Е. КАСПЕРСКИЙ и Д. ЗЕНКИН

Вспыхнувшая в мае этого года эпидемия компьютерного вируса "LoveLetter" ("Любовные письма") еще раз подтвердила опасность, которую таит в себе подобная "компьютерная фауна". Проникнув в сотни тысяч компьютеров по всему миру, вирус уничтожил огромное количество важной информации, буквально парализовав работу крупнейших коммерческих и государственных организаций.

Так выглядят "любовные письма", рассылаемые вирусом "LoveLetter" no электронной почте. Чтобы запустить вирус, достаточно нажать на иконку.

Такой рисунок показывает вирус "Tentacle" ("Щупальце") при попытке просмотреть любой файл с расширением GIF на зараженных компьютерах. Надпись на рисунке: "Я вирус Щупальце".

Вирус "Marburg" показывает эти прелестные крестики и... удаляет файлы с дисков.

Скрипт-вирус "Monopoly" поиздевался над главой компании Microsoft Биллом Гейтсом. Помимо показа забавной картинки вирус незаметно отсылает с компьютера секретную информацию.

К сожалению, феномен "компьютерного вируса" до сих пор вызывает скорее суеверный трепет, нежели желание трезво разобраться в ситуации и принять меры безопасности. Какие они - эти вирусы? Насколько они опасны? Какие методы антивирусной защиты существуют сегодня и насколько они эффективны? На эти и другие темы рассуждают специалисты ведущего российского производителя антивирусных программ "Лаборатории Касперского".

ЧТО ТАКОЕ КОМПЬЮТЕРНЫЙ ВИРУС?

На этот, казалось бы, простой вопрос до сих пор не найден однозначный ответ. В специализированной литературе можно найти сотни определений понятия "компьютерный вирус", при этом многие из них различаются чуть ли ни диаметрально. Отечественная "вирусология" обычно придерживается следующего определения: компьютерным вирусом называется программа, без ведома пользователя внедряющаяся в компьютеры и производящая там различные несанкционированные действия. Это определение было бы неполным, если бы мы не упомянули еще одно свойство, обязательное для компьютерного вируса. Это его способность "размножаться", то есть создавать свои дубликаты и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. Причем дубликаты вируса могут и не совпадать с оригиналом.

Способность вирусов к "размножению" вызывает у некоторых людей желание сравнивать их с "особой формой жизни" и даже наделять эти программы неким "злым интеллектом", заставляющим их совершать мерзкие выходки ради достижения поставленной цели. Однако это не более чем вымысел и игра фантазии. Подобное восприятие событий напоминает средневековые представления о злых духах и ведьмах, которых никто не видел, но все боялись. "Размножение" вирусов ничем не отличается от, например, копирования программой файлов из одной директории в другую. Отличие лишь в том, что эти действия производятся без ведома пользователя, то есть на экране не появляется никаких сообщений. Во всем остальном вирус - самая обычная программа, использующая те или иные команды компьютера.

Компьютерные вирусы - один из подвидов большого класса программ, называемых вредоносными кодами. Сегодня эти понятия часто отождествляют, однако, с научной точки зрения это не верно. В группу вредоносных кодов входят также так называемые "черви" и "Троянские кони". Их главное отличие от вирусов в том, что они не могут "размножаться".

Программа-червь распространяется по компьютерным сетям (локальным или глобальным), не прибегая к "размножению". Вместо этого она автоматически, без ведома пользователя, рассылает свой оригинал, например, по электронной почте.

"Троянские" программы вообще лишены каких-либо встроенных функций распространения: они попадают на компьютеры исключительно "с помощью" своих авторов или лиц, незаконно их использующих. Вспомним "Илиаду" Гомера. После многих безуспешных попыток взять Трою штурмом, греки прибегли к хитрости. Они построили статую коня и оставили ее троянцам, сделав вид, что отступают. Однако конь был внутри пустым и скрывал отряд греческих солдат. Троянцы, поклонявшиеся божеству в образе коня, сами втащили статую в ворота города. "Троянские" программы используют похожий способ внедрения: они попадают в компьютеры под видом полезных, забавных и, зачастую, весьма прибыльных программ. Например, пользователю приходит письмо по электронной почте с предложением запустить присланный файл, где лежит, скажем, миллион рублей. После запуска этого файла в компьютер незаметно попадает программа, совершающая различные нежелательные действия. Например, она может шпионить за владельцем зараженного компьютера (следить, какие сайты он посещает, какие использует пароли для доступа в Интернет и т. п.) и затем отсылать полученные данные своему автору.

В последнее время участились случаи появления так называемых "мутантов", то есть вредоносных кодов, сочетающих в себе особенности сразу нескольких классов. Типичный пример - макровирус "Melissa", вызвавший крупную эпидемию в марте прошлого года. Он распространялся по сетям как классический Интернет-червь. "LoveLetter" - также помесь сетевого червя и вируса. В более сложных случаях вредоносная программа может содержать в себе характеристики всех трех типов (таков, например, вирус "BABYLONIA").

ПРОИСХОЖДЕНИЕ КОМПЬЮТЕРНЫХ ВИРУСОВ

Как это ни странно, идея компьютерных вирусов возникла задолго до появления персональных компьютеров. В1959 году американский ученый Л. С. Пенроуз (L. С. Penrose) опубликовал в журнале "Scientific American" статью, посвященную самовоспроизводящимся механическим структурам. В этой статье была описана простейшая модель двухмерных структур, способных к активации, размножению, мутациям, захвату. Вскоре исследователь из США Ф. Г. Сталь (F. G. Stahl) реализовал эту модель с помощью машинного кода на IBM 650.

В те времена компьютеры были огромными, сложными в эксплуатации и чрезвычайно дорогими машинами, поэтому их обладателями могли стать лишь крупные компании или правительственные вычислительные и научно-исследовательские центры. Но вот 20 апреля 1977 года с конвейера сходит первый "народный" персональный компьютер Apple II. Цена, надежность, простота и удобство в работе предопределили его широкое распространение в мире. Общий объем продаж компьютеров этой серии составил более трех миллионов штук (без учета его многочисленных копий, таких, как Правец 8М/С, Агат и др.), что на порядок превышало количество всех других ЭВМ, имевшихся в то время. Тем самым доступ к компьютерам получили миллионы людей самых различных профессий, социальных слоев и склада ума. Неудивительно, что именно тогда и появились первые прототипы современных компьютерных вирусов, ведь были выполнены два важнейших условия их развития - расширение "жизненного пространства" и появление средств распространения.

В дальнейшем условия становились все более и более благоприятными для вирусов. Ассортимент доступных рядовому пользователю персональных компьютеров расширялся, помимо гибких 5-дюймовых магнитных дисков появились жесткие, бурно развивались локальные сети, а также технологии передачи информации при помощи обычных коммутируемых телефонных линий. Возникли первые сетевые банки данных BBS (Bulletin Board System), или "доски объявлений", значительно облегчавшие обмен программами между пользователями. Позднее многие из них переросли в крупные онлайновые справочные системы (CompuServe, AOL и др.). Все это способствовало выполнению третьего важнейшего условия развития и распространения вирусов - стали появляться отдельные личности и группы людей, занимающиеся их созданием.

Кто пишет вирусные программы и зачем? Этот вопрос (с просьбой указать адрес и номер телефона) особенно волнует тех, кто уже подвергся вирусной атаке и потерял результаты многолетней кропотливой работы. Сегодня портрет среднестатистического "вирусописателя" выглядит так: мужчина, 23 года, сотрудник банка или финансовой организации, отвечающий за информационную безопасность или сетевое администрирование. Однако по нашим данным, его возраст несколько ниже (14-20 лет), он учится или не имеет занятия вообще. Главное, что объединяет всех создателей вирусов - это желание выделиться и проявить себя, пусть даже на геростратовом поприще. В повседневной жизни такие люди часто выглядят трогательными тихонями, которые и мухи не обидят. Вся их жизненная энергия, ненависть к миру и эгоизм находят выход в создании мелких "компьютерных мерзавцев". Они трясутся от удовольствия, когда узнают, что их "детище" вызвало настоящую эпидемию в компьютерном мире. Впрочем, это уже область компетенции психиатров.

90-е годы, ознаменовавшиеся расцветом глобальной сети Интернет, оказались наиболее благодатным временем для компьютерных вирусов. Сотни миллионов людей по всему миру волей-неволей сделались "пользователями", а компьютерная грамотность стала почти так же необходима, как умение читать и писать. Если раньше компьютерные вирусы развивались в основном экстенсивно (то есть росло их число, но не качественные характеристики), то сегодня благодаря совершенствованию технологий передачи данных можно говорить об обратном. На смену "примитивным предкам" приходят все более "умные" и "хитрые" вирусы, гораздо лучше приспособленные к новым условиям обитания. Сегодня вирусные программы уже не ограничиваются порчей файлов, загрузочных секторов или проигрыванием безобидных мелодий. Некоторые из них способны уничтожать данные на микросхемах материнских плат. При этом технологии маскировки, шифрации и распространения вирусов подчас удивляют даже самых бывалых специалистов.

КАКИЕ БЫВАЮТ ВИРУСЫ

На сегодняшний день зарегистрировано около 55 тысяч компьютерных вирусов. Их число постоянно растет, появляются совершенно новые, ранее неизвестные типы. Классифицировать вирусы становится труднее год от года. В общем случае их можно разделить на группы по следующим основным признакам: среда обитания, операционная система, особенности алгоритма работы. Согласно этим трем классификациям известный вирус "Чернобыль", к примеру, можно отнести к файловым резидентным неполиморфичным Windows-вирусам. Поясним подробнее, что это значит.

1. Среда обитания

В зависимости от среды обитания различают файловые, загрузочные и макровирусы.

Поначалу самой распространенной формой компьютерной "заразы" были файловые вирусы , "обитающие" в файлах и папках операционной системы компьютера. К ним относятся, например, "overwriting"-вирусы (от англ. "записывать поверх"). Попадая в компьютер, они записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Однако это довольно примитивные вирусы: они, как правило, очень быстро себя обнаруживают и не могут стать причиной эпидемии.

Еще более "хитро" ведут себя "companion"-вирусы (от англ. "приятель", "компаньон"). Они не изменяют сам файл, но создают для него файл-двойник таким образом, что при запуске зараженного файла управление получает именно этот двойник, то есть вирус. Например, "companion"-вирусы, работающие под DOS, используют особенность этой операционной системы в первую очередь выполнять файлы с расширением СОМ, а потом уже с расширением ЕХЕ. Такие вирусы создают для ЕХЕ-файлов двойники, имеющие то же самое имя, но с расширением СОМ. Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске зараженного файла DOS первым обнаружит и выполнит именно СОМ-файл, то есть вирус, а уже потом вирус запустит файл с расширением ЕХЕ.

Иногда "соmpanion"-вирусы просто переименовывают заражаемый файл, а под старым именем записывают на диск свой собственный код. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске файла управление получает код вируса, который затем уже запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Подобного типа вирусы были обнаружены во многих операционных системах - не только в DOS, но и в Windows и OS/2.

Есть и другие способы создавать файлы-двойники. Например, вирусы типа "path-companion" "играют" на особенностях DOS PATH - иерархической записи местоположения файла в системе DOS. Вирус копирует свой код под именем заражаемого файла, но помещает его не в ту же директорию, а на один уровень выше. В этом случае DOS первым обнаружит и запустит именно файл-вирус.

Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы. Эти вирусы заражают загрузочный сектор (boot-сектор) дискеты или винчестера - специальную область на диске, содержащую программу начальной загрузки компьютера. Если изменить содержимое загрузочного сектора, то, возможно, вы даже не сможете запустить ваш компьютер.

Макровирусы - разновидность компьютерных вирусов, созданных при помощи макроязыков, встроенных в популярные офисные приложения наподобие Word, Excel, Access, PowerPoint, Project, Corel Draw и др. (см. "Наука и жизнь" № 6, 2000 г.). Макроязыки используются для написания специальных программ (макросов), позволяющих повысить эффективности работы офисных приложений. Например, в Word можно создать макрос, автоматизирующий процесс заполнения и рассылки факсов. Тогда пользователю достаточно будет ввести данные в поля формы и нажать на кнопку - все остальное макрос сделает сам. Беда в том, что, кроме полезных, в компьютер могут попасть и вредоносные макросы, обладающие способностью создавать свои копии и совершать некоторые действия без ведома пользователя, например изменять содержание документов, стирать файлы или директории. Это и есть макровирусы.

Чем шире возможности того или иного макроязыка, тем более хитрыми, изощренными и опасными могут быть написанные на нем макровирусы. Самый распространенный сегодня макроязык - Visual Basic for Applications (VBA). Его возможности стремительно возрастают с каждой новой версией. Таким образом, чем более совершенными будут офисные приложения, тем опаснее будет в них работать. Поэтому макровирусы представляют сегодня реальную угрозу компьютерным пользователям. По нашим прогнозам, с каждым годом они будут становиться все более неуловимыми и опасными, а скорость их распространения скоро достигнет небывалых величин.

2. Используемая операционная система .

Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем - DOS, Windows, OS/2, Linux, MacOS и т.д. На этом основан второй способ классификации вирусов. Например, вирус "BOZA", работающий только в Windows и нигде более, относится к Windows-вирусам. Вирус "BLISS" - к Linux-вирусам и т.д.

3. Алгоритмы работы.

Вирусы можно также различать по используемым ими алгоритмам работы, то есть различным программным хитростям, делающим их столь опасными и трудноуловимыми.

Во-первых, все вирусы можно разделить на резидентные и нерезидентные . Резидентный вирус подобен шпиону, постоянно работающему в чужой стране. Попав при загрузке в оперативную память компьютера, вирус остается в ней до тех пор, пока компьютер не будет выключен или перезагружен. Именно оттуда вирус-резидент и совершает все свои деструктивные действия. Нерезидентные вирусы не заражают память компьютера и способны "размножаться" только если их запустить.

К резидентным можно также отнести все макровирусы. Они присутствуют в памяти компьютера в течение всего времени работы зараженного ими приложения.

Во-вторых, вирусы бывают видимыми и невидимыми . Для простого обывателя невидимость вируса - пожалуй, самое загадочное его свойство. Однако ничего демонического в этом нет. "Невидимость" заключается в том, что вирус посредством программных уловок не дает пользователю или антивирусной программе заметить изменения, которые он внес в зараженный файл. Постоянно присутствуя в памяти компьютера, вирус-невидимка перехватывает запросы операционной системы на чтение и запись таких файлов. Перехватив запрос, он подставляет вместо зараженного файла его первоначальный неиспорченный вариант. Таким образом пользователю всегда попадаются на глаза только "чистые" программы, в то время как вирус незаметно вершит свое "черное дело". Одним из первых файловых вирусов-невидимок был "Frodo", а первым загрузочным невидимкой - вирус "Brain".

Чтобы максимально замаскироваться от антивирусных программ, практически все вирусы используют методы самошифрования или полиморфичности , то есть они могут сами себя зашифровывать и видоизменять. Меняя свой внешний вид (программный код), вирусы полностью сохраняют способность совершать те или иные вредоносные действия. Раньше антивирусные программы умели обнаруживать вирусы только "в лицо", то есть по их уникальному программному коду. Поэтому появление вирусов-полиморфиков несколько лет назад произвело настоящую революцию в компьютерной вирусологии. Сейчас уже существуют универсальные методы борьбы и с такими вирусами.

МЕТОДЫ БОРЬБЫ С КОМПЬЮТЕРНЫМИ ВИРУСАМИ

Необходимо помнить главное условие борьбы с компьютерными вирусами - не паниковать. Круглосуточно на страже компьютерной безопасности находятся тысячи высококлассных антивирусных специалистов, профессионализм которых многократно превосходит совокупный потенциал всех компьютерных хулиганов - хакеров. В России антивирусными исследованиями занимаются две компьютерные компании - "Лаборатория Касперского" (www.avp.ru) и "СалД" (www.drweb.ru).

Для того чтобы успешно противостоять попыткам вирусов проникнуть в ваш компьютер, необходимо выполнять два простейших условия: соблюдать элементарные правила "компьютерной гигиены" и пользоваться антивирусными программами.

С тех пор как существует антивирусная индустрия, было изобретено множество способов противодействия компьютерным вирусам. Пестрота и разнообразие предлагаемых сегодня систем защиты поистине поражает. Попробуем разобраться, в чем преимущества и недостатки тех или иных способов защиты и насколько они эффективны по отношению к различным типам вирусов.

На сегодняшний день можно выделить пять основных подходов к обеспечению антивирусной безопасности.

1. Антивирусные сканеры.

Пионер антивирусного движения - программа-сканер, появившаяся на свет практически одновременно с самими компьютерными вирусами. Принцип работы сканера заключается в просмотре всех файлов, загрузочных секторов и памяти с цепью обнаружения в них вирусных сигнатур, то есть уникального программного кода вируса.

Главный недостаток сканера - неспособность отслеживать различные модификации вируса. К примеру, существует несколько десятков вариантов вируса "Melissa", и почти для каждого из них антивирусным компаниям приходилось выпускать отдельное обновление антивирусной базы.

Отсюда вытекает и вторая проблема: на время между появлением новой модификации вируса и выходом соответствующего антивируса пользователь остается практически незащищенным. Правда, позднее эксперты придумали и внедрили в сканеры оригинальный алгоритм обнаружения неизвестных вирусов - эвристический анализатор, который проверял код программы на возможность присутствия в нем компьютерного вируса. Однако этот метод имеет высокий уровень ложных срабатываний, недостаточно надежен и, кроме того, не позволяет ликвидировать обнаруженные вирусы.

И, наконец, третий недостаток антивирусного сканера - он проверяет файлы только тогда, когда вы его об этом "попросите", то есть запустите программу. Между тем пользователи очень часто забывают проверять сомнительные файлы, загруженные, например, из Интернета, и в результате своими собственными руками заражают компьютер. Сканер способен определить факт заражения только после того, как в системе уже появился вирус.

2. Антивирусные мониторы.

По своей сути антивирусные мониторы - это разновидность сканеров. Но в отличие от последних они постоянно находятся в памяти компьютера и осуществляют фоновую проверку файлов, загрузочных секторов и памяти в масштабе реального времени. Для включения антивирусной защиты пользователю достаточно загрузить монитор при загрузке операционной системы. Все запускаемые файлы будут автоматически проверяться на вирусы.

3. Ревизоры изменений.

Работа этого вида антивирусных программ основана на снятии оригинальных "отпечатков" (CRC-сумм) с файлов и системных секторов. Эти "отпечатки" сохраняются в базе данных. При следующем запуске ревизор сверяет "отпечатки" с их оригиналами и сообщает пользователю о произошедших изменениях.

У ревизоров изменений тоже есть недостатки. Во-первых, они не способны поймать вирус в момент его появления в системе, а делают это лишь через некоторое время, уже после того как вирус разошелся по компьютеру. Во-вторых, они не могут обнаружить вирус в новых файлах (в электронной почте, на дискетах, в файлах, восстанавливаемых из резервной копии, или при распаковке файлов из архива), поскольку в базах данных ревизоров информация об этих файлах отсутствует. Этим и пользуются некоторые вирусы, заражая только вновь создаваемые файлы и оставаясь, таким образом, невидимыми для ревизоров. В-третьих, ревизоры требуют регулярного запуска - чем чаще это делать, тем надежнее будет контроль за вирусной активностью.

4. Иммунизаторы.

Антивирусные программы-иммунизаторы делятся на два вида: иммунизаторы, сообщающие о заражении, и иммунизаторы, блокирующие заражение каким-либо типом вируса.

Первые обычно записываются в конец файлов (по принципу файлового вируса) и при запуске файла каждый раз проверяют его на изменение. Недостаток у таких иммунизаторов всего один, но он принципиален: они абсолютно не способны обнаруживать вирусы-невидимки, хитро скрывающие свое присутствие в зараженном файле.

Второй тип иммунизаторов защищает систему от поражения каким-либо определенным вирусом. Для этого файлы модифицируются таким образом, чтобы вирус принимал их за уже зараженные. Например, чтобы предотвратить заражение СОМ-файла вирусом "Jerusalem" достаточно дописать в него строку MsDos. А для защиты от резидентного вируса в память компьютера заносится программа, имитирующая копию вируса. При запуске вирус натыкается на нее и считает, что система уже заражена и можно ею не заниматься.

Конечно, нельзя иммунизировать файлы от всех известных вирусов: у каждого из них свои приемы определения зараженности. Именно поэтому иммунизаторы не получили большого распространения и в настоящее время практически не используются.

5. Поведенческие блокираторы.

Все перечисленные выше типы антивирусов не решают главной проблемы - защиты от неизвестных вирусов. Таким образом, компьютерные системы оказываются беззащитны перед ними до тех пор, пока производители антивирусов не разработают противоядия. Иногда на это уходит несколько недель. За это время можно потерять всю важную информацию.

Однозначно ответить на вопрос "что же делать с неизвестными вирусами?" нам удастся лишь в грядущем тысячелетии. Однако уже сегодня можно сделать некоторые прогнозы. На наш взгляд, наиболее перспективное направление антивирусной защиты - это создание так называемых поведенческих блокираторов. Именно они способны практически со стопроцентной гарантией противостоять атакам новых вирусов.

Что такое поведенческий блокиратор? Это программа, постоянно находящаяся в оперативной памяти компьютера и "перехватывающая" различные события в системе. В случае обнаружения "подозрительных" действий (которые может производить вирус или другая вредоносная программа), блокиратор запрещает это действие или запрашивает разрешение у пользователя. Иными словами, блокиратор не ищет код вируса, но отслеживает и предотвращает его действия.

Теоретически блокиратор может предотвратить распространение любого как известного, так и неизвестного (написанного после блокиратора) вируса. Но проблема заключается в том, что "вирусоподобные" действия может производить и сама операционная система, а также полезные программы. Поведенческий блокиратор (здесь имеется в виду "классический" блокиратор, который используется для борьбы с файловыми вирусами) не может самостоятельно определить, кто именно выполняет подозрительное действие - вирус, операционная система или какая-либо программа, и поэтому вынужден спрашивать подтверждения у пользователя. Таким образом пользователь, принимающий конечное решение, должен обладать достаточными знаниями и опытом для того, чтобы дать правильный ответ. Но таких людей мало. Именно поэтому блокираторы до сих пор не стали популярными, хотя сама идея их создания появилась довольно давно. Достоинства этих антивирусных программ зачастую становились их недостатками: они казались слишком навязчивыми, утруждая пользователя своими постоянным запросами, и пользователи их просто удаляли. К сожалению, эту ситуацию может исправить лишь использование искусственного интеллекта, который самостоятельно разбирался бы в причинах того или иного подозрительного действия.

Однако уже сегодня поведенческие блокираторы могут успешно применяться для борьбы с макровирусами. В программах, написанных на макроязыке VBA, можно с очень большой долей вероятности отличать вредоносные действия от полезных. В конце 1999 года "Лаборатория Касперского" разработала уникальную систему защиты от макровирусов пакета MS Office (версий 97 и 2000), основанную на новых подходах к принципам поведенческого блокиратора, - AVP Office Guard. Благодаря проведенному анализу поведения макровирусов, были определены наиболее часто встречающиеся последовательности их действий. Это позволило внедрить в программу блокиратора новую высокоинтеллектуальную систему фильтрации действий макросов, практически безошибочно выявляющую те из них, которые представляют собой реальную опасность. Благодаря этому блокиратор AVP Office Guard, с одной стороны, задает пользователю гораздо меньше вопросов и не столь "навязчив", как его файловые собратья, а с другой - практически на 100% защищает компьютер от макровирусов как известных, так и еще не написанных.

AVP Office Guard перехватывает и блокирует выполнение даже многоплатформенных макровирусов, то есть вирусов, способных работать сразу в нескольких приложениях. Кроме того, программа AVP Office Guard контролирует работу макросов с внешними приложениями, в том числе и с почтовыми программами. Тем самым исключается возможность распространения макровирусов через электронную почту. А ведь именно таким способом в мае этого года вирус "LoveLetter" поразил десятки тысяч компьютеров по всему миру.

Эффективность блокиратора была бы нулевой, если бы макровирусы могли произвольно отключать его. (В этом состоит один из недостатков антивирусной защиты, встроенной в приложения MS Office.) В AVP Office Guard заложен новый механизм противодействия атакам макровирусов на него самого с целью его отключения и устранения из системы. Сделать это может только сам пользователь. Таким образом, использование AVP Office Guard избавит вас от вечной головной боли по поводу загрузки и подключения обновлений антивирусной базы для защиты от новых макровирусов. Однажды установленная, эта программа надежно защитит компьютер от макровирусов вплоть до выхода новой версии языка программирования VBA с новыми функциями, которые могут быть использованы для написания вирусов.

Хотя поведенческий блокиратор и решает проблему обнаружения и предотвращения распространения макровирусов, он не предназначен для их удаления. Поэтому его надо использовать совместно с антивирусным сканером, который способен успешно уничтожить обнаруженный вирус. Блокиратор позволит безопасно переждать период между обнаружением нового вируса и выпуском обновления антивирусной базы для сканера, не прерывая работу компьютерных систем из-за боязни навсегда потерять ценные данные или серьезно повредить аппаратную часть компьютера.

ПРАВИЛА "КОМПЬЮТЕРНОЙ ГИГИЕНЫ"

" Ни в коем случае не открывайте файлы, присылаемые по электронной почте неизвестными вам людьми. Даже если адресат вам известен - будьте осторожны: ваши знакомые и партнеры могут и не подозревать, что в их компьютере завелся вирус, который незаметно рассылает свои копии по адресам из их адресной книги.

" Обязательно проверяйте антивирусным сканером с максимальным уровнем проверки все дискеты, компакт-диски и другие мобильные носители информации, а также файлы, получаемые из сети Интернет и других публичных ресурсов (BBS, электронных конференций и т. д.).

" Проводите полную антивирусную проверку компьютера после получения его из ремонтных служб. Ремонтники пользуются одними и теми же дискетами для проверки всех компьютеров - они очень легко могут занести "заразу" с другой машины!

" Своевременно устанавливаете "заплатки" от производителей используемых вами операционных систем и программ.

" Будьте осторожны, допуская других пользователей к вашему компьютеру.

" Для повышения сохранности ваших данных периодически проводите резервную архивацию информации на независимые носители.

Все ведущие антивирусные компании имеют собственные страницы, посвященные мистификациям. И информацию можно найти на сайте Вирусной энциклопедии (http://www.viruslist.com/ ), Symantec (http://www.symantec.com/avcenter/index.html ) и McAfee (http://vil.mcafee.com/hoax.asp ).

И, конечно же, не забывайте о Google – на то он и поисковик, чтобы все знать!

Практически ни один разговор о компьютерных вирусах не обходится без термина «троянская программа», или «троянец». Чем это приложение отличается от вируса, каково его назначение и чем оно опасно? К этой категории относятся программы, выполняющие несанкционированные действия без ведома пользователя. По характеру действия троянец напоминает вирус: он может красть персональную информацию (прежде всего файлы паролей и почтовые базы), перехватывать данные, введенные с клавиатуры, реже – уничтожать важную информацию или нарушать работоспособность компьютера. Троянская программа может применяться для использования ресурсов компьютера, на котором она запущена, в неблаговидных или преступных целях: рассылки вирусов и спама, проведения DDOS-атак (Distributed Denial of Service – распределенных атак, направленных на нарушение работы сетевых сервисов).

Это могут делать и вирусы. Отличие заключается в том, что часто внешне троянец выглядит как вполне нормальная программа, выполняющая полезные функции. Однако у нее есть и «вторая жизнь», о которой пользователь не догадывается, так как часть функций приложения скрыты. Троянская программа отличается от вируса неспособностью к самораспространению: она не может сама копироваться на другие компьютеры, ничего не уничтожает и не изменяет в компьютере пользователя (кроме функций, которые нужны для ее запуска). Троян может прокрасться к ничего не подозревающему пользователю под видом ускорителя Интернета, очистителя дискового пространства, видеокодека, плагина к проигрывателю Winamp или исполняемого файла, имеющего двойное расширение.

Примечание

Хотя, в отличие от вируса, троянец не способен к саморазмножению, от этого он не становится менее опасным.

В последнем случае может прийти письмо с просьбой посмотреть фотографию и прикрепленным файлом вроде superfoto.bmp.exe (как вариант, после BMP может быть большое количество пробелов, чтобы пользователь ничего не заподозрил). В итоге получатель сам устанавливает вредоносную программу. Отсюда произошло название таких приложений: вспомните, как ахейцы захватили Трою. Город был хорошо укреплен, ахейцы долго не могли его взять и обманули защитников. Для жителей Трои конь был символом мира, и ахейцы, якобы для примирения, построили деревянную статую коня, внутрь которой посадили своих лучших воинов. Ничего не подозревающие троянцы затащили подарок в город, а ночью ахейцы вылезли из статуи, обезвредили стражу и открыли ворота, впустив основные силы.

Размножению троянской программы может способствовать сам пользователь, копируя его друзьям и коллегам. Возможен вариант, когда программа попадает на компьютер пользователя как червь, а далее работает как троян, обеспечивая создателю возможность дистанционного управления зараженным компьютером. Чаще всего такие программы все-таки относят к червям.

Запустившись, троянец располагается в памяти компьютера и отслеживает запрограммированные действия: крадет пароли для доступа в Интернет, обращается к сайтам, накручивая чьи-то счетчики (за что пользователь платит лишним трафиком), звонит на платные, часто дорогие, телефонные номера, следит за действиями и привычками хозяина компьютера и читает его электронную почту.

Современные троянцы, как правило, уже не тащат все подряд. Они целенаправленно занимаются сбором конкретной информации. Например, «банковские» шпионы крадут номера кредитных карточек и других банковских данных. В связи с ростом популярности интернет-игр появился интерес к краже игровых предметов или персонажей, цена которых порой доходит до нескольких тысяч долларов, поэтому кража учетных записей для мошенников не менее привлекательна, чем кража банковских атрибутов.

Отдельно следует упомянуть Trojan-Downloader и Trojan-Dropper, которые используются для установки на компьютеры троянских, рекламных (adware) или порнографических (pornware) программ. Кроме того, троянцы часто используются для создания троянских прокси-серверов или даже целых зомбисетей для рассылки спама или вирусов.

Как определить, что в системе поселилась троянская программа? Во-первых, согласитесь, странно, когда только что установленный плагин к Winamp не обнаруживается в списке. Во-вторых, при инсталляции трояна может быть выведено сообщение, причем как об успешном окончании установки (вроде Internet Exsplorer already patched ), так и, наоборот, говорящее о том, что утилита не установлена, потому что системная библиотека несовместима с версией программы либо архив поврежден. Возможно, будут также выведены рекомендации по устранению ошибки. После долгих мучений пользователь вряд ли получит ожидаемый результат, скорее всего, оставит все попытки и будет пребывать в уверенности, что это полезная программа, которая просто не запустилась по непонятным причинам. Троянец тем временем пропишется в автозапуске. Например, в Windows необходимо быть внимательным к следующим веткам реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunservicesOnce

Возможно помещение ярлыка трояна в папку (это встречается очень редко, так как присутствие вредоносной программы в этой папке легко обнаружить) или запись в файлы autoexec.bat , win.ini , system.ini . Часто разработчики принимают меры, чтобы трояна не было видно в окне Диспетчер задач , выводимом нажатием сочетания клавиш Ctrl+Alt+Delete . Наиболее сложные троянские программы умеют самостоятельно обновляться через Интернет, прятаться от антивирусов и расшифровывать файлы паролей. Управлять троянцем можно несколькими способами – от прямого подключения к компьютеру до проверки определенного сетевого ресурса, на который хозяин посылает e-mail, ICQ и IRC-команды.

Часто троянец состоит из двух частей: клиентской, установленной у хозяина, и серверной, работающей на машине жертвы. Такие программы также называют backdoor (потайной ход). Запустив программу-клиент, злоумышленник проверяет, находится ли сервер в Сети: если отклик получен, то удаленным компьютером можно управлять как своим.

Учитывая неумение троянских программ распространяться самостоятельно, простым и эффективным правилом, позволяющим избежать заражения, является загрузка файлов только из надежных источников. Несмотря на то что, в отличие от вирусных эпидемий, о троянских эпидемиях пока еще никто не слышал, да и вряд ли услышит, учитывая неспособность этих программ к самостоятельному размножению, они не менее (а, возможно, даже более) опасны, чем вирусы. Ведь часто такие программы создаются для персонального использования, и поэтому сегодняшние антивирусы не могут знать обо всех них. Это означает, что пользователь может долгое время работать на зараженной машине, не подозревая об этом. Чтобы найти троянское приложение, требуются специальные утилиты и наблюдение за сетевой активностью компьютера с помощью штатных средств операционной системы и установленного брандмауэра, о чем будет подробнее рассказано в главе 4.

Если троянцы, о которых говорилось выше, можно обнаружить с помощью системных утилит, то представители этого класса вычисляются только с помощью специальных утилит.

Руткиты представляют собой более продвинутый вариант троянских коней. Некоторые антивирусные компании не разделяют руткиты и троянцы, относя их к одной категории зловредных программ. Однако троян прячется на компьютере, обычно маскируясь под известную программу (например, Spymaster выдавает себя за приложение MSN Messenger), а руткиты используют для маскировки более продвинутые методы, внедряясь глубоко в систему.

Изначально словом «руткит» обозначался набор инструментов, позволяющий злоумышленнику возвращаться во взломанную систему таким образом, чтобы системный администратор не мог его видеть, а система – регистрировать. Долгое время руткиты были привилегией Unix-систем, но, как известно, хорошие идеи просто так не пропадают, и в конце ХХ века стали массово появляться руткиты, предназначенные для Microsoft Windows. О руткитах заговорили, только когда на их использовании в своих продуктах была поймана фирма Sony. Сегодня эксперты предсказывают бум этой технологии, и в ближайшие два-три года ожидается массовый рост количества руткитов – вплоть до 700 % в год. Самое печальное, что их будут использовать не только злоумышленники: руткиты станут массово применяться в коммерческих продуктах, в первую очередь для защиты от пиратства. Например, недавно было объявлено, что компания Microsoft создала руткит, обнаружить который невозможно. Не исключено, что это изобретение встретится в новых версиях Windows.

Обычному пользователю от этого не легче. Технология руткитов потенциально может быть использована для создания нового поколения программ-шпионов и червей, обнаружить которые после их проникновения в компьютер будет почти невозможно.

Практически все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать работающие программы, системные службы, драйверы и сетевые соединения. В основе функционирования руткитов лежит модификация данных и кода программы в памяти операционной системы. В зависимости от того, с какой областью памяти работают руткиты, их можно подразделить на следующие виды:

Системы, работающие на уровне ядра (Kernel Level, или KLT);

Системы, функционирующие на пользовательском уровне (User Level).

Первый известный руткит для системы Windows, NT Rootkit, был написан в 1999 году экспертом в области безопасности Грегом Хоглундом в виде драйвера уровня ядра. Он скрывал все файлы и процессы, в имени которых встречалось сочетание _root , перехватывал информацию, набираемую на клавиатуре, и использовал другие способы маскировки.

Самым известным на сегодня руткитом является Hacker Defender. Эта программа работает в режиме пользователя и маскируется за счет перехвата некоторых API. Hacker Defender может обрабатывать сетевой трафик до того, как он будет передан приложению, то есть любая программа, работающая в сети, может быть использована для взаимодействия со взломщиком. Руткит умеет скрывать файлы и процессы, записи в реестре и открытые порты и может неправильно показывать количество свободного места на диске. Он прописывается в автозагрузку, оставляя для себя черный вход, и прослушивает все открытые и разрешенные брандмауэром порты на предмет 256-битного ключа, который укажет, какой порт использовать для управления. Hacker Defender перехватывает функции запуска новых процессов, что позволяет ему заражать все программы, запускаемые пользователем. Он полиморфен: для шифрования исполняемых файлов руткита обычно используется утилита Morphine.

Примечание

Все современные версии руткитов могут прятать от пользователя файлы, папки и параметры реестра, скрывать программы, системные службы, драйверы и сетевые соединения.

Одним из наиболее опасных руткитов является FU, выполненный частично как приложение, а частично как драйвер. Он не занимается перехватами, а манипулирует объектами ядра системы, поэтому найти такого вредителя очень сложно.

Если вы обнаружили руткит, это еще не значит, что вы сможете избавиться от него. Для защиты от уничтожения пользователем или антивирусом в руткитах применяется несколько технологий, которые уже встречаются и в зловредных программах других типов. Например, запускаются два процесса, контролирующих друг друга. Если один из них прекращает работу, второй восстанавливает его. Применяется также похожий метод, использующий потоки: удаленный файл, параметр реестра или уничтоженный процесс через некоторое время восстанавливаются.

Популярен способ блокировки доступа к файлу: файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно. Если попытаться воспользоваться отложенным удалением (во время следующей загрузки), например с помощью программы типа MoveOnBoot, то, скорее всего, запись об этой операции будет через некоторое время удалена либо файл будет переименован.

Любопытный способ защиты использует червь Feebs. Для борьбы с антивирусами, антируткитами и другими утилитами, пытающимися уничтожить его, он выставляет приманку – замаскированный процесс, не видимый на вкладке Процессы в окне Диспетчера задач . Любое приложение, которое попытается обратиться к этому процессу, уничтожается. Программа может устанавливаться как дополнительный модуль к браузеру Internet Explorer, изменяющий его функциональность. Стандартные средства контроля автозапуска типа msconfig не видят эти параметры, а применение дополнительных утилит для изучения системы требует от пользователя определенной квалификации, поэтому единственный действительно надежный способ уничтожить такую программу – отформатировать жесткий диск и заново установить операционную систему.

К сожалению, существующие сегодня специализированные программы, предназначенные для обнаружения руткитов, и традиционные антивирусы не дают стопроцентной гарантии безопасности. Обладая исходным кодом этих программ, можно создать любые модификации руткитов или включить часть кода в любую шпионскую программу. Главное умение руткитов – не прочно закрепиться в системе, а проникнуть в нее, поэтому основным правилом для вас должны стать максимальная защита и осторожность.

Если после всего рассказанного в предыдущих главах у вас еще не пропало желание работать с компьютером, вам будет интересно узнать, как различные зловредные программы могут попасть в систему. Эта информация, возможно, убережет вас от простейших ошибок и позволит трезво оценить ситуацию.

Можно выделить три причины проникновения вирусов:

Ошибки при разработке программного обеспечения;

Ошибки в настройках;

Воздействие на пользователя (социальный инжиниринг).

Описать все варианты невозможно: технологии не стоят на месте и злоумышленники постоянно придумывают новые методы. Остановимся на основных моментах. Если в последних двух случаях от действий пользователя что-то зависит, то в первом он может повлиять на ход событий только частично. Ошибки в программном обеспечении часто способны свести на нет все попытки пользователя защитить систему от проникновения вредоносных приложений.

Некоторые вирусы и атаки достигают цели без участия пользователя. Несмотря на усилия, интенсивность удаленных атак не снижается, а отражать их становится все труднее. Как это получается? Ведь чтобы программа, пусть и зловредная, что-то сделала, она должна быть кем-то или чем-то запущена. Анализ показывает, что в подавляющем большинстве атак используются ошибки переполнения буфера, и эта проблема является первостепенной.

Впервые данная уязвимость была использована в 1988 году – на ней основывались атаки червем Морриса. С тех пор количество подобных атак увеличивается с каждым годом. В настоящее время можно утверждать, что уязвимости, связанные с переполнением буфера, являются доминирующими при удаленных атаках, где обычный пользователь Сети получает частичный или полный контроль над атакуемым. Приблизительно половина вредоносных программ использует этот тип уязвимости.

В материале «Википедии» (http://ru.wikipedia.org ) дано следующее определение данной уязвимости: «Переполнение буфера – это явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памяти буфера».

В «Новом словаре хакера» Эрика С. Рэймонда сказано, что «переполнение буфера – это то, что с неизбежностью происходит при попытке засунуть в буфер больше, чем тот может переварить».

Представьте следующую ситуацию. Функция изменения пароля может воспринять пароль длиной не более 256 символов. Чаще всего никто не пользуется паролями длиннее 8–10 символов, поэтому разработчики не предусмотрели проверку строки ввода данных. При попытке ввести более 256 символов, если за данными находился адрес возврата функции, он будет перезаписан и в лучшем случае выполнение программы завершится с ошибкой. Хакеру, обнаружившему такой уязвимый участок, остается подставить в качестве адреса возврата правильный адрес, что переведет управление в любую точку программы на его выбор. В результате может быть выполнен любой произвольный код, который хакер поместил в указанную область памяти, с привилегиями, с которыми выполняется текущая программа.

Подобные ошибки в программном обеспечении находят чуть ли не ежедневно, но не всегда и не сразу устраняют. Для примера можно просмотреть статистику на специализированных сайтах. Согласно данным Secunia (http://secunia.com ) в Microsoft Windows XP Professional не устранено 30 из 201 уязвимостей, обнаруженных с 2003 по начало 2008 года, хотя имеющих статус highly critical (предельно опасный), которые позволяют удаленно выполнить код (то есть фактически получить доступ к системе), в этом списке уже нет. В среднем обнаруживается три-четыре уязвимости в месяц.

В Internet Explorer 7 не устранено 7 из 21 найденной уязвимости, и некоторые из них имеют статус highly critical. В среднем в месяц обнаруживается одна-две уязвимости. Если учесть все уязвимости, при которых можно удаленно выполнить код в системе, можно сделать вывод, что с этим браузером вообще опасно выходить в Интернет. Internet Explorer позволяет выполнение кода при обработке HTML Help ActiveX, файлов HTA, SWF, ZIP, BMP и JPEG, архивов FTP, Cookies, тега IFRAME и всплывающих окон, то есть для проникновения в систему троянца достаточно зайти на сайт и просмотреть/сохранить рисунки или архив ZIP.

Внимание!

Найденные уязвимости далеко не всегда устраняются сразу, часто они присутствуют годами.

В операционной системе Windows код Internet Explorer используют и многие другие приложения (почтовый клиент Outlook Express, Проигрыватель Windows Media и др.), отчего увеличивается вероятность поражения. Например, существует JPEG-эксплоит, который использует ошибку в системной библиотеке, возникающую при обработке графических JPEG-файлов. Эта ошибка позволяет заразить компьютер через любую программу – Outlook Еxpress или любой другой почтовый клиент, показывающий JPEG-картинки.

Следует также обратить внимание на возможность вывода в адресной строке Internet Explorer адреса, не соответствующего адресу загруженного сайта (такой вид атаки называется URL-спуфинг), и отображение всплывающих окон, которые, как думает пользователь, принадлежат просматриваемой в браузере странице, а также модификация заголовка окна или информации в строке состояния.

По данным различных источников, именно Internet Explorer сегодня является самым популярным веб-браузером, так как он интегрирован в Windows. Поэтому данная программа будет привлекать внимание злоумышленников, желающих реализовать свои замыслы, ведь вероятность того, что пользователь придет на специально созданный ресурс именно с Internet Explorer, остается самой высокой.

Давайте посмотрим, что на сегодня можно сказать о самом известном из бесплатных браузеров – Mozilla Firefox 2. В нем обнаружено 19 уязвимостей, из которых не устранено четыре. Самая опасная из них имеет статус less critical (ниже критического). Использовав эти уязвимости, получить полное управление компьютером невозможно, злоумышленник может лишь раскрыть некоторую системную информацию, поэтому следует признать, что положение этого браузера лучше, чем Internet Explorer.

Таким образом, оптимальным решением будет использование альтернативных приложений. Вместо Internet Explorer для серфинга можно применять, например, Mozilla Firefox, вместо Outlook Еxpress – The Bat! и т. д. У этих программ ситуация с безопасностью лучше.

Следует также периодически устанавливать обновления и использовать новые версии программ, в которых устранены старые ошибки (возможные новые ошибки – это уже другой вопрос). Правда, размер обновлений подчас до стигает нескольких десятков мегабайт и кроме Internet Explorer и Windows необходимо обновлять другие продукты, следовательно, трафик может быть накладным для бюджета. В таком случае следует ограничиться хотя бы обновлениями, устраняющими критические ошибки.

Наверняка вы задаетесь вопросом: неужели за столько лет никто не пытался бороться с переполнением буфера? Конечно же, пытались. Ведь разработка атакующих программ за несколько десятилетий переросла чистый энтузиазм и приняла коммерческую основу, что говорит о нарастающей опасности.

На борьбу с данной уязвимостью направлены такие утилиты, как, например, Stack-Guard. Первоначально она была разработана для Unix-систем, но в настоящее время ее аналог используется в Microsoft Visual Studio.NET и ProPolice компании IBM. В продуктах компании Microsoft, Windows XP SP2 и Server 2003 SP1 используется технология DEP (Data Execution Protection – защита от выполнения данных), которая делает секцию данных и стек неисполняемыми, что должно предотвращать подобный тип атак.

В некоторых процессорах Intel и AMD имеется специальный бит: в Intel – XD (eXecute Disable – запрет выполнения), в AMD – NX (No eXecute – нет выполнения), позволяющий аппаратно реализовать поддержку DEP.

При отсутствии поддержки на компьютере неисполняемых страниц на аппаратном уровне используется Software-enforced DEP (принудительный программный DEP). Программная защита DEP встраивается во время компиляции и поэтому работает только для пересобранных с поддержкой DEP системных библиотек и приложений.

В этих средствах можно обнаружить и недостатки. При использовании технологии DEP встал вопрос совместимости. Некоторым приложениям требуется исполняемый стек (а таких много: эмуляторы, компиляторы, защитные механизмы и пр.), поэтому по умолчанию защита включена только для системных процессов. Появление новой технологии подстегнуло хакеров, и практически одновременно были представлены методы, позволяющие обойти защиту. Атаковать стало сложнее, но все равно возможно.

Другие описанные механизмы позволяют защититься только от одного типа переполнения буфера, а их существует несколько видов, поэтому считать это полноценной защитой нельзя.

Хотелось бы немного успокоить вас: наличие ошибки не всегда позволяет реализовать атаку в полной мере: буфер может быть мал для внедрения кода (невозможно использование нулевых байтов), адреса системных функций у различных версий могут не совпадать, и человек, пытающийся использовать уязвимость, должен обладать действительно глубокими знаниями.

К сожалению, большинство пользователей часто сами создают проблемы. Например, браузеру часто разрешают запуск JavaScript, ActiveX и других элементов управления, с помощью которых легко установить шпионские программы. Некоторые почтовые клиенты умеют обрабатывать и выводить на экран HTML-контент, позволяющий выполнять любые действия. Из-за неправильных настроек почтовой программы или имеющихся в ней ошибок при просмотре содержимого полученных писем могут автоматически открываться файлы вложений. Иногда используется следующий прием: к сообщению прилагается исполняемый файл, а в заголовке MIME, который указывает на тип передаваемого файла, в поле Content-Type указывается, что это рисунок. Почтовый клиент, пытаясь загрузить рисунок, запускает исполняемый файл.

Примечание

MIME – Мultipurpose Internet Мail Extension – почтовый стандарт Интернета: кодирование в одном сообщении текстовой и нетекстовой информации (графики, архивов и пр.) для передачи по электронной почте.

Опасность кроется не только в присылаемых EXE-файлах. Существует малоизвестная возможность выполнения сценариев в HLP– и CHM-файлах, причем эти сценарии позволяют запускать исполняемые файлы, поэтому следует остерегаться любых непрошеных сообщений электронной почты.

Если вы предпочитаете использовать для серфинга Internet Explorer, установите высокий уровень безопасности. Для этого выполните команду меню Сервис > Свойства обозревателя , в появившемся окне перейдите на вкладку Безопасность , выберите категорию Интернет , в нижней части окна нажмите кнопку Другой , в открывшемся окне Параметры безопасности выберите из списка На уровень пункт Высокий и нажмите кнопку OK .

Пользователи часто работают в Интернете с правами администратора, соответственно, злоумышленник, получивший доступ к компьютеру посредством, например, атаки на Internet Explorer, получит те же права, поэтому для работы в Интернете следует завести отдельную учетную запись, наделив ее минимальными правами.

Червь Lovesan использовал уязвимость в сервисе Microsoft RPC (Remote Procedure Call – удаленное выполнение команд). И хотя эта уязвимость устранена, если служба DCOM (Distributed Component Object Model – модель распределенных компонентных объектов) вам не нужна, лучше отключить ее, а заодно и остальные ненужные сервисы. Чтобы проверить список запущенных служб, следует выполнить команду меню Пуск > Выполнить и в окне Запуск программы ввести cmd . В появившемся окне командной строки введите команду net start . На рис. 1.1 показан пример списка работающих служб.

Рис. 1.1. Вывод списка запущенных служб

Чтобы отредактировать список автоматически запускающихся служб, следует выполнить команду Пуск > Панель управления , выбрать категорию Производительность и обслуживание , затем Администрирование , после чего щелкнуть на ярлыке Службы . Двойной щелчок на выбранной службе покажет информацию о ее назначении и позволит изменить статус запуска. Если вы сомневаетесь в необходимости служб, можно постепенно отключать их, наблюдая за реакцией системы.

В Интернете существует достаточное количество руководств, подробно описывающих назначение системных служб Windows. Одно из них можно найти по адресу http://www.oszone.net/display.php?id=2357 . Желательно отключить нулевую сессию (Null Session), позволяющую подключиться к системе, основанной на Windows NT, без ввода имени пользователя и пароля. При включенной нулевой сессии анонимный пользователь может получить большое количество информации о конфигурации системы, которую сможет использовать в дальнейших действиях (список ресурсов, предоставленных для общего доступа, список пользователей, рабочих групп и т. д.). Открытый 139-й порт относится к категории серьезных уязвимостей. Чтобы отключить нулевую сессию, необходимо выполнить команду меню Пуск > Выполнить и набрать в строке Открыть команду regedit . В разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa для Windows 2000/XP/2003 нужно задать параметру restrictanonymous значение 2 (тип – REG_DWORD ), для Windows NT3.5/NT4.0 – значение 1 . Для Windows 2000/XP/2003 в разделе реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver нужно задать для параметра RestrictNullSessionAccess значение 1 (тип параметра – REG_DWORD ), а для Windows NT3.5/NT4.0 это можно сделать в разделе системного реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanManServer\Parameters . Если таких параметров нет, их необходимо создать.

После внесения изменений требуется перезагрузка компьютера.

Следует также запретить скрытые ресурсы C$, D$, ADMIN$. Для этого проще использовать специализированные утилиты. Например, программа LanSafety позволяет сделать это одним щелчком (рис. 1.2).

Рис. 1.2. Рабочее окно программы LanSafety

Желательно использовать файловую систему NTFS, которая позволит разграничить доступ к ресурсам вашего компьютера и усложнит процесс локального взлома базы SAM.

Ранние версии Microsoft Word и Microsoft Ехсеl вместе с открытием документа автоматически запускали сценарии, написанные на языке Visual Вasic for Аррlication, что приводило к заражению компьютера макровирусами. Последние версии этих приложений запрашивают у пользователя подтверждение запуска сценариев.

Это далеко не все мероприятия, которые нужно выполнить для повышения уровня безопасности работы на компьютере. Обязательно следует установить антивирус, включить брандмауэр и использовать другие программы, о которых будет рассказано в следующих главах.

Среди специалистов по информационной безопасности распространено мнение, что компьютерная защита – это постоянная борьба с глупостью пользователей и интеллектом хакеров. Отсюда следует, что наиболее уязвимое звено в защите – человек. Существуют и системные уязвимости, которые становятся источником массовых эпидемий (достаточно вспомнить червь Lovsan aka W32. Blaster, использовавший уязвимость в RPC DCOM). Здесь, к сожалению, пользователь бессилен, и бороться с этим можно либо постоянно устанавливая всевозможные заплатки, либо сменив операционную систему на более безопасную, а от последствий действий пользователя порой не спасет ничто.

Внимание!

Часто пользователь становится источником своих же проблем: будьте внимательны при работе с письмами неизвестных отправителей, пользуйтесь антивирусом и брандмауэром.

Разработчики вирусов используют те же приемы, что и маркетологи, и всегда найдется хотя бы один человек из ста, который, несмотря на предупреждения, сочтет полученное неизвестно от кого письмо безопасным и откроет его, понадеявшись на защиту антивируса. Для достижения цели вирусописатели (как, впрочем, и другие мошенники, в том числе и в реальном мире) используют человеческие слабости:

Недостаточную подготовку;

Желание выделиться;

Тягу мгновенно разбогатеть или получить что-то даром;

Жалость и милосердие;

Желание посмотреть «интересные» картинки;

Интерес к продукту, который нужен некоторой части населения или который невозможно достать;

Интерес к методикам быстрого обогащения с помощью финансовых пирамид, суперидеям для успешного ведения бизнеса или беспроигрышной игры в казино;

Доверие к заплаткам, якобы направленным пользователю заботливым сотрудником компании Microsoft.

В последнее время начали появляться ложные сообщения от сотрудника антивирусной компании о вирусе, якобы найденном в отправленном пользователем сообщении, или о начале новой эпидемии. Чтобы обезопасить пользователя, «доброжелатель» прикрепляет к письму файл, с помощью которого этот вирус можно удалить. После запуска этого файла на компьютере будет установлен троянец. Чтобы не вызвать подозрение пользователя, в письме часто обращаются совсем к другому человеку. При этом в теме сообщения может говориться, что «найден классный сайт, продающий дешевый товар»; к самому письму могут прикрепляться фотографии «со студенческой вечеринки» с просьбой «никому не показывать»; в письме может быть ссылка на «очень нужную программу» и т. д. Это делается, чтобы убедить получателя, что письмо попало к нему случайно, но информация может быть для него интересной.

Пожалуй, единственным путем распространения вирусов через ICQ является передача файлов, поэтому необходимо быть очень осторожным с предложениями загрузить файл от постороннего человека.

Операционная система не всегда способна правильно выдать информацию о запускаемом файле. По умолчанию Microsoft Windows не показывает зарегистрированные расширения имен. В результате имя файла foto.jpg.ехе будет показано как foto.jpg . Для маскировки реального расширения применяется двойное расширение вроде xxx.jpg.exe (в данном случае может помочь то, что некоторые почтовые серверы отказываются пропускать исполняемые файлы) или добавляется большое количество пробелов, из-за чего имя файла отображается не полностью.

Совет

Включите отображение расширения файлов, выполнив команду Сервис > Свойства папки и сняв флажок Скрывать расширение для зарегистрированных типов файлов на вкладке Вид.

Значки – это отдельная тема. Большинство пользователей до сих пор думают, что запускаемую программу определяет значок. Щелкнув на значке с изображением калькулятора, они ожидают, что запустится именно калькулятор, а не какой-нибудь W32.Bagle-А. Этим пользуются злоумышленники: высылают файл с двойным расширением типа creditcard.doc.exe и значком, обычно используемым для документов Microsoft Word. Второе расширение чаще всего скрыто, и пользователь не сомневается, что по почте пришел именно текстовый документ.

В ближайшее время компьютерная грамотность вряд ли достигнет уровня, когда можно будет забыть о человеческом факторе, поэтому един ственный совет, который можно дать, – будьте бдительны и внимательны, критически относитесь к различным предложениям и не открывайте подозрительные письма.

Илья Александров

История компьютерных вирусов

К ним уже привыкли. Их не боятся школьные учителя информатики, о них не пишут на первых полосах газет. Но они продолжают выполнять свою разрушительную роль в жизни пользователей компьютеров.

Предвестники электронных эпидемий

Сказать, где и когда появился первый вирус, невозможно, поскольку таких данных в природе не существует. Если на «компьютере» Чарльза Бэббиджа, «отца» первой вычислительной машины, вирусов ещё не было, к середине семидесятых годов прошлого века они стали весьма распространенным и неприятным для большинства явлением. Тем не менее, предпосылки к их созданию появились практически сразу же с созданием первых ЭВМ.

Еще в 1940 году математик Джон фон Нейман написал книгу, в которой были описаны самовоспроизводящиеся математические автоматы, то есть принципы, которые легли в основу всех вирусов. В 1959 году американский научный журнал «Scientific American» опубликовал статью Л. Пенроуза, рассказывавшую о самостоятельно распространяющихся биологических структурах. Автор рассмотрел способности подобных структур к мутациям, активации и размножению. Другой ученый, Ф. Шталь, полученные из этой статьи знания реализовал на практике. Работая оператором в научно-исследовательской лаборатории, он имел доступ к мощнейшей для того времени ЭВМ – IBM 650. Эксперимент очень удивил Шталя, превзойдя все его ожидания. Получившийся в результате «мутации» математических алгоритмов электронный «зверек» удалил все следы своих «родителей», присутствовавших в системе, после чего самоуничтожился.

Естественно, все вышеперечисленные труды и опыты были направлены не для того, чтобы нынешние вирусописатели ежедневно выбрасывали в Интернет мегабайты новой «заразы». Изначально эти исследования, относившиеся к области создания искусственного интеллекта, представляли собой академический интерес. Однако любое открытие, сделанное в мирных целях, может быть без особых трудностей превращено в мощное оружие разрушения.

В 1961 году среди компьютерщиков была очень популярна игра «Darwin». Её сюжет и смысл были просты: игрок руководил «расой», которая должна была уничтожить своих конкурентов. Выигрывал тот, кто захватит всю отданную под игровой процесс оперативную память. Особых действий в игре не требовалось: необходимо было лишь размножить принадлежащих к своей расе на свободные ячейки ОЗУ или же захватить ячейки противника. Подобный алгоритм очень похож на логику работы деструктивных программ.

Широкое распространение компьютерных сетей стало катализатором появления на свет первых деструктивных программ – компьютерных вирусов.

70-е годы: начало

Появление первого в мире компьютерного вируса было зафиксировано в начале 70-х годов прошлого столетия, когда на просторах военной компьютерной сети APRAnet – прародительницы современного Интернета – была найдена программа Creeper. Вирус был написан для распространенной в те времена операционной системы Tenex, в которую он проникал, распространяясь через модемную связь. На экран зараженных компьютеров периодически выводилась надпись: «I’M THE CREEPER: CATCH ME IF YOU CAN». Деструктивных действий Creeper не совершал, ограничиваясь лишь этим сообщением, раздражавшим пользователей. Чуть позже для него было написано «противоядие» – программа Reaper, находившая файл с вирусом и удалявшая его. Распространялась она, кстати, аналогичным с Creeper способом. Можно сказать, что первый в мире антивирус был создан «по аналогии с вредоносной программой».

В 1974 году «частым гостем» на различных серверах была программа с милым для животноводов названием Rabbit. «Кролик» ничего, кроме распространения и размножения самого себя, не делал. Программа самовоспроизводилась с огромной скоростью, постепенно занимая все системные ресурсы. Иногда Rabbit даже вызывал сбой в работе серверов.

Другой пример – логическая игра Pervading Animal для операционной системы Exec 8, смысл которой заключался в отгадывании пользователем загаданного программой животного. Если ему это не удавалось, игра предлагала модернизировать ее, после чего появлялась возможность задавать дополнительные наводящие вопросы.

Модифицированная версия программы странным образом начинала копироваться в другие директории, в результате чего через некоторое время во всех папках жесткого диска содержалась копия Pervading Animal. Так как в то время каждый килобайт пространства был «на вес золота», подобное поведение игры мало кого обрадовало. До сих пор не ясно, была ли это ошибка программистов либо же задумка вирусописателей. Впрочем, проблема была быстро решена – новая версия операционной системы Exec 8 базировалась на другом типе файловой системы, на которой программа засорять файловое пространство больше не могла.

80-е: первые эпидемии

К восьмидесятым годам прошлого столетия компьютер перестал быть роскошью, доступной лишь избранным. Владельцев ПК становится все больше, кроме того, обмен информацией между пользователями с помощью электронных досок объявлений (BBS – Buletin Board System) достиг международного масштаба.

В 1981 году произошла первая по-настоящему массовая вирусная эпидемия. Пострадали широко распространенные в то время компьютеры Apple II. Вирус Elk Clone записывался в загрузочные секторы дискет в момент обращения к ним пользователя. Elk Clone искажал изображение на мониторе, выводил на экран различные текстовые сообщения, заставлял мигать текст. Неискушенные пользователи впадали от действий вируса в оцепенение, в то время как он сам продолжал «перемещаться» с одного компьютера на другой.

В 1983 году американский программист Лен Эйделман впервые употребил термин «вирус», которым он обозначил саморазмножающиеся программы.

В 1986 году 19-летний пакистанец Басит Фарук Алви написал вирус Brain. Также как и Elk Clone, Brain поражал загрузочные сектора дискет. Программа не была ориентирована на какие-либо разрушительные функции, она лишь меняла метку всех дискет на «(С)Brain». Как утверждает автор, он преследовал только одну цель – выяснить уровень компьютерного пиратства у себя в стране. Но уже через несколько недель после активации вируса зараженными оказались тысячи компьютеров по всему миру, что вызвало настоящий переполох среди пользователей и бурю обсуждений в средствах массовой информации. В Brain был впервые использован прием, когда при чтении зараженного сектора диска вирус подставлял вместо этого раздела незараженный.

В 1988 году была создана первая вредоносная программа, которая не просто заражала компьютер, но и наносила ему реальный вред. Этот вирус был создан в Лехайском университете, в котором, кстати, работал ранее упоминавшийся Фред Коэн. Вирус Lehigh уничтожал информацию на дисках, поражая системные файлы COMMAND.COM. Наличие квалифицированных специалистов в университете оказалось спасением – за стены учебного заведения он так и не пробрался. Впрочем, немалую роль в устранении угрозы эпидемии сыграл и алгоритм самого Lehigh – во время форматирования винчестеров он самоуничтожался вместе с остальной информацией.

В это же время начало активно развиваться программное обеспечение, защищавшее компьютеры от вирусов. Антивирусные программы того времени представляли собой простенькие сканеры, которые посредством контекстного поиска пытались обнаружить вирусный код в программах. Другим распространенным «лекарством» от вредоносных программ того времени были «иммунизаторы». Этот тип ПО модифицировал все программы таким образом, чтобы вирусы считали их уже зараженными и не выполняли по отношению к ним никаких действий. После того как количество вирусов возросло в тысячи раз, использование иммунизаторов было уже бесполезным.

Антивирусные фирмы чаще всего состояли из двух-трех человек и свои продукты продавали за символическую сумму либо раздавали бесплатно. Но распространенность защитных программ была очень низка, да и непрерывное появление новых вирусов делало их бессильными. Интернет в то время ещё не успел «вырваться» из «объятий» учёных и военных, а обновляться без наличия глобальной сети было практически невозможно.

В середине 80-х годов появился термин «Virus Hoax» – «вирусная мистификация». В конце восьмидесятых пользователи панически боялись вирусов: мифы о программах, выводящих из строя аппаратную часть ПК, будоражили ум каждого владельца компьютера. Virus Hoax были ничем иным, как ложными слухами о новых компьютерных эпидемиях. Вспоминается история, когда один шутник разослал на разные BBS сообщения о появлении нового вируса, который распространялся через модемы, работавшие со скоростью передачи информации 2400 бит в секунду. Чтобы не заразиться вирусом, автор рекомендовал перейти на модемы со скоростью 1200 бит/с. И что вы думаете? Масса пользователей выбросила более быстрые модемы ради своей «безопасности».

В 1988 произошла первая эпидемия, вызванная сетевым компьютерным вирусом. Впоследствии такие вирусы стали именоваться «червями». Созданная неким Робертом Моррисом программа поражала компьютеры, работавшие под ОС UNIX. В планы создателя не входило нанесение вреда системе, червь должен был лишь проникнуть в сеть ARPAnet и оставаться там незамеченным. Вирус обладал возможностью вскрытия паролей в ОС, и в списке выполнявшихся процессов детище Морриса отображалось в виде обычного пользовательского процесса. Червь стремительно саморазмножался и пожирал все свободные ресурсы компьютера, вследствие чего из строя выходили целые серверы. Некоторые из них смогли вернуться к работе лишь через пять суток, поскольку вакцины против червя не существовало. За время своего «хождения по миру» вирус поразил около 6000 компьютерных систем, затронув даже компьютеры исследовательского центра NASA. Роберт Моррис отделался 400 часами общественных работ, но вошел в историю как автор первого разрушительного сетевого червя.

90-е: полиморфные вирусы

В начале 90-х годов прошлого столетия английская компания Sophos, в которой работали Ян Храске, Эд Уайлдинг и Питер Лэймер, приступила к выпуску журнала «Virus Bulletin». Virus Bulletin рассказывал о компьютерных вирусах, а также обо всех аспектах защиты от них. Авторами журнала являлись программисты, руководители антивирусных компаний, разработчики ПО. Журнал был некоммерческим: за всю его историю в нем не было напечатано ни одного рекламного объявления. Из-за этого Virus Bulletin не получил широкой распространенности. Его читателями были в основном профессионалы в сфере IT (информационных технологий), а также сотрудники компьютерных фирм.

В 1990 году появился новый тип вредоносных программ – полиморфные вирусы. «Полиморфизмом» была названа технология, при которой вирус нельзя было обнаружить сканером, искавшим вирусы с помощью фрагментов уже известного вредоносного кода. Полиморфизм позволяет программам генерировать код во время исполнения, в результате чего копия вируса на каждом новом заражённом компьютере будет отличаться от предыдущей. Первым подобным вирусом стал Chameleon, написанный Марком Вашбёрном. После появления полиморфных программ неотъемлемой частью антивируса стал эмулятор для дешифрации кодов, впервые использованный Евгением Касперским.

В этом же году в Болгарии, которая тогда была центром мирового вирусописания, появилась специализированная BBS, с которой каждый желающий мог скачать вредоносные программы. Конференции, посвященные программированию вирусов, появились и в UseNet.

В это же время была опубликована книга «Маленькая Черная Книжка о Компьютерных Вирусах» Марка Людвига. Она стала «Библией» всех создателей вирусов. Была сформирована так называемая «VX-сцена» – сообщество программистов, специализирующихся на создании компьютерных вирусов.

Конструкторы вредоносных программ

В 1992 году хакер, известный под ником Dark Avenger, выпустил в свет утилиту MtE (Mutation Engine). С её помощью любой, даже самый примитивный вирус можно было сделать полиморфным. Этим же человеком был впервые создан вирус Peach, наделенный способностью обходить антивирусное ПО. Peach удалял базу изменений программы Central Point AntiVirus. Эта программа, не находив свою базу данных, считала, что запущена впервые, и создавала её вновь. Таким образом, вирус обходил защиту и продолжал заражать систему.

Группа программистов, известная в сети, как Nowhere Man, выпустила конструктор вирусов VCL (Virus Creation Laboratory). Отныне любой школьник, даже не владеющий языками программирования, мог вооружиться конструктором и собрать вирус любого типа и разрушительной силы. С появлением VCL и так немалый «поток» новых компьютерных вредителей стал просто огромным. Стоит ли удивляться, что спустя несколько дней после выхода в свет ОС Windows 3.11 появилась и первая деструктивная программа под эту платформу? Win.Vir_1_4 поражал исполняемые файлы операционной системы, приводя некоторые из них в негодность.

Первый арестованный вирусописатель

На протяжении 1993-94 годов свет увидели новые конструкторы вирусов: PS-MPC и G2. Сгенерированные ими вредоносные программы стали самой распространенной опасностью в Интернете.

В это же время состоялся настоящий «бум» среди производителей антивирусов – их программы, наконец-то, стали обязательной составляющей к практически любой ОС. На рынок безопасности решила проникнуть даже Microsoft, выпустившая Microsoft AntiVirus (MSAV). Первоначально программа была популярна, но впоследствии крупнейший производитель программного обеспечения в мире прекратил разработку продукта.

Лидерство в этой области постепенно завоевала компания Symantec, частью которой стали крупнейшие производители антивирусного программного обеспечения: Central Point и Fifth Generation Systems.

Эпидемия нового полиморфного вируса, Pathogen, уже не была событием из ряда вон выходящим, к подобного рода событиям все уже начали привыкать. Однако это был первый вирус, автор которого был найден и осуждён. Безработный Кристофер Пайл за создание вредоносных программ был приговорен к 18 месяцам тюремного заключения.

Атака на Microsoft

В 1995 году все разосланные бета-тестерам диски с операционной системой Windows 95 были заражены загрузочным вирусом Form. К счастью, один из них обнаружил неладное, и на прилавки магазинов поступила нормальная, незараженная система.

В августе того же года появился первый макровирус, написанный на языке WordBasic, встроенном в текстовый редактор MS Word. Макровирусом Concept были заражены сотни тысяч компьютеров по всему земному шару, вследствие чего он еще долго лидировал в статистических исследованиях компьютерных журналов.

В 1996 году первую эпидемию пережили пользователи Windows 95 – их компьютеры были поражены загрузочным вирусом Boza. В июле того же года создатели макровирусов переключились с Word на редактор электронных таблиц MS Excel, выпустив для него вирус Laroux.

Не заставили себя ждать и резидентные вирусы, использующие сервисы «нулевого кольца» ОС. Win95.Punch загружался в систему как VxD-драйвер, перехватывал обращения к файлам и заражал их.

Антивирусные склоки

К 1997 году операционная система Linux, ранее считавшаяся оплотом «чистоты и стабильности», больше не являлась платформой, свободной от вирусов. Linux.Bliss, распространявшийся посредством конференций UseNet, заражал исполняемые файлы этой ОС.

В этом же году было отмечено появление двух новых типов червей, распространявшихся через IRC и FTP. Особо большим их количеством мог «похвастаться» IRC, во многом из-за своей популярности, а также многочисленных «дыр» mIRC – основного клиента подобных сетей.

Под конец ХХ века в погоне за лидерством стали нередки скандалы среди производителей антивирусов. Так, представители компании McAfee объявили о том, что ее программисты обнаружили ошибку в антивирусе фирмы Dr.Solomon’s. Суть заявления сводилась к тому, что Dr.Solomon’s мог находить новые и технически совершенные вирусы только в специальном «усиленном» режиме, в который переключался лишь после нахождения обычных, примитивных червей. В результате антивирус показывал хорошие скоростные результаты при сканировании незараженных дисков, и отличные показатели обнаружения при работе с зараженными файлами. В ответ Dr.Solomon`s подала иск в суд на McAfee, причиной которого стала её «некорректно построенная рекламная компания». В итоге вся «заварушка» завершилась покупкой McAfee контрольного пакета акций Dr.Solomon`s.

Спустя некоторое время публичное заявление сделали тайваньские разработчики из фирмы Trend Micro, обвинившие McAfee и Symantec в якобы «нарушении их патента на сканирование данных». Миру были сразу представлены доказательства о «безгрешности» компаний, однако Trend Micro добилась своего, получив отменную бесплатную рекламу в средствах массовой информации.

Наиболее разрушительные вирусы

Продолжать подробную историю компьютерных вирусов вплоть до наших дней не имеет смысла, поскольку ежегодно появляются сотни и тысячи новых вредоносных программ. Я ограничусь лишь кратким рассказом о самых известных вирусах, появившихся после 1997 года:

CIH (1998) – ущерб, нанесенный вирусом, составил порядка 80 миллионов долларов. Вирус был написан программистом из Тайваня, и стал одним из самых разрушительных в истории. «Чих» заражал исполняемые файлы и активировался каждый год 26 апреля – в день годовщины аварии на Чернобыльской АЭС. CIH перезаписывал FlashBIOS, после чего материнские платы становились непригодными к использованию. Первый и последний вирус, который наносил вред аппаратной части ПК.

Melissa (1999) – 26 марта 1999 года этот макровирус, распространявшийся по электронной почте, заразил около 20% офисных компьютеров по всему миру. Крупнейшие корпорации, такие как Intel, были вынуждены прекратить работу внутри своих локальных сетей. Ущерб – от 300 до 500 миллионов долларов.

ILOVEYOU (2000) – скрипт, написанный на макроязыке Visual Basic. Так же как и Melissa, распространялся по электронной почте с темой письма «I love you». Вирус рассылал свои копии по всем данным адресной книги почтового клиента. Все логины и пароли, найденные червем на компьютере, отсылались автору программы. Последний, кстати, и не пытался скрываться: он является жителем Филиппин, где наказаний за компьютерные преступления не предусмотрено.

Code Red (2001) – сетевой червь, использующий ошибку в сетевом сервисе Microsoft IIS. В заданный день зараженные компьютеры должны были начать DDOS-атаку по списку различных серверов, среди которых были системы правительства США. Огромные масштабы эпидемии и как итог – убытки в 2,5 миллиарда (!) долларов.

Blaster (2003) – сетевой червь, выводивший на зараженных компьютерах сообщение о необходимости перезагрузки. Через пару дней после его выпуска в Интернет (11 августа) были заражены миллионы компьютеров по всему миру.

Sobig.F (2003) – сетевой червь, распространявшийся по электронной почте. Размножавшийся с огромной скоростью вирус скачивал на заражённый компьютер дополнительные файлы, «сжигая» трафик и ресурсы системы. Интересная особенность – 10 сентября вирус прекращал свою деятельность, больше не представляя угрозы для пользователя. Автор Sobig.F, за информацию о котором Microsoft предлагала 250 тыс. долларов, не найден до сих пор.

Bagle (2004) – сетевой червь, распространявшийся по классическому способу, используя файловые вложения в электронных письмах. На заражённом компьютере устанавливалась специальная «лазейка», через которую злоумышленник получал полный доступ к системе. Вирус имеет более ста модификаций.

MyDoom (2004) – в январе 2004 года этот вирус молниеносно распространился по всему Интернету, в результате чего средняя скорость загрузки сайтов в глобальной сети уменьшилась на 50%. Червю принадлежит рекорд по скорости распространения: менее чем за сутки было заражено около двух миллионов компьютеров. Точную цифру из-за масштабов эпидемии привести невозможно. Вирус был создан неизвестным программистом в качестве эксперимента, и самостоятельно прекратил свою деятельность 12 февраля того же года.

Sasser (2004) – вирус вызвал «перерыв» в работе французских спутниковых каналов передачи данных, отменил рейсы некоторых авиакомпаний, не говоря уже об обычных компьютерах, чья работа была полностью приостановлена. Распространялся Sasser благодаря ошибке в системе безопасности Windows 2000 и XP, запуская на зараженном компьютере сканер портов. Вирус был написан 17-летним немецким школьником. Интересен тот факт, что парень запустил вирус в сеть в День своего совершеннолетия.

Конца и края нет

История компьютерных вирусов до конца не дописана, продолжаясь и сегодня. Возможно, в то время как вы читаете эти строки, какой-нибудь провинциальный программист пишет новый вирус, еще более хитроумный и разрушительный, чем все вышеперечисленные.

Ну а нам остаётся лишь уповать на милость компаний-производителей антивирусов и следить за защищённостью своих систем.

Приложение

Вирусы для мобильных устройств

В 2000 году был впервые найден вирус для платформы PalmOS. Программа Phage.936 переходила между КПК во время передачи через ИК-порт. При заражении карманного компьютера могли быть удалены некоторые файлы, а приложения часто самопроизвольно закрываются. С тех пор появилось несколько десятков вирусов для различных платформ КПК, хотя они не столь разнообразны и «гибки», как их «собратья» для персональных компьютеров.

На сегодняшний день не вызывают удивления вредоносные программы для смартфонов. Первым вирусом для ОС Symbian, стал вирус Cabir. Он не совершал никаких деструктивных действий и был создан лишь для демонстрации потенциальной подверженности мобильных устройств к вирусным атакам и эпидемиям. Червь распространялся через Bluetooth-соединения. Сколько ещё осталось ждать до появления по-настоящему разрушительных вирусов для мобильных устройств, покажет время.

1. http://www.viruslist.com/ru – вирусная энциклопедия, описание всех вирусов. Новости и аналитические обзоры.
2. http://vx.netlux.org – журналы, статьи о вирусах. Исходные коды и руководства.

Дмитрий Мороз

Вконтакте

П рограммное обеспечение бывает разным: полезным и не очень. В последнем случае речь идёт о пресловутых компьютерных вирусах. Компьютерный вирус - вредоносная программа, которая умеет воспроизводить копии самой себя и самостоятельно проникать (внедрять свои копии) в код других программ, базы данных, загрузочные секторы жёсткого диска и т. д. Причём только «проникновением» этот вид программного обеспечения не ограничивается. Конечная цель большинства компьютерных вирусов - нанесение определённого вреда реципиенту. Вредоносность компьютерных вирусов сводится к удалению файлов, захвату части дискового пространства компьютера, блокированию работы его пользователей, взлому персональных данных и т. п.

О днако, не все вирусы для компьютеров столь враждебны. Некоторые из них просто выводят на экран монитора безобидные сообщения юмористического, рекламного или политического содержания. Никакого вреда для компьютера при этом не наблюдается. Чего не скажешь о пользователе, нервная система которого подвергается определённому испытанию. Испытанию, с которым далеко не все из нас могут справиться. Оторванные мышки, изуродованные клавиатуры и разбитые мониторы в роликах - тому яркое подтверждение.

К ак вы уже, наверное, догадались, об истории компьютерных вирусов наш сегодняшний разговор и пойдёт.

Почему именно «вирус»?

Э кскурс в историю начну с происхождения названия «компьютерный вирус». Почему «вирус», а не, скажем, «болезнь» или «травма»? Ответ прост - всё дело в разительном сходстве механизма распространения биологических и компьютерных вирусов. Подобно тому как биологический вирус захватывает клетку организма, репродуцирует себя в ней и затем оккупирует новую клетку, так же действует и компьютерный вирус. Проникнув в ту или иную программу, создав энное количество копий себя, вредоносное программное обеспечение начинает захватывать другие области компьютера, а затем перемещается на следующее устройство. Согласитесь, аналогия более чем очевидна. Собственно, поэтому и «вирус». Правда, не биологический, а компьютерный.

Д остоверно неизвестно, кто и когда первым употребил это словосочетание. Посему, не претендуя на истину в последней инстанции, озвучу имя человека, который чаще всего упоминается в этом контексте. Это (на фото справа) - астрофизик и, по совместительству, писатель-фантаст из США. Многие считают, что именно в его рассказе «Человек в шрамах» (1970) слово «вирус» было впервые использовано по отношению к компьютерной программе.

Нет теории - нет вирусов!

К ак это часто бывает, слово и дело заметно расходятся во времени. В нашем случае подтверждением этого может служить то обстоятельство, что обоснование теоретических основ создания и функционирования самовоспроизводящихся компьютерных программ (вирусов) состоялось за десятилетия до возникновения самой фразы.

Е щё в 1949 году в Университете штата Иллинойс американский математик венгерского происхождения Джон фон Нейман преподавал курс лекций на тему «Теория и организация сложных автоматических устройств». Впоследствии известный учёный обобщил свои лекционные материалы и издал в 1951 году научный труд с похожим названием «Теория самовоспроизводящихся автоматических устройств». В работе Джон фон Нейман детально описал механизм создания компьютерной программы, которая в процессе функционирования могла бы сама себя воспроизводить.

Н аучные исследования фон Неймана послужили главным толчком к практическому созданию компьютерных вирусов в будущем, а сам учёный по праву считается отцом-теоретиком компьютерной вирусологии.

Р азвивая теорию американца, немецкий исследователь Вейт Ризак в 1972 году публикует статью «Самовоспроизводящиеся автоматические устройства с минимальным обменом информации». В ней учёный описывает механизм работы полноценного вируса, написанного на языке Ассемблер для компьютерной системы SIEMENS 4004/35.

Е щё одним важным научным трудом в этой области считается диплом выпускника Дортмундского университета Юргена Крауса . В 1980 году в своей выпускной работе «Самовоспроизводящиеся программы» молодой исследователь раскрыл вопросы теории, описал уже существующие в то время самовоспроизводящиеся программы для компьютера SIEMENS и первым акцентировал внимание на том, что компьютерные программы похожи на биологические вирусы.

Н аблюдательный читатель может заметить, что упомянутые выше научные изыскания касались разработки исключительно «миролюбивых» компьютерных программ, способных к воспроизводству самих себя. О вредоносности своих «пациентов» теоретики даже не помышляли. За них это сделали другие лица, вовремя распознавшие огромный потенциал этого рода программ для «повреждения» компьютеров и другой техники. Но это было потом, а пока от теории перейдём к практике.

Первые ласточки

У своив то, о чём говорил и писал Джон фон Нейман, группа сотрудников американской компании Bell Laboratories в 1961 году создала для компьютеров IBM 7090 оригинальную игру Darwin . Во время этой игры энное число ассемблерных программ («организмов») загружалось в память компьютера. Организмы, принадлежащие одному игроку, должны были поглотить организмы другого игрока, захватывая при этом всё больше и больше игрового пространства. Победу праздновал тот игрок, организмы которого захватывали всю игровую память.

Т ем из вас, уважаемые читатели, кто хочет детально ознакомиться с хронологией возникновения известных компьютерных вирусов на планете, могу порекомендовать в англоязычной . Там вы найдёте многочисленные любопытные факты о «правирусах» (скажем, Jerusalem/1987 или Morris worm/1988) и обновите свои знания о свежем вредоносном ПО (к примеру, «троянском коне» Game Over/2013). Конечно, если с английским вы на ты.

Вирус вирусу - рознь!

З а годы, прошедшие с момента появления первого компьютерного вируса, сформировались главные типы (виды) вредоносного программного обеспечения. Кратко остановлюсь на каждом из них.

Классификация компьютерных вирусов:

• Сетевой червь - вид «враждебного» ПО, который способен самостоятельно распространяться с помощью локальных или глобальных компьютерных сетей. Первым представителем является уже упомянутый Morris worm.


• Троянский конь , троян - вид компьютерного вируса, распространяемого (загружаемого в ПК) непосредственно человеком. В отличие от червя, троян не может самопроизвольно захватывать тот или иной компьютер. Первым «троянским конём» в 1989 году стал компьютерный вирус AIDS.


• Полиморфный компьютерный вирус - вредоносное ПО, имеющее повышенный уровень защиты от обнаружения его . Другими словами, это компьютерный вирус, созданный при помощи особой техники программирования, позволяющей ему дольше оставаться необнаруженным. Первым полиморфным вирусом был Chameleon (1990).


• Стелс-вирус - компьютерный вирус, способный частично или полностью скрывать своё присутствие в месте загрузки и активации. Фактически, это вирус-невидимка, ключевым отличием которого от полиморфного вируса является способ маскировки. Механизм сокрытия присутствия стелс-вируса заключается в перехвате им обращений к операционной системе со стороны антивирусного ПО. Прародителем этой группы компьютерных вирусов принято считать Frodo (1990).

Если что-нибудь делается, значит, это кому-нибудь нужно

К акие цели преследуют создатели компьютерных вирусов? Да самые разные. В большинстве своём, если верить западным аналитикам, речь идёт о выводе из строя компьютерного оборудования конкурентов/недругов или похищении денежных средств, которые принадлежат лицам, атакованным вирусом.

В месте с тем существуют другие, порой довольно занятные, причины разработки компьютерных вирусов. Одни деятели посредством вируса распространяют политическую . Другие, преисполненные заботой об окружающих, с его помощью указывают на уязвимость определённого софта. Есть даже люди, которые, наблюдая последствия вирусной атаки, получают извращённое человеческое удовольствие. Развлекаются, одним словом.

Т акже нельзя сбрасывать со счетов и роль разработчиков в создании и распространении компьютерных вирусов. Кто-то может задаться вопросом: как же так? А вот так! Ежегодно убытки от вирусных атак в мире оцениваются в миллиарды долларов США. Миллиардами исчисляется и капитализация международного рынка платного антивирусного софта. Можно прийти к простой мысли: это же неиссякаемая золотая жила. Сперва вирус создаётся (пусть и при помощи посредников), а после эффективно лечится заказчиком. За деньги.

В подобной нет ничего нового. Особенно если вспомнить то, в чём небезразличные активисты упрекают транснациональные фармакологические компании. Тогда в моих домыслах можно найти здравое зерно. И даже не одно.

В от вкратце вся история появления компьютерных вирусов. Будьте осторожны и да пребудут с вами счастье, здоровье и три мешка денег.

Компьютерные вирусы были не более чем мифом несколько десятилетий назад, но на протяжении многих лет ситуация изменилась коренным образом. В современные дни вредоносные программы стали очень весомой угрозой для правительств и крупных международных корпораций, для малого бизнеса и индивидуальных пользователей компьютеров. Во всем мире нет человека, который бы не рисковал подвергнуться кибер-атаке, независимо от того, насколько мощное антивирусное программное обеспечение стоит у него на компьютере.

1. Creeper Virus

Самым первым компьютерным вирусом был Creeper Virus, который был обнаружен в сети ARPANET, предшественнице Интернета, в начале 1970-х годов. Это была экспериментальная самовоспроизводящаяся программа, написанная Бобом Томасом из BBN Technologies в 1971 году.

2. Вирусы, черви и трояны

В настоящее время существуют три основные категории вредоносных программ-угроз: вирусы, черви и трояны. В то время, как их предназначение и то, каким именно они способом наносят вред, отличаются, все вирусы построены на одних и тех же принципах.

3. Melissa

Вирус Melissa (март 1999 года) был настолько мощным, что он заставил Microsoft и многие другие крупные компании отключить свои системы электронной почты. Почтовые сервера корпораций не работали до тех пор, пока вирус не был удален полностью.

4. Заря эпохи персональных компьютеров

Перед тем как компьютерные сети получили широкое распространение, большинство вирусов распространялись через переносные носители информации, в частности через дискеты. На заре эпохи персональных компьютеров большинство пользователей регулярно обменивались информацией и программами на дискетах.

5. Вирусы вне закона

Тем не менее, создание компьютерного вируса сегодня не считается незаконным актом в США. Некоторые другие страны внедряют законы о компьютерной преступности, которые гораздо строже, чем в США. Например, в Германии запрещено обмениваться компьютерными вирусами вне зависимости от причины, а в Финляндии незаконным является даже написание компьютерного вируса.

6. Киберпреступность

Из-за постоянно растущего количества компьютерных вирусов и хакеров, возникают новые виды компьютерных преступлений. В наши дни так называемая киберпреступность охватывает широкий круг занятий, таких как кибер-терроризм, кибер-вымогательство и кибервойны.

7. Убытки - $ 38 млрд

Самым дорогим компьютерным вирусом всех времен стал червь MyDoom, который был запущен в январе 2004 года. Он привел к убыткам в размере $ 38 млрд. Согласно предварительным оценкам, этот вирус заразил 25% всех электронных писем.

8. Anonymous

На самом деле, очень легко стать членом Anonymous - самой известной международной сети хакеров. Но лишь немногие члены этой организации являются элитными хакерами, способными использовать недостатки безопасности в компьютерных системах и писать вирусы.

9. Активация через ссылку

Невозможно заразиться компьютерным вирусом, просто читая электронную почту. Вирус активируется только при нажатии на ссылку или при открытии инфицированного вложения.

10. Пугающая динамика

К 1990 году насчитывалось всего около 50 известных компьютерных вирусов. В конце 1990-х годов количество вирусов резко возросло до более чем 48 000. Сегодня каждый месяц появляются около 6 000 новых вирусов.

11. Осторожно, дети!

Некоторыми авторами вирусов являются дети, которые создают вирусы, чтобы просто проверить свои навыки программирования. Около 32% всех компьютеров в мире (то есть почти каждый третий компьютер) заражен какой-либо вредоносной программой.

12. Антивирусы не всесильны

Несмотря на максимальные усилия исследователей и разработчиков в области компьютерной безопасности, в настоящее время ни одна из существующих разновидностей антивирусного программного обеспечения не в состоянии определить все компьютерные вирусы.

13. VBA Microsoft Office

Созданный филиппинскими программистами Рионелем Рамонесом и Онелем де Гузманом в 2000 году, компьютерный червь известный как ILOVEYOU или "письмо счастья" стал одним из самых опасных компьютерных вирусов за всю историю. Вирус инфицировал около 10% в мире подключенных к Интернету компьютеров на то время. Убытки пользователей ПК по всему миру составили более $ 10 млрд.

Компьютер стал сегодня неотъемлемой частью жизнь человека. А учёные работают над совершенствованием суперкомпьютеров и мечтают, что найдут ответы на .