Общие сведения о компьютерных вирусах и методах защиты от вирусов

Макровирусы, поражающие файлы MS Office, как правило, пользуются одним  из перечисленных выше приемов —  в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен  один из стандартных системных макросов (ассоциированный с каким-либо пунктом  меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Получив управление макровирус переносит свой код в другие файлы, обычно в файлы, которые редактируются в данный момент. Реже макровирусы самостоятельно ищут другие файлы на диске.

Троянские программы

Троянские программы различаются  между собой по тем действиям, которые они производят на зараженном компьютере.

Backdoor – троянские утилиты удалённого администрирования

Троянские программы этого  класса являются утилитами удаленного администрирования компьютеров  в сети. По своей функциональности они во многом напоминают различные  системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Единственная особенность  этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске «троянец» устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на «троянца» может отсутствовать в списке активных приложений. В результате «пользователь» этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером  все, что в них заложил автор: принимать или отсылать файлы, запускать  и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т. п. — пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Таким образом, троянские  программы данного типа являются одним из самых опасных видов  вредоносного программного обеспечения, поскольку в них заложена возможность  самых разнообразных злоумышленных  действий, присущих другим видам троянских  программ.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие «троянцы» от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде «хозяина», управляющего данной копией троянской программы.

Trojan-PSW – воровство паролей

Данное семейство объединяет троянские программы, «ворующие» различную информацию с зараженного компьютера, обычно — системные пароли (PSW — Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к Интернету) и отсылают ее по указанному в коде «троянца» электронному адресу или адресам.

Существуют PSW-троянцы, которые  сообщают и другую информацию о зараженном компьютере, например, информацию о  системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т. п. Некоторые троянцы данного типа «воруют» регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.[5]

Trojan-AOL — семейство троянских  программ, «ворующих» коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.

Trojan-Clicker – интернет-«кликеры»

Семейство троянских программ, основная функция которых — организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны «стандартные» адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для подобных действий:

• Увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;
• Организация DoS-атаки (Denial of Service) на какой-либо сервер;
• Привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader – доставка прочих вредоносных программ

Троянские программы этого  класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки «троянцев» или рекламных систем. Загруженные из Интернета программы затем либо запускаются на выполнение, либо регистрируются «троянцем» на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и  расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с «управляющего» интернет-ресурса (обычно с веб-страницы)

Trojan-Dropper – инсталляторы прочих вредоносных программ

Троянские программы этого  класса написаны в целях скрытной инсталляции других программ и практически всегда используются для «подсовывания» на компьютер-жертву вирусов или других троянских программ.

Данные троянцы обычно без каких-либо сообщений (либо с  ложными сообщениями об ошибке в  архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является «обманкой»: программой-шуткой, игрой, картинкой или чем-то подобным. «Обманка» должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то «полезное», в то время как троянская компонента инсталлируется в систему.

В результате использования  программ данного класса хакеры достигают двух целей:

• Скрытная инсталляция троянских программ и/или вирусов;
• Защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy – троянские прокси-серверы

Семейство троянских программ, скрытно осуществляющих анонимный  доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy – шпионские программы

Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы этого  типа часто используются для кражи  информации пользователей различных систем онлайновых платежей и банковских систем.

Trojan-Notifier – оповещение об успешной атаке

Троянцы данного типа предназначены  для сообщения своему «хозяину» о зараженном компьютере. При этом на адрес «хозяина» отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т. п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице «хозяина», ICQ-сообщением.

Данные троянские программы  используются в многокомпонентных  троянских наборах для извещения  своего «хозяина» об успешной инсталляции троянских компонент в атакуемую систему.

Trojan – прочие троянские программы

К данным троянцам относятся  те из них, которые осуществляют прочие действия, попадающие под определение  троянских программ, т. е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.

В данной категории также  присутствуют «многоцелевые» троянские  программы, например, те из них, которые  одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.

Rootkit – скрытие присутствия в системе

Понятие rootkit пришло к нам  из UNIX. Первоначально это понятие  использовалось для обозначения набора инструментов, применяемых для получения прав root.

Так как инструменты типа rootkit на сегодняшний день «прижились»  и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.

Таким образом, rootkit — программный  код или техника, направленная на сокрытие присутствия в системе  заданных объектов (процессов, файлов, ключей реестра и т.д.). Для поведения Rootkit в классификации «Лаборатории Касперского» действуют правила поглощения: Rootkit — самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.

Arcbomb – бомбы в архивах

Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение  архиваторов при попытке разархивировать данные — зависание или существенное замедление работы компьютера или заполнение диска большим количеством «пустых» данных. Особенно опасны «архивные бомбы» для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации — «архивная бомба» может просто остановить работу сервера.

Встречаются три типа подобных «бомб»: некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный заголовок  архива или испорченные данные в  архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5Гб данных упаковываются в 200Кб RAR или в 480Кб ZIP-архив).

Огромное количество одинаковых файлов в архиве также практически  не сказывается на размере архива при использовании специальных  методов (например, существуют приемы упаковки 10¹⁰⁰ одинаковых файлов в 30Кб RAR или 230Кб ZIP-архив).

Рекламные системы

Рекламные системы не являются в прямом смысле вредоносными программами, но могут доставить определённые неприятности. Чаще всего такие системы поступают вмаесте с бесплатными программами, скопированными из Интернета (пример - рекламный агент TimeSink). Подобное дополнение служит для закачки и демонстрации рекламных баннеров и прочей рекламной мишуры, что занимает линию связи, снижает скорость соединения. Кроме того, программы-агенты могут предоставлять рекламным серверам информацию о том, к каким ресурсам Интернета обращаются через данный браузер или какие программы используются на компьютере.[3]

2. Методы защиты информации от вирусов

Стопроцентной защиты от вирусов  сегодня не существует, но соблюдение некоторых правил может многократно снизить риск заражения:

• По возможности избегать компьютеров «общего пользования», установленных в студенческих аудиториях, на почтах и т. п. За день таким компьютером пользуется множество людей, и любой может занести вирус со своего носителя, поэтому записывать информацию с такого компьютера на свой носитель категорически не рекомендуется;
• При получении из Интернета или локальной сети файлов приложений пакета Microsoft Office (например, Word или Excel) в первую очередь проверить их надёжной антивирусной программой и только потом открывать. Такие файлы могут содержать макровирусы;
• То же самое относится и к другим скачиваемым из Интернета файлам: дистрибутивам или исполняемым файлам приложений, самораспаковывающимся архивам и так далее. Перед выполнением их необходимо проверить антивирусной программой;
• Если используемая антивирусная программа обладает возможностью постоянного мониторинга, то при работе в Интернете данный режим должен быть включен. Это поможет своевременно обнаружить заражённые файлы;
• Время от времени нужно полностью сканировать компьютер на наличие вирусов  с помощью антивирусной программы. Периодичность сканирования зависит от загрузки компьютера, а также от того, работает ли пользователь с Интернетом;
• При работе с внешними носителями информации проверять их антивирусной программой на наличие вирусов. Особенно, если эти носители новые или чужие;
• Ни в коем случае не запускать внезапно появившиеся на Рабочем столе значки. Многие вирусы (особенно сетевые черви) специально помещают на Рабочий стол заманчивый значок. При щелчке на таком значке вирус активизируется и начинает распространяться по сети;
• После окончания работы в Интернете отключить шнур, соединяющий компьютер с телефонной линией. В противном случае злоумышленник может получить доступ даже к выключенному компьютеру;
• Для защиты информации от постороннего доступа целесообразно применять шифрование данных;
• Для сохранения наиболее важных файлов и папок необходимо делать их резервные копии, что позволяет в случае аварийного отказа системы восстановить её со всеми настройками;
• Для блокирования попыток несанкционированного проникновения    различных программ, команд или заданий как из Интернета в компьютер, так и из компьютера в Интернет, следует установить брандмауэр - своеобразный фильтр, регулятор доступа в компьютерные сети и на отдельные компьютеры.