Компьютерные вирусы и борьба с ними

2.2.5.Стелс-вирусы 

В ходе проверки компьютера антивирусные программы считывают данные - файлы  и системные области с жестких  дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.  
 
Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.  
 
При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.  

2.2.6.Макровирусы

 

В эпоху «классических» вирусов  любой пользователь прекрасно знал: источником вирусной заразы могут быть только программы. И уж вряд лимог представить, что через несколько лет смертоносной начинкой обзаведутся текстовые документы.Появились они преимущественно первого апреля, так что никакой реакции, кроме смеха, вызвать не могли. 
 
Как оказалось, смеялись напрасно… 
 
В 1995 г., после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windows защищена от них на 100%, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же 1995 г. было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95. 
 
А меньше чем через полгода человечество было огорошено вирусами нового, совершенно неизвестного типа и принципа действия. В отличие от всех «приличных» вирусов, новички паразитировали не на исполняемых файлах, а на документах, подготовленных в популярных программах из комплекта Microsoft Office. 
 
Первоначально макровирусы – а именно так называли новый класс вирусов, - вели себя довольно пристойно. В крайнем случае – портили текстовые документы. Однако уже в скором времени макровирусы перешли к своим обычным обязанностям – уничтожению информации. 
 
Одна из самых мощных атак макровирусов была зарегистрирована в марте 1999 г., когда вирус Melissa, созданный программистом Дэвидом Смитом, всего за несколько часов распространился по всему миру. И хотя этот вирус был сравнительно безопасным (Melissa ограничивалась тем, что заражала все существующие документы и рассылала свои копии людям, внесённым в адресную книгу Microsoft Outlook), его появление наделало немало шума. Именно появление Melissa заставило Microsoft срочно оснастить программы Microsoft Office защитой от запуска макросов. 
«Майка лидера» принадлежала макровирусам около пяти лет – срок, по меркам компьютерного мира, немалый. Выжить и преуспеть им помог Интернет – в течение последних лет вирусы этого типа распространились в основном по электронной почте

 

2.2.7.Скрипт-вирусы 
 
На самом деле макровирусы являются не самостоятельным «видом», а всего лишь одной из разновидностей большого семейства вредоносных программ – скрипт-вирусов. Их обособление связано разве что с тем фактором, что именно макровирусы положили начало всему этому семейству, к тому же вирусы, «заточенные» под программы Microsoft Office, получили наибольшее распространение из всего клана. Следует отметить также что скрипт-вирусы являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). 
 
Запомните: в качестве «вложения» в письмо допустимы лишь несколько типов файлов. Относительно безопасны файлы txt, jpg, gif, tif, bmp, mp3, wma. 
 
А вот список безусловно опасных типов файлов: asx, bas, bat, cmd, com, cpl, crt, exe, inf, ins, js, msc, msi, pif, reg, vbs. 
 
Собственно говоря, список потенциальных «вирусоносителей» включает ещё не один десяток типов файлов. Но эти встречаются чаще других.

 
 
2.2.8.«Троянские программы», программные закладки и сетевые черви. 
 
Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или "троянизировать" другие программы – вносить в них разрушающие функции. 
 
В качестве примера приведем возможные деструктивные функции, реализуемые «троянскими конями» и программными закладками: 
 
1. Уничтожение информации. Конкретный выбор объектов и способов уничтожения зависит только от фантазии автора такой программы и возможностей ОС. Эта функция является общей для троянских коней и закладок. 
 
2. Перехват и передача информации. В качестве примера можно привести реализацию закладки для выделения паролей, набираемых на клавиатуре. 
 
3. Целенаправленная модификация кода программы, интересующей нарушителя. Как правило, это программы, реализующие функции безопасности и защиты.  
 
Если вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, – взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности. 
 
В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды. 
 
Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь. 
 
Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 80 миллионов компьютеров, подключенных к этой сети.

 

 

 

 

 

Классы троянских  программ

Trojan-PSW — воровство  паролей

Trojan-Clicker — интернет-кликеры

Trojan-Downloader — доставка  прочих вредоносных программ

Trojan-Dropper — инсталляторы  прочих вредоносных программ

Trojan-Proxy — троянские  прокси-сервера

Trojan-Spy — шпионские  программы

ArcBomb — «бомбы» в  архивах

Trojan-Notifier — оповещение  об успешной атаке

Сетевые черви

 

Основным признаком, по которому типы червей различаются между собой, является способ распространения червя — каким способом он передает свою копию на удаленные компьютеры. Другими признаками различия СЧ между собой являются способы запуска копии червя на заражаемом компьютере, методы внедрения в систему, а также полиморфизм, «стелс» и прочие характеристики, присущие и другим типам вредоносного программного обеспечения (вирусам и троянским программам).

Email-Worm — почтовые черви

IM-Worm — черви, использующие интернет-пейджеры

IRC-Worm — черви в IRC-каналах

Net-Worm — прочие сетевые черви

P2P-Worm — черви для файлообменных сетей

Прочие вредоносные программы:

К прочим вредоносным  относятся разнообразные программы, которые не представляют угрозы непосредственно  компьютеру, на котором исполняются, а разработаны для создания других вирусов или троянских программ:

DoS, DDoS — сетевые атаки

Exploit, HackTool — взломщики удаленных компьютеров

Flooder — «замусоривание» сети

Constructor — конструкторы вирусов и троянских программ

FileCryptor, PolyCryptor — скрытие от антивирусных программ

PolyEngine — полиморфные генераторы

VirTool—Утилиты для написания компьютерных

 
3.Пути проникновения  вирусов в компьютер и механизм  распределения вирусных программ 

Основными путями проникновения вирусов в  компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.  
 
Вирус, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.  
 
Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.  
 
После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.

 
3.1.Признаки появления  вирусов

 
Есть ряд признаков, свидетельствующих  о заражении компьютера: 

•  
  вывод на экран непредусмотренных сообщений или изображений; 
•  
  подача непредусмотренных звуковых сигналов; 
•  
  неожиданное открытие и закрытие лотка CD-ROM-устройства; 
•  
  произвольный, без вашего участия, запуск на компьютере каких-либо программ; 
•  
  при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в Интернет, хотя вы это никак не инициировали. 

 
Если вы замечаете, что с компьютером  происходит подобное то, с большой  степенью вероятности, можно предположить, что ваш компьютер поражен  вирусом. 
 
Кроме того, есть некоторые характерные признаки поражения вирусом через электронную почту: 

•  
  друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли; 
•  
  в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка. 

 
Следует отметить, что не всегда такие  признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с  почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера. 
 
Есть также косвенные признаки заражения вашего компьютера: 

•  
  частые зависания и сбои в работе компьютера; 
•  
  медленная работа компьютера при запуске программ; 
•  
  невозможность загрузки операционной системы; 
•  
  исчезновение файлов и каталогов или искажение их содержимого; 
•  
  частое обращение к жесткому диску (часто мигает лампочка на системном блоке); 
•  
  интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть). 

 
В 90% случаев наличие косвенных  симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку вашего компьютера установленной на нем антивирусной программой. В случае отсутствия таковой, можно скачать и установить пробную версию Антивируса Касперского Personal или Drweb`а, которая будет полностью работоспособна две недели с момента установки.

3.2.Что делать  при наличии признаков заражения

 
Если вы заметили, что ваш компьютер ведет себя «подозрительно»: 

1. Не паникуйте! Не поддаваться панике — золотое правило, которое может избавить вас от потери важных данных и лишних переживаний. 
2. Отключите компьютер от интернета. 
3. Отключите компьютер от локальной сети, если он к ней был подключен. 
4. Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows.
5.  
   Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш-карту и пр.). 
6. Скачайте и установите пробную или же купите полную версию антивируса Drweb, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ. 
7. Получите последние обновления антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, интернет-кафе или с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. Установите рекомендуемый уровень настроек антивирусной программы. 
8. Запустите полную проверку компьютера.

 

 

 
 
 4.Антивирусные программы 
 
Полностью отсечь вирусы о вашего компьютера вряд ли удастся, разве что вы удалите из системы дисковод, перестанете работать в Интернете и будете пользоваться только легальным программным обеспечением. Но в наших условиях все эти советы – особенно последний – выглядят либо утопией, либо издевательством. 
 
Остаётся один способ: снабдить вашу ОС надёжными сторожами – антивирусными программами, которые смогут вовремя распознать и обезвредить прокравшегося вируса. 
 
Практически все программы, описанные далее, просты и удобны в пользовании, способны отлавливать практически все существующие на сегодня группы вирусов. Большинство антивирусов способны не просто проверять по запросу пользователя диск на наличие вирусов, но и вести незаметную проверку всех запускаемых на компьютере файлов. Наконец, все современные антивирусы снабжены механизмом автоматического обновления антивирусных баз данных через Интернет. 
 
Получается правильный выбор – дело вкуса? Возможно, что так оно и есть. Во всяком случае, существует несколько основных точек зрения на эту проблему. 
 
Ряд пользователей считает, что нет ничего лучше отечественных продуктов, наиболее приспособленных к нашей вирусной «атмосфере». Не стоит сбрасывать со счетов и патриотизм – анекдотично, но даже пользователи пиратских копий отечественных антивирусов свято верят в то, что вносят свой вклад в поддержку российских производителей. 
 
Другая группа пользователей ориентируется на результаты тестов авторитетных западных изданий – и в первую очередь, на хит-парад Virus Bulletin 100% Awards (http://www.virusbtn.com). Кстати, оба отечественных антивируса неизменно присутствуют в Top10 самых надёжных антивирусных программ этого рейтинга, хотя на первых местах оказываются продукты, о которых наши пользователи и не слышали. А единственная по-настоящему популярная в России западная программа – Norton Antivirus – неизменно плетётся в хвосте списка (что не мешает ей получать множество других авторитетных премий)… 
 
Другой независимый сайт, регулярно проводящий тестирование антивирусных программ – российский ресурс Antivirus.Ru (http://www.antivirus.ru). Возможно, авторитет этого сайта не так высок, как у его западного коллеги, однако использовать результаты тестов «для справки» не только допустимо, но и настоятельно рекомендуется.