программе, тестировать как весь диск, так и отдельные подкаталоги или группы файлов, либо же отказаться от проверки дисков и тестировать только оперативную память. В свою очередь можно тестировать либо только базовую память, либо, вдобавок, ещё и расширенную (указывается с помощью ключа /H). Doctor Web может создавать отчет о работе (ключ /P), загружать знакогенератор Кириллицы (ключ /R), поддерживает работу с программно - аппаратным комплексом Sheriff (ключ /Z). Но, конечно, главной особенностью "Лечебной паутины" является наличие эвристического анализатора, который подключается ключом /S. Баланса между скоростью и качеством можно добиться, указав ключу уровень эвристического анализа: 0 - минимальный, 1 - оптимальный, 2 - максимальный; при этом, естественно, скорость уменьшается пропорционально увеличению качества. К тому же Dr. Web позволяет тестировать файлы, вакцинированные CPAV, а также упакованные LZEXE, PKLITE, DIET. Для этого следует указать ключ /U (при этом распаковка файлов будет произведена на текущем устройстве) или /U диск: (где диск: - устройство, на котором будет производиться распаковка), если дискета, с которой запущен Doctor Web защищена от записи. Многие программы упакованы таким способом, хотя пользователь может и не подозревать об этом. Если ключ /U не установлен, то Doctor Web может пропустить вирус, забравшийся в запакованную программу. Важной функцией является контроль заражения тестируемых файлов резидентным вирусом (ключ /V). При сканировании памяти нет стопроцентной гарантии, что "Лечебная паутина" обнаружит все вирусы, находящиеся там. Так вот, при задании функции /V Dr. Web пытается воспрепятствовать оставшимся резидентным вирусам, заразить тестируемые файлы.
Тестирование винчестера Dr. Web-ом занимает много времени, поэтому не каждый пользователь может себе позволить тратить столько времени на ежедневную проверку всего жесткого диска. Таким пользователям можно посоветовать более тщательно (с опцией /S2) проверять принесенные извне дискеты. Если информация на дискете находится в архиве (а в последнее время программы и данные переносятся с машины на машину только в таком виде; даже фирмы - производители программного обеспечения, например Borland, пакуют свою продукцию), следует распаковать его в отдельный каталог на жестком диске и сразу же, не откладывая, запустить Dr. Web, задав ему в качестве параметра вместо имени диска полный путь к этому подкаталогу. И все же нужно хотя бы раз в две недели производить полную проверку "винчестера" на вирусы с заданием максимального уровня эвристического анализа.
4.2.1. Средства антивирусной защиты
Основным средством защиты информации является резервное копирование наиболее ценных данных. В случае утраты информации жесткие диски переформатируются и подготавливают к новой эксплуатации. На “чистый” отформатированный диск устанавливают все необходимое программное обеспечение, которое тоже берут с дистрибутивных носителей. Восстановление компьютера завершается восстановлением данных, которые берут с резервных носителей.
Вспомогательными средствами защиты информации являются антивирусные программы и средства аппаратной защиты. Так, например, простое отключение перемычки на материнской плате не позволит осуществить стирание перепрограммируемой микросхемы ПЗУ (флеш-BIOS), независимо от того, кто будет пытаться это сделать: компьютерный вирус, злоумышленник или неосторожный пользователь.
4.2.2. Классификация антивирусных средств
Детекторы осуществляют поиск компьютерных вирусов в памяти и при обнаружении сообщают об этом пользователю.
Ревизоры выполняют значительно более сложные действия для обнаружения вирусов. Они запоминают исходное состояние программ, каталогов, системных областей и периодически сравнивают их с текущими значениями. При изменении контролируемых параметров ревизоры сообщают об этом пользователю.
Фильтры выполняют выявление подозрительных процедур, например, коррекция исполняемых программ, изменение загрузочных записей диска, изменение атрибутов или размеров файлов. При обнаружении подобных процедур фильтры запрашивают пользователя о правомерности их выполнения.
Доктора являются самым распространенным типом антивирусных программ. Эти программы не только обнаруживают, но и удаляют вирусный код из файла “лечат” программы. Доктора способны обнаружить и удалить только известные им вирусы, поэтому их необходимо периодически, обычно раз в месяц, обновлять.
Вакцины – это антивирусные программы, которые так модифицируют файл или диск, что он воспринимается программой-вирусом уже зараженным и поэтому вирус не внедряется.
§4.3. Популярные антивирусные средства
Антивирус Касперского
Антивирус Касперского (Kaspersky Anti-Virus) использует проактивные и облачные антивирусные технологии для защиты от новых и неизвестных угроз. Включает веб-антивирус, мониторинг активности и дополнительные инструменты безопасности. Он обеспечивает базовую защиту в режиме реального времени от всех типов вредоносных программ. Kaspersky Anti-Virus предлагает следующие возможности:
- Защита в режиме реального времени от вирусов, программ-шпионов, троянов, руткитов и других угроз;
- Быстрая работа и эффективная производительность ПК;
- Быстрое реагирование на новые и возникающие угрозы;
- Мгновенная антивирусная проверка файлов, приложений и веб-сайтов;
- Откат изменений, сделанных вредоносными программами.
ESET NOD32 Antivirus
Антивирус NOD32 – новое антивирусное решение от ESET, предлагающее улучшенный эвристический анализ неизвестных угроз, “облачные” технологии ESET Live Grid для определения репутации файлов и обновленный интерфейс.
Включает возможности автоматического сканирования компьютера во время его простоя, проверки файлов непосредственно во время загрузки и возможность отменять установленные обновления.
Антивирус Dr.Web
Антивирус Dr.Web надежная и популярная отечественная антивирусная программа. Имеет эффективный эвристический анализатор, позволяющий с большой долей вероятности обнаруживать неизвестные вирусы.
Новый компонент Превентивная защита блокирует любые автоматические модификации критических объектов системы, позволяя пользователям контролировать доступ к тем или иным объектам Windows, различным приложениям и сервисам, обеспечивая проактивную защиту от вредоносных программ.
Avast Pro Antivirus
Avast Pro Antivirus – высокоэффективная защита, усиленная технологией Nitro, с минимальной нагрузкой на системные ресурсы и ваши финансы. Современная, высокоэффективная защита от всех типов вредоносного ПО в сочетании с дополнительными компонентами защиты и гибкими настройками для более качественной защиты вашего ПК.
Он обеспечивает надежную защиту ПК с минимальной нагрузкой на системные ресурсы благодаря новейшей технологии Nitro, основополагающим принципом которой являются облачные вычисления.
Заключение
Мы узнали, что компьютерный вирус – это специально написанная небольшая по размерам программа, которая может "приписывать" себя к другим программам, а также выполнять различные нежелательные действия на компьютере. Вирус – это программа, обладающая способностью к самовоспроизведению. Есть несколько типов компьютерных вирусов это: Internet-черви, Вирусы-маскировщики — Rootkit, Троянские программы, утилиты скрытого администрирования и т.п.
Самым распространённым типом вирусов в последние два года являются Интернет черви. Подтверждением этому может служить статистика — в современном Интернет в среднем каждое тридцатое письмо заражено почтовым червем, около 70% всей корреспонденции — нежелательна. С ростом сети Интернет увеличивается количество потенциальных жертв вирусописателей, выход новых систем и платформ влечет за собой расширение спектра возможных путей проникновения в систему и вариантов возможной вредоносной нагрузки для вирусов.
Современный пользователь компьютера не может чувствовать себя в безопасности перед угрозой стать объектом чей-то злой шутки — например, уничтожения информации на винчестере — результатов долгой и кропотливой работы, или кражи пароля на почтовую систему. Точно так же неприятно обнаружить себя жертвой массовой рассылки конфиденциальных файлов или ссылки на порно-сайт. Поэтому при выявлении антивирусным комплексом вируса можно однозначно сказать, что это — вредоносная программа. То, что однажды было лишь кибер-вандализмом, быстро превратилось в киберпреступление. Быстро развиваются черви, троянцы и вирусы. Хакеры мотивированы и умны, они всегда стремятся тестировать на прочность системы и код, расширять границы доступных им методов и изобретать новые способы заражения.