Ликбез о компьютерных вирусах

В процессе знакомства с компьютером Вы уже наверняка встретились с понятиями "компьютерный вирус", "троянская программа", "троянец" (он же "троян") и, возможно, с некоторыми другими страшными словами, которыми обычно пугают неопытных пользователей. Надо сказать, чаще всего пугают не зря.

Сначала хотелось бы немного углубиться в технологию и историю вопроса. Вы знаете, что компьютер работает исключительно под управлением программ (программного обеспечения, софта). Это делает его по-настоящему универсальным устройством, которое может играть музыку как музыкальный центр, показывать кино как телевизор, печатать как пишущая машинка и изображать еще некоторые полезные вещи. Так вот, программы пишут программисты, это давно не секрет, а программисты – тоже люди, которым хочется иногда придумать и сделать что-то эдакое… Когда компьютеры были еще большими и использовались для выполнения сложных расчетов, операторы придумывали программы, которые заставляли лампочки (да, тогда еще были видны ламповые внутренности компьютера) хитрым образом мигать или зажигаться так, что получались слова. В фильме "Служебный роман" на стене у секретарши висит "Джоконда", напечатанная на простом принтере, который мог печатать только буквы (вроде пишущей машинки). Для составления программы, которая напечатала бы такое, надо было хорошо знать возможности техники и особенности программирования.

Так вот, невинные шалости программистов с повсеместным распространением компьютеров и развитием их возможностей начали приобретать все более зловещую направленность. Появились программы (тоже поначалу шуточные), которые играли музыку, печатали разные текстики (вроде "Как вы все мне надоели!"), показывали улыбающиеся рожи, вращали слэши (наклонные линии в путях файлов) и делали много других более или менее раздражающих вещей. До тех пор, пока человек, сидящий за компьютером, мог контролировать работу этих программулек и знал, что и зачем он запустил, все было нормально. Но потом появились программы, которые не спрашивая ничьего разрешения запускались, копировались в разные места диска и "заражали" другие программы (заменяли часть полезного кода рабочей программы своим или изменяли его). С этого момента и нужно начинать разговор о "компьютерных вирусах".

Компьютерным вирусом называется программа (некоторая совокупность выполняемого кода/инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения. (Это вроде как определение).

Компьютерные вирусы, как и биологические, имеют три задачи – заразить, выполнить, размножиться.

Заражается компьютер снаружи, когда человек запускает на исполнение некую программу, которая либо заражена вирусом (т.е. при ее выполнении запускается и вирус), либо сама является вирусом.

Выполнять вирус может разные действия. Некоторые вирусы просто осыпали буквы с монитора или рисовали летающий мячик. Такие считаются наиболее безвредными. Другие могут переименовывать файлы на диске, стирать их. Эти, без сомнения гораздо опаснее. Наконец, недавно появился вирус "Win95.CIH", который может испортить микросхему BIOS Вашего компьютера (хотя уже давно ходят слухи о том, что некоторые вирусы могут портить винчестеры, раскачивая их считывающие головки). Тут трудно сказать, что хуже – потеря информации или выход из строя компьютера (хотя бы и можно было его починить).

И, наконец, вирус размножается, то есть дописывает себя везде, где он имеет шанс выполниться.

В настоящее время, с развитием операционной системы и программного обеспечения появилось великое множество возможностей для вирусописателей.

Сохраняют свои позиции вирусы "старого" типа, которые надо один раз запустить, после чего они постоянно при загрузке компьютера активно включаются в работу и начинают заражать все исполняемые файлы, которые попадаются им под руку.

Появились вирусы, использующие возможности внутреннего языка программ серии Microsoft Office. Да, такие программки интересны и могут облегчить Вам жизнь. Но вот я как-то написал программу для Word (макрос иными словами), которая переименовывала файлы в заданном каталоге так, как было надо мне (стояла задача все графические файлы перенумеровать). И, в процессе, не закончив еще работу, я ее запустил. Результат – все файлы в корневом каталоге системного диска переименованы в "1.jpg", "2.jpg" и так далее – до 13 номера. Естественно, система после этого не работала никак, поскольку были потеряны стандартные имена базовых файлов. Слава богу, удалось их восстановить (почти по памяти). Представьте, что Вы откроете документ (текст) в формате Word, которые сделает Вам такую гадость? И часто ли Вы задумываетесь, что Вам прислали по электронной почте? (Особенно когда там написано "Заработай 1000 долларов!")

Так как все больше людей попадает в Интернет, то последний становится вероятным рассадником заразы. Если в машинном зале моего института можно было просто засунуть дискету в дисковод, чтобы заразить ее, то теперь также достаточно зайти на некий сайт, ответить "Да", нажав на кнопку формы, чтобы заполучить какую-нибудь гадость.

Наиболее распространен сейчас вид почтовых вирусов, когда играют на любопытстве людей. Например, Вам приходит письмо с признанием в любви и приложенными фотографиями. Если Вы читали журналы и слышали о таких письмах, то Вы, конечно, немедленно сотрете письмо от незнакомого человека. Однако, первое движение – посмотреть, что же там пришло. И вот, все Ваши фотографии и музыка пропали, а вместо них – злобный вирус "I Love You" (или еще какой, похожий на него). А, кроме того, он еще и пошлет себя всем, кто записан в Вашей адресной книге (эдакое самоходное "письмо счастья"). А может еще и винчестер Вам почистить, чтобы не скучно было. (Есть и такие любители пошутить).

Вирусы отличаются от троянских программ тем, что работают на себя. Троянцы же работают на чужого дядю. Получить троян можно так же, как и вирус. Только он, скорее всего, не будет проявлять себя открыто. Он просто очень тихо пошарит у Вас на диске, найдет пароли (от Интернета и не только), а потом отошлет их тому, кто его запустил в обращение. Вы будете потом долго удивляться, куда деваются деньги с Вашего счета и как это Вы, гуляя с подругой, одновременно сидели в Интернете. Кроме того, такая программа может давать злоумышленнику полный доступ к Вашим программам и данным. Последнее, что я видел, была функция выдвижения лотка CD-ROMа. Причем на всех зараженных компьютерах одновременно.

Методы борьбы с вирусами и троянцами описаны во многих местах. К сожалению, единственный действенный метод – не включать компьютер вовсе. Можно еще посоветовать ничего не устанавливать и ничего не запускать. Только тогда какой смысл иметь компьютер?

Поэтому широко процветают Антивирусы – программы, призванные обнаруживать и удалять все пакости с Вашего компьютера. Наиболее представительными, на мой взгляд, являются DrWeb (wwwdials.ru), Antiviral Tolkit Pro (AVP) (wwwavp.ru), ADInf (wwwdials.ru, wwwadinf.com). Первые две программы постоянно получают всяческие международные сертификаты и вообще считаются одними из лучших. Кроме того, на указанных выше сайтах Вы можете найти множество информации о вирусах. А главное – обновления антивирусных баз. В революционном деле борьбы с вирусами главное – иметь свежий антивирус. Вот, например, недавно я умудрился заполучить троянца. Антивирус его сперва не нашел. А когда я его обновил, то есть скачал в Интернете набор свежих антивирусных баз с последними дополнениями, то троянец был немедленно обнаружен и стерт.

Также важно все-таки не запускать неизвестно что. Хотя, лично мне трудно соблюдать этот свой совет. Из-за неуемного любопытства я постоянно что-то скачиваю в Интернете и запускаю. Или приношу домой разные диски и запускаю программы оттуда. Из-за этого на работе на меня косятся с подозрением и постоянно подозревают, что именно я "уронил" систему, принес вирус и тому подобное. Если Вы тоже хотите активно работать, то по крайней мере, установите антивирусный монитор (который отличается от антивирусного сканера). Когда Вы запускаете тот же DrWeb на проверку дисков – это антивирусный сканер. А в комплекте с ним идет некий Spider – вот это антивирусный монитор. (Так же и с AVP. С ним в комплекте поставляется AVP monitor). Антивирусный монитор загружается вместе с Вашей операционной системой и постоянно проверяет все запускаемые Вами файлы и файлы, сохраняемые на диск. Если он вдруг видит вирус, он Вам об этом громко скажет. А потом вылечит. Или не вылечит, а просто сотрет. Это зависит от особенностей вируса и возможностей антивируса. А еще от того, как Вы его настроите (прочтите инструкцию!). Таким образом один раз я не стал скачивать зараженную программу из Интернета. А на работе мы отловили злостного рассадника вируса – секретаршу, которая всем приносила дискету с просьбой распечатать документ и жалобами на то, что ни у нее, ни у тех, к кому она ходила текст не печатается. После захода в наш отдел, был проведен экстренный месячник борьбы с вирусами. Все проверенные компьютеры были заражены. Причем все документы Word содержали код вируса. К счастью, конкретно этот вирус лечился.

Понятно, что тотальная проверка файлов несколько замедляет работу, но, поверьте мне, дело того стоит.

Могу еще порекомендовать Stop! (wwwdizet.com.ua). Этот продукт специально предназначен для борьбы с троянскими программами и недавно нашел у меня застарелый троянец, который прятался в генераторе www страниц. (правда, я им так и не пользовался).

Однако, при борьбе с вирусами не стоит впадать в дикую крайность и стирать все подряд. Я пробовал, результат "упавшая" система и никакого эффекта. На этом построено действие "психологических" вирусов, рассчитанных именно на то, что Вы своими руками порушите систему. Если Вам придет письмо с сообщением о том, что по Сети бродит страшный вирус и с предложением срочно скачать специальный антивирус, очень высока вероятность, что именно этот "антивирус" и есть троянец или злобный вирус.

Что такое компьютерный вирус?

Компьютерный вирус – программа, способная к самовоспроизводству и самораспространению. Как правило, вирус небольшого размера (так легче маскироваться в системе). Раньше вирусы попадали в компьютер через зараженные дискеты, сегодня наиболее популярные пути доставки – это электронная почта, Интернет и локальные сети. Диапазон «применения» вирусов очень широк: от нехитрых шуток, таких как переворот экрана на 180 градусов, до опасных действий, приводящих к уничтожению данных иди нарушению функционирования системы. В большинстве случаев вирусы обычно стремятся попасть в оперативную память, и уже из этого удобного «командного пункта» перехватывают управление другими запущенными приложениями или модулями операционной системы, препятствуя их нормальной работе. Особо агрессивные экземпляры приступают к методичному уничтожению отдельных файлов или даже целиком всей информации, записанной на жестком диске.

Откуда берутся вирусы?

Программисты-вирусописатели создают и распространяют свои творения по самым разным причинам. Одни хотят таким необычным способом подшутить над своими друзьями. Другие пишут вирусы по заданию преподавателя (в рамках курса обучения языку программирования) – и в результате оказывается зараженной вся институтская локальная сеть, а зачастую вирусы вырываются в «большой» Интернет. Непризнанные гении создания кода стремятся показать свои таланты всему миру. Однако в последнее время вирусописание превратилось в бизнес: самые опасные вирусы создаются киберпреступниками с целью зарабатывания денег. Особой любовью профессиональных мошенников пользуются трояны (см. врезку на стр. ???), которые, попав в систему, шпионят за компьютером ничего не подозревающего пользователя, передавая собранные данные о паролях или ПИН-кодах своим хозяевам, либо выполняют другие вредоносные действия.

Как вирусы попадают в компьютер?

Чтобы вирус начал свою разрушительную деятельность, он должен сначала попасть в ваш компьютер. Для этого существует несколько путей:

- через зараженный носитель информации, например USB-флэшку или оптический диск;

- через другой компьютер в локальной сети;

- через электронную почту. Большинство вредителей прячутся в файлах, прикрепленных к письму, и активируются в тот момент, когда любопытный пользователь открывает это вложение. Поскольку общение через e-mail очень популярно, этот метод распространения вредителей наиболее эффективен;

- через Интернет – особенно опасны трояны, которые прячутся в бесплатном софте. Пользователь, позарившийся на «халяву», получает в придачу вредителя. Иногда для заражения ПК достаточно просто открыть веб-страницу. Вирусы «попутной загрузки» (по англ. Drive-by-Downloads) используют для этого уязвимые места веб-браузеров – например, маскируются под рисунок, и как только вы открываете его для просмотра, браузер выполняет вредоносный код и – вирус уже поражает вашу систему.

Как понять, что ПК заражен вирусом?

Есть ряд симптомов, типичных для заражения компьютера той или иной вирусной «инфекцией». Обращайте внимание на непривычное поведение вашего ПК:

- на экране неожиданно появляются странные сообщения или картинки;

- ПК вдруг начинает издавать посторонние звуки или проигрывать музыку в том момент, когда медиапроигрыватель отключен;

- дисковод для чтения оптических дисков начинает открываться-закрываться;

- самопроизвольно запускаются программы;

- операционная система не загружается;

- целиком исчезают файлы и папки;

- содержание файлов и папок изменяется;

- выполняется более частое, чем обычно, обращение к жесткому диску – индикатор записи/чтения данных мигает без остановки;

- браузер не загружает веб-страницы, а в некоторых случаях не удается закрыть окно программы;

- друзья и знакомые получают от вас сообщения, которые вы не посылали – типичное поведения почтового червя, выполняющего несанкционированную рассылку самого себя по всем адресам, обнаруженным им в адресной книге.

Внимание: будьте осторожны с сообщениями, не имеющим адреса отправителя или даты отправления/получения. Ни в коем случае не открывайте файлы, вложенные в подобные письма!

Мой компьютер заражен! Что делать?

Если вы заметили, что компьютер ведет себя подозрительно, выполните следующие шаги:

Отключите ПК от Интернета и локальной сети, чтобы вредоносная программа не могла распространяться дальше.

Сохраните важные документы на внешнем накопителе (винчестере, оптическом или флэш-диске) и пометьте его как еле или компакт-диске и пометьте носитель информации как зараженный.

Запустите антивирусную программу, чтобы она проверила жесткий диски вашего компьютера, обнаружила и уничтожила вредителей.

После прохождения «курса лечения» просканируйте носитель, созданный в шаге 2, чтобы не занести вирус в систему повторно. Если избавиться от вируса не удалось, перешлите зараженный файл разработчикам антивируса. Как правило, создание «противоядия» занимает несколько часов.

Как защититься от вирусной «инфекции»?

С помощью антивирусной программы! Это программное обеспечение не только находит и удаляет вирусы, но и препятствует их проникновению на ПК. Если антивирусное ПО не установлено, пользователь может обратить внимание на деятельность вирусов слишком поздно, когда они натворят порядочно бед в системе.

Если на компьютере установлено антивирусное программное обеспечение, оно запускается вместе с операционной системой и функционирует в фоновом режиме во время всего сеанса работы пользователя. Рекомендация: пользователь должен через определенные промежутки времени полностью проверять жесткие диски своего ПК с помощью антивирусного сканера (этот модуль есть во всех антивирусных программах). Кроме того, необходимо настроить «защитника» так, чтобы он выполнял проверку всех вложений в сообщениях, которые приходят по электронной почте.

Как функционируют антивирусные программы?

Как антивирусные программы распознают вирусы?

Для этого используются три методики:

Выявление по сигнатуре вируса. Все вирусы имеют свой оригинальный программный код, с помощью которого их можно идентифицировать – как, например, людей по отпечаткам пальцев или по генетическому коду. Антивирусная программа сравнивает подозрительные файлы с сигнатурами известных вирусов, которые она берет из постоянно обновляемой базы данных. Этот классический метод распознавания вредоносных объектов используют практически все антивирусные программы. Недостаток данной методики заключается в том, что она позволяет обнаружить только известные вирусы. Здесь можно провести аналогию с прививкой от гриппа: в новом сезоне она теряет свою эффективность, потому что появляются новые штаммы вируса.

Разработчики антивирусных программ должны как можно быстрее добавлять в базы новые сигнатуры появляющихся каждый день вирусов и вырабатывать «противоядие». Не все компании справляются с этим в равной мере успешно: так, победителю теста ComputerBild №10/2007 потребовалось на обезвреживание нового вируса менее одного часа, а самой «медленной» антивирусной программе – более двенадцати часов.

Эвристический метод позволяет современным антивирусным программам распознавать вредителей, не зная их сигнатуры. Такой метод позволяет обнаруживать новые вирусы на основании их поведения – причем еще до того, как они нанесут вред компьютеру. Программа, выполняющая характерные для вируса подозрительные действия, проверяется, среди прочего, на структуру и логику программирования. Особое внимание уделяется командам, которые она отдает компьютеру: например, изменить другие программные файлы, создать или откорректировать записи в системном реестре, модифицировать или удалить системные файлы.

Антивирусная программа помещает «подозрительные» программы в безопасную область – в так называемый «карантин». Даже если вредитель активизируется, выйти за пределы карантина он не сможет, и все данные на компьютере останутся в целости и сохранности. Вирус будет находиться в «тюрьме» до тех пор, пока антивирусная программа не дождется поступления новых сигнатур и не сможет приступить к лечению изолированных объектов.

Что еще нужно сделать для защиты от вирусов?

Антивирусная программа не гарантирует абсолютной защиты, поэтому следует предпринять дополнительные меры безопасности:

Установите сетевой экран (брандмауэр). Эта программа наблюдает за поступающими из Интернета и отправляемыми в него данными. В белом списке содержится перечень программ, которым доступ в Сеть разрешен. Если какое-либо приложение, не внесенное в этот список, попытается тайно установить соединение с Сетью, брандмауэр забьет тревогу. Доступ к Интернету на вашем ПК осуществляется через маршрутизатор? Это неплохо, поскольку подобные устройства оснащены аппаратными брандмауэрами, контролирующими поток поступающих из Сети данных. Однако оптимально для повышения безопасности установить программный брандмауэр.

Установите программу, специализирующуюся на поиске шпионов. Этот компонент входит в состав многих профессиональных решений для защиты от интернет-угроз. Так, например, в пакете Kaspersky Internet Security SuiteV содержатся модули «Сетевой экран» и «Антишпион».

Установите программу для обнаружения руткитов. Об этих вредоносных приложениях мы подробно писали в ComputerBild № 03/2008, но напомним, что обычный антивирус с их обнаружением не справляется – требуется специальный софт. Проведенное нами тестирование показало, что лучшими борцами с руткитами являются программы GMER и AVG Anti-Rootkit.

Следите за тем, чтобы базы антивирусных программ всегда были в актуальном состоянии. Операционная система Windows, веб-браузеры и прикладные программы должны регулярно обновляться с целью ликвидации лазеек, через которые может проникнуть вредоносное ПО. Самый лучший способ – использование функции автоматического обновления, которой оснащены практически все современные программы – ее обязательно следует активировать! В Windows этот компонент так и называется – «Автоматическое обновление» (запускается из Панели управления).

Создайте для интернет-серфинга виртуальную машину – компьютер в компьютере. Воспользуйтесь для этого бесплатной программой Virtual PC. Однако такую защиту тоже нельзя считать абсолютно надежной: существуют вредоносные программы, которые наловчились распознавать и выключать виртуальные ПК.

Можно ли установить на один ПК несколько антивирусных программ?

Нет! Ни в коем случае не инсталлируйте больше одной антивирусной программы. Если запустить их одновременно, они будут мешать работе друг друга, лишая ПК всякой защиты. Возможно ложное срабатывание, когда одна антивирусная программа проверяет список сигнатур другой программы и находит там вирусы.

Какие бывают вирусы?

1 Backdoor (по англ. – «черный ход») – эта вредоносная программа обходит систему защиты ПК, используя уязвимости в коде программ, установленных в вашей системе. Получив контроль над компьютером, агрессор инсталлирует вредоносные программы или совершает другие действия, для выполнения которых он изначально создавался.

2 Бот-неты – эти вирусы изменяют содержимое загрузочного сектора жесткого диска, чтобы помешать запуску операционной системы.

3 Номеронабиратели – они умеют самостоятельно дозваниваться по заданным разработчиком вируса телефонным номерам, незаметно для пользователи «накручивая» плату за международные или междугородние переговоры. Впрочем, этот вид вредоносного ПО работает, только если ваш компьютер подключается к Сети через телефонный модем, что сейчас становится редкостью.

4 Фишинг – это мошеннические сообщения, распространяемые через электронную почту, цель которых – вымогание денег («помогите собрать деньги на операцию больному ребенку») либо распространение клеветы.

5 Кейлогеры – это перехватчики произведенных пользователем нажатий клавиш на клавиатуре. Собранная информация – пароли или ПИН-коды для выполнения онлайновых банковских операций – пересылается владельцу вируса.

6 Макровирусы – представляют собой выполняющие запрограммированную последовательность действий макросы, которые встраиваются в документы – например, Microsoft Office. Макрос, автоматически вставляющий адреса в список рассылки, можно модифицировать таким образом, чтобы он стирал или изменял текст рассылаемого сообщения.

7 Полиморфные вирусы умеют самостоятельно изменять собственный программный код, маскируясь от обнаружения антивирусными программами.

8 Руткиты проникнув на ваш ПК, они тщательно скрывают следы своего присутствия, открывая лазейки для проникновения других вредоносных программ. Они настолько сильны, что в состоянии захватить управление всей операционной системой.

9 Червь – тип вредоносного ПО, способный самостоятельно распространяется по компьютерным сетям, прикрепляясь к сообщениям электронной почты.

10 Шпион, попав на ПК, отыскивает личные данные пользователя, например историю посещения веб-страниц, и отсылает их своему хозяину.

11 Adware – вид программного обеспечения, при использовании которого пользователю принудительно показывается реклама. Вирусом не является, так как вреда компьютеру причинить не может.

12 Трояны – эти программы стремятся убедить пользователя в том, что выполняют очень полезные и нужные функции – но на самом деле у них совершенно другие задачи. Троянские программы загружают на ПК вредоносный софт или шпионят за действиями пользователя. Трояны не могут самостоятельно распространяться, в этом их отличие от вирусов и червей.