Компьютерные вирусы: история появления и развития

Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на "чистом" компьютере, и т.д. Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Эта проверка недостаточна - некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка - прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.

В последнее время появились гибриды ревизоров и докторов, т.е. доктора-ревизоры,- программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут в случае изменений автоматически вернуть их в исходное состояние. Такие программы могут быть гораздо более универсальными, чем программы-доктора, поскольку при лечении они используют заранее сохраненную информацию о состоянии файлов и областей дисков. Это позволяет им вылечивать файлы даже от тех вирусов, которые не были созданы на момент написания программы.

Существуют программы-фильтры, которые располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к ОС, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователя. Пользователь может разрешить или запретить выполнение соответствующей операции.

Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но тот вирус, от которого производится вакцинация, считает эти программы или диски уже зараженными. Эти программы крайне неэффективны.

3. Антивирусные программы

 

Антивирус - это программа, способная распознавать и уничтожать только известные вирусы. Антивирус против конкретного вируса может быть написан только в том случае, когда у программиста есть в наличии хотя бы один экземпляр этого вируса. У создателей антивирусов есть преимущество: существует большое количество вирусов, алгоритм которых практически скопирован с алгоритма других вирусов. Такие вариации создают непрофессиональные программисты, которые по каким-то причинам решили написать вирус. Для борьбы с такими "копиями" придумано новое оружие - эвристические анализаторы. С их помощью антивирус способен находить подобные аналоги известных вирусов, сообщая пользователю, что у него, похоже, завелся вирус. Надежность эвристического анализатора не 100%, но все же его коэффициент полезного действия больше 0,5. Вирусы, которые не распознаются антивирусными детекторами, способны написать только наиболее опытные и квалифицированные программисты.

 

Антивирус Antiviral Toolkit Pro

 

Разработчик: Лаборатория Касперского. Основные функции: Antiviral Toolkit Pro - российский продукт, заслуживший популярность за рубежом и в России, благодаря широчайшим возможностям и высокой надежности. Имеются версии программы для большинства популярных операционных систем.

Существует несколько вариантов поставки - AVP Lite, AVP Gold, AVP Platinum. В наиболее полной версии поставляется три продукта - сканер, резидентный монитор и центр управления. Сканер позволяет проверять файлы и память на наличие вирусов и "троянцев". При этом проверяются упакованные программы, архивы, почтовые базы данных и осуществляется эвристический анализ для поиска новых вирусов, не занесенных в базу данных. Монитор "на лету" проверяет каждый открываемый файл на вирусы и предупреждает о вирусной опасности, одновременно блокируя доступ к зараженному файлу. Центр управления позволяет по расписанию проводить антивирусную проверку и обновлять базы данных через Интернет.

Достоинства: эффективно обнаруживает, лечит вирусы и "троянские кони", имеет русский интерфейс, удобна в настройке и использовании. Недостатки: очень "подозрительна" к инструментальным средствам системного администратора.

 

DOCTOR WEB

 

Dr. Web относится к классу детекторов-докторов, имеет так называемый "эвристический анализатор" - алгоритм, позволяющий обнаруживать неизвестные вирусы. "Лечебная паутина", как переводится с английского название программы, стала ответом отечественных программистов на нашествие самомодифицирующихся вирусов-мутантов. Разработчик: Лаборатория Данилова и Диалог Наука.

Набор функций вполне стандартный для антивируса - сканирование файлов, памяти, загрузочных секторов жестких дисков и дискет. Троянские программы, как правило, подлежат не излечению а удалению. Почтовые форматы не проверяются, сразу нельзя узнать, нет ли во вложении вируса. Поставляемый с программой резидентный монитор "Spider Guard" позволяет решить эту задачу "на лету". Dr. Web - одна из первых программ, в которой был реализован эвристический анализ, позволяющий обнаруживать вирусы, не занесенные в антивирусную базу. Анализатор обнаруживает в программе вирусоподобные инструкции и помечает такую программу как подозрительную.

Достоинства: эффективно обнаруживает и лечит вирусы и "троянские кони", имеет русский интерфейс, удобна в настройке и использовании. Недостатки: скорость сканирования могла бы быть и повыше.

Ни один тип антивирусных программ по отдельности не дает полной защиты от вирусов. Лучшей стратегией защиты от вирусов является многоуровневая, "эшелонированная" оборона. Средствам разведки в "обороне" от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов. На переднем крае обороны находятся программы-фильтры, которые могут первыми сообщить о работе вируса и предотвратить заражение программ и дисков. Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Самый глубокий эшелон обороны - это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

Помимо коммерческих продуктов существуют и свободные версии антивирусных программ. Рассмотрим некоторые из них.

 

AntiVir Personal Edition Classic

 

Антивирус от германской компании Avira является одним из наиболее известных в мире бесплатных продуктов данной категории. Помимо сканирования и мониторинга системы, он также позволяет проверять почтовый SMTP-трафик. Что касается проверки входящей почты, то она доступна лишь в платной Premium-версии. К несомненным преимуществам AntiVir Personal Edition Classic можно отнести тот факт, что программа защищает пользователя не только от вирусов, червей и троянов, но также от "дозвонщиков", программ-шуток, руткитов и фишинга. Поддерживается и эвристический анализ, причем пользователь может самостоятельно установить в меню уровень его глубины. Шпионские и рекламные модули эта версия обнаруживать не умеет, подобная защита имеется только в AntiVir Permium. Найденные вредоносные программы могут быть удалены немедленно, либо помещены на карантин. Разработчиками антивируса предусмотрена возможность его работы по заданному расписанию.

 

Avast Home Edition

 

Avast Home Edition - бесплатный антивирус чешского производства. Помимо мониторинга и сканирования по запросу, поддерживается сканирование архивных файлов и проверка входящей и исходящей почты. Вредоносные программы определяются не только на основе сигнатур, но и путем эвристического анализа. Для домашних пользователей антивирус бесплатен, однако требуется зарегистрировать программу и оставить свой адрес электронной почты, на который будет выслан ключ с лицензией на программу сроком на один год. Процесс настройки Avast Home Edition начинается уже в процессе инсталляции программы. Пользователь может выбрать, какие модули резидентной защиты требуется установить, а какие не нужны. В частности, предлагаются модули для мониторинга интернет-мессенджеров, P2P-трафика, почтовых клиентов Outlook и The Bat! Настройку можно продолжить уже по завершении инсталляции. В первую очередь нужно включить модуль резидентной защиты и настроить его чувствительность, а также механизм сканирования файлов. От пользователя не требуется отмечать какие типы файлов программа должны проверять, он лишь должен выбрать один из трех вариантов - экспресс-сканирование, обычное сканирование или полное сканирование. Еще одна интересная функция данной программы - наличие генератора восстановительной базы данных (VRDB). Он собирает информацию об установленных на компьютере приложениях, и в случае заражения этих приложений вирусом помогает восстановить их в первозданном состоянии. Можно возразить, что подобная возможность не очень важна, ведь в Windows имеется "Восстановление системы". Но многие пользователи в целях экономии места на жестком диске отключают "Восстановление системы", и в случае вирусного заражения остаются совершенно беззащитными. К сожалению, от рекламных модулей (adware) Avast Home Edition защищать не умеет. Программа также не может находить и блокировать вредоносные скрипты на веб-страницах, а также не поддерживает работу через командную строку. Эти функции присутствуют в Avast Professional Edition. Интерфейс программы полностью переведен на русский язык.

AVG Anti-Virus Free Edition

 

Чешская компания Grisoft выпускает целый ряд программных продуктов под общим брендом AVG. Специально для домашних пользователей предназначен бесплатный антивирус AVG Anti-Virus Free Edition. С помощью этого антивируса можно сканировать выбранные файлы (даже внутри архивов), отдельные директории, либо жесткие диски целиком, а также вести мониторинг системы в режиме реального времени. При сканировании программа применяет эвристические методы анализа. Найденные зараженные файлы помещаются на "карантин". Есть возможность запланировать регулярное сканирование в определенный период времени. К сожалению, в бесплатной версии отсутствует возможность проверки на наличие руткитов, но это дело поправимое. На сайте Grisoft можно найти абсолютно бесплатную утилиту, которая как раз и призвана найти и обезвредить все руткиты на жестком диске. Интерфейс AVG Anti-Virus Free Edition переведён на множество языков, однако русского языка в их числе нет. В качестве несомненных достоинств можно упомянуть небольшой размер регулярных обновлений антивирусных баз.

 

4. Перспективы: что будет завтра и послезавтра

 

А что же будет дальше? И как долго вирусы будут нас беспокоить? - вопросы, который в той или иной мере беспокоит практически всех пользователей.

 

4.1. Что будет завтра?

 

Чего ожидать от компьютерного андеграунда в последующие годы? Скорее всего основными проблемами останутся: 1) полиморфик-DOS-вирусы, к которым добавятся проблемы полиморфизма в макро-вирусах и вирусах для Windows и OS/2; 2) макро-вирусы, которые будут находить все новые и новые приемы заражения и скрытия своего кода в системе; 3) сетевые вирусы, использующие для своего распространения протоколы и команды компьютерных сетей.

Пункт 3) находится пока только на самой ранней стадии - вирусы делают первые робкие попытки самостоятельно распространять свой код по MS Mail и пользуясь ftp, однако все еще впереди.

Не исключено, что появятся и другие проблемы, которые принесут немало неприятностей пользователям и достаточное количество неурочной работы разработчикам антивирусных программ. Однако я смотрю на будущее с оптимизмом: все проблемы, когда-либо встававшие в истории развития вирусов, были довольно успешно решены. Скорее всего так же успешно будут решаться и будущие проблемы, пока еще только витающие идеями в воспаленном разуме вирусописателей.

 

4.2. Что будет послезавтра?

 

Что будет послезавтра и как долго вообще будут существовать вирусы? Для того, чтобы ответить на этот вопрос следует определить, где и при каких условиях водятся вирусы.

Основная питательная среда для массового распространения вируса в ЭВМ, на мой взгляд, обязана содержать следующие необходимые компоненты:

незащищенность операционной системы (ОС);

наличие разнообразной и довольно полной документации по OC и “железу”;

широкое распространение этой ОС и этого “железа”.

Следует отметить, что понятие операционной системы достаточно растяжимое. Например, для макро-вирусов операционной системой являются редакторы Word и Excel, поскольку именно редакторы, а не Windows предоставляют макро-вирусам (т.е. программам на Бейсике) необходимые ресурсы и функции.

Если в операционной системе присутствуют элементы защиты информации, как это сделано практически во всех ОС, вирусу будет крайне трудно поразить объекты своего нападения, так как для этого потребуется (как минимум) взломать систему паролей и привилегий. В результате работа, необходимая для написания вируса, окажется по силам только профессионалам высокого уровня (вирус Морриса для VAX - пример этому). А у профессионалов, на мой взгляд, уровень порядочности все-таки намного выше, чем в среде потребителей их продукции, и, следовательно, число созданных и запущенных в большую жизнь вирусов еще более сократится.

Для массового производства вирусов также необходимо и достаточное количество информации о среде их обитания. Какой процент от числа системных программистов, работающих на мини-ЭВМ в операционках UNIX, VMS и т.д. знает систему управления процессами в оперативной памяти, полные форматы выполняемых файлов и загрузочных записей на диске? (т.е. информацию, необходимую для создания вируса). И следовательно, какой процент от их числа в состоянии вырастить настоящего полноценного зверя? Другой пример - операционная система Novell NetWare, достаточно популярная, но крайне слабо документированная. В результате мне пока не известно ни одного вируса, поразившего выполняемые файлы Novell NetWare, несмотря на многочисленные обещания вирусописателей выпустить такой вирус в ближайшее время.

Ну а по поводу широкого распространения ОС как необходимого условия для вирусного нашествия и говорить надоело: на 1000 программистов только 100 способны написать вирус, на эту сотню приходится один, который эту идею доведет до завершения. Теперь полученную пропорцию умножаем на число тысяч программистов - и получаем результат: с одной стороны 15.000 или даже 20.000 полностью IBM-совместимых вирусов, с другой - несколько сот вирусов для Apple-Macintosh. Такое же несоответствие пропорций наблюдается и в сравнении общего количества вирусов для Windows (несколько десятков) и для OS/2 (несколько штук).