Программы-черви.

Программы-черви нацелены на выполнение определенной функции, например, на проникновение в систему и модификацию данных. Можно, скажем, создать программу-червь, подсматривающую пароль для доступа к банковской системе и изменяющую базу данных.

Широко известная программа-червь была написана студентом Корнельского университета Робертом Моррисом. Червь Морриса был запущен в Интернет 2 ноября 1988 г. и за 5 часов смог проникнуть более чем на 6000 компьютеров.

Некоторые вирусы-черви (например, Code Red) существуют не внутри файлов, а в виде процессов в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера.

Логические бомбы.

Логической бомбой называется программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в базе данных появится или исчезнет запись, и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.

Троянские программы.

По основному назначению троянские программы совершенно безобидны или даже полезны. Но когда пользователь запишет программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.

Макрокомандные вирусы.

Файлы документов Microsoft Office могут содержать в себе небольшие программы для обработки этих документов, составленные на языке Visual Basic for Applications. Это относится и к базам данных Access, а также к файлам презентаций Power Point. Такие программы создаются с использованием макрокоманд, поэтому вирусы, живущие в офисных документах, называются макрокомандными. Макрокомандные вирусы распространяются вместе с файлами документов. Чтобы заразить компьютер таким вирусом, достаточно просто открыть файл документа в соответствующем приложении.

Макрокомандные вирусы очень распространены, чему в немалой степени способствует популярность Microsoft Office. Они могут изменять зараженные документы, оставаясь незамеченными долгое время.

Кроме вирусов принято выделять еще, по крайней мере, три вида вредоносных программ. Это троянские программы, логические бомбы и программы-черви. Четкого разделения между ними не существует: троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы, и т. д.

Стелс-вирусы.

Стелс-вирусы пытаются скрыть свое присутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся в оперативной памяти компьютера. Этот модуль перехватывает обращения к дисковой подсистеме компьютера. Если ОС или другая программа считывают файл зараженной программы, то вирус подставляет настоящий, незараженный, файл программы. Для этого резидентный модуль может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова. Загрузочные стелс-вирусы действуют по такой же схеме. Когда какая-либо программа считывает данные из загрузочного сектора, вместо зараженного подставляется настоящий загрузочный сектор.

Шифрующиеся и полиморфные вирусы.

Некоторые вирусы шифруют собственный код, чтобы затруднить их обнаружение. Каждый раз, заражая новую программу, вирус использует для шифрования новый ключ. В результате два экземпляра такого вируса могут значительно отличаться друг от друга, даже иметь разную длину.

Для шифрования применяются не только разные ключи, но и разные процедуры шифрования. Два экземпляра такого вируса не имеют ни одной совпадающей последовательности кода. Вирусы, способные полностью изменять свой код, получили название полиморфных.

Вирусы в пакетных файлах.

Существует несколько вирусов, способных заражать пакетные файлы .BAT. Они записывают свой двоичный код в тело пакетного файла. При запуске такой пакетный файл копирует вирусный код в обычный исполняемый файл. Затем файл с вирусной программой запускается и удаляется. Получив управление, исполняемый файл вируса выполняет вредоносные действия и заражает другие пакетные файлы.

Вирусы-спутники.

Как известно, в MS-DOS и в Microsoft Windows различных версий существует три типа файлов, которые пользователь может запустить на выполнение. Это командные или пакетные файлы .BAT, а также исполняемые файлы .COM и .EXE. Когда вирус-спутник заражает файл .EXE или .BAT, он создает в этом же каталоге еще один файл с таким же именем, но с расширением .COM. Вирус записывает себя в этот COM-файл, который запускается до EXE-файла. При запуске программы первым получит управление вирус-спутник, который затем может запустить ту же программу, но уже под своим контролем.

Комбинированные вирусы.

Очень часто встречаются комбинированные вирусы, объединяющие свойства файловых и загрузочных. В качестве примера можно привести широко распространенный когда-то файлово-загрузочный вирус OneHalf. Проникая в компьютер с ОС MS-DOS, этот вирус заражает главную загрузочную запись. Во время загрузки вирус постепенно шифрует секторы жесткого диска, начиная с самых последних секторов. Вирус OneHalf использует различные механизмы маскировки. Он представляет собой стелс-вирус и при распространении применяет полиморфные алгоритмы.

Загрузочные вирусы.

Загрузочные вирусы получают управление на этапе инициализации компьютера, еще до начала загрузки ОС. При заражении дискеты или жесткого диска загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR. Исходные записи BR или MBR при этом обычно не пропадают (хотя бывает и иначе): вирус копирует их в один из свободных секторов диска.

При начальной загрузке компьютера BIOS считывает загрузочную запись с диска или дискеты, в результате чего вирус получает управление еще до загрузки ОС. Затем он копирует себя в конец оперативной памяти и перехватывает несколько функций BIOS. В конце процедуры заражения вирус загружает в память компьютера настоящий загрузочный сектор и передает ему управление. Далее все происходит, как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов.

Файловые вирусы.

Внедряясь в тело файлов программ .COM и .EXE, файловые вирусы изменяют их таким образом, что при запуске управление передается не зараженной программе, а вирусу. Вирус может записать свой код в конец, начало или середину файла. Получив управление, вирус может заразить другие программы, внедриться в оперативную память компьютера и т. д. Далее вирус передает управление зараженной программе, и та исполняется обычным образом.

Помимо .COM и .EXE файловые вирусы могут заражать программные файлы других типов – оверлеи MS-DOS (.OVL, .OVI, .OVR и другие), драйверы .SYS, библиотеки .DLL, а также любые файлы с программным кодом. Известны файловые вирусы для различных ОС – MS-DOS, Microsoft Windows, Linux, IBM OS/2 и т. д.

Антивирусные программы.

Способы противодействия компьютерным вирусам можно разделить на
несколько групп: профилактика вирусного заражения и уменьшение
предполагаемого ущерба от такого заражения; методика использования
антивирусных программ, в том числе обезвреживание и удаление известного
вируса; способы обнаружения и удаления неизвестного вируса.
Наиболее эффективны в борьбе с компьютерными вирусами антивирусные
программы. Современные антивирусные программы представляют собой
многофункциональные продукты, сочетающие в себе как превентивные,
профилактические средства, так и средства лечения вирусов и
восстановления данных.

Защита электронной почты

Подавляющее большинство электронной почты посылается через Internet или
другие глобальные сети в виде простого текста, который можно прочесть.
Закон о конфиденциальности электронных коммуникаций приравнивает вашу
электронную почту к обычному телефонному звонку. Вы должны понимать, что
системные администраторы имеют все необходимые средства для чтения
электронной почты на своей системе. Иногда им даже необходимо
просматривать электронную почту, чтобы удостовериться, что система
работает нормально.
Хакеры и любопытные отличаются тем, что владеют различными способами
получения доступа к вашей почте, но обе эти категории не могут читать
вашу почту, если она зашифрована. Если вам необходимо защитить секретную
информацию используйте PGP (Pretty Good Privacy) для шифрования почты
перед отправлением.

Выбор системы защиты

Все, что требуется – это готовность выполнять текущий контроль и совсем немного технических знаний.
Любая компьютерная система не является идеальной, то есть полностью не
может обеспечить безопасность данных на вашем ПК. Чтобы на 100% защитить
данные от попадания в чужие руки надо их уничтожить. А чтобы сохранить
содержимое вашего компьютера в целости надо найти компромисс между
важностью защищаемых вами данных и неудобствами, связанными с
использованием мер защиты. Меры защиты – это меры, вводимые
руководством, для обеспечения безопасности информации – административные
руководящие документы (приказы, положения, инструкции), аппаратные
устройства или дополнительные программы – основной целью которых
является предотвратить преступления и злоупотребления, не позволив им
произойти. Меры защиты могут также выполнять функцию ограничения,
уменьшая размер ущерба от преступления.
Осведомленность конечного пользователя о мерах безопасности обеспечивает
четыре уровня защиты компьютерных и информационных ресурсов:
Предотвращение – только авторизованный персонал имеет доступ к
информации и технологии
Обнаружение – обеспечивается раннее обнаружение преступлений и
злоупотреблений, даже если механизмы защиты были обойдены .
Ограничение – уменьшается размер потерь, если преступление все-таки
произошло, несмотря на меры по его предотвращению и обнаружению
Восстановление – обеспечивается эффективное восстановление информации
при наличии документированных и проверенных планов по восстановлению.
Выбор средства защиты должен основываться на обеспечении достаточной
защищенности и в то же время не доставлять неудобств. Каждый
пользователь должен произвести собственный анализ риска и решить какие
меры защиты наиболее подходят вам в данном случае. Анализ риска для
персональных компьютеров можно разделить на три класса: анализ
автономных систем, то есть одного компьютера, анализ локальных систем и
анализ систем удаленного доступа имеющих связь с глобальной сетью (напр.
Internet).

Локальные сети

Третий путь “быстрого заражения” — локальные сети. Если не принимать
необходимых мер защиты, то зараженная рабочая станция при входе в сеть
заражает один или несколько служебных файлов на сервере (в случае Novell
NetWare — LOGIN.COM) На следующий день пользователи при входе в сеть
запускают зараженные файлы. Вместо служебного файла LOGIN.COM может
также выступать различное программное обеспечение, установленное на
сервере, стандартные документы-шаблоны или Excel-таблицы, применяемые в
фирме, и т.д.

Откуда берутся вирусы?

Основным источником вирусов на сегодняшний день является глобальная сеть
Internet. Наибольшее число заражений вирусом происходит при обмене
письмами в форматах Word/Office97. Пользователь зараженного
макро-вирусом редактора, сам того не подозревая, рассылает зараженные
письма адресатам, которые в свою очередь отправляют новые зараженные
письма и т.д.
Предположим, что пользователь ведет переписку с пятью адресатами, каждый
из которых также переписывается с пятью адресатами. После посылки
зараженного письма все пять компьютеров, получившие его, оказываются
зараженными. Затем с каждого вновь зараженного компьютера отправляется
еще пять писем. Одно уходит назад на уже зараженный компьютер, а четыре
— новым адресатам.
Таким образом, на втором уровне рассылки заражено уже 1+5+20=26
компьютеров. Если адресаты сети обмениваются письмами раз в день, то к
концу рабочей недели (за 5 дней) зараженными окажутся как минимум
1+5+20+80+320=426 компьютеров. Нетрудно подсчитать, что за 10 дней
зараженными оказываются более ста тысяч компьютеров! Причем каждый день
их количество будет учетверяться. Описанный случай распространения
вируса является наиболее часто регистрируемым антивирусными компаниями.
Нередки случаи, когда зараженный файл-документ или таблица Excel по
причине недосмотра попадает в списки рассылки коммерческой информации
какой-либо крупной компании. В этом случае страдают не пять, а сотни или
даже тысячи абонентов таких рассылок, которые затем разошлют зараженные
файлы десяткам тысячам своих абонентов.
Электронные конференции, файл-серверы ftp и BBS
Файл-серверы “общего пользования” и электронные конференции также служат
одним из основных источников распространения вирусов. Практически каждую
неделю приходит сообщение о том, что какой-либо пользователь заразил
свой компьютер вирусом, который был снят с BBS, ftp-сервера или из
какой-либо электронной конференции. При этом часто зараженные файлы
“закладываются” автором вируса на несколько BBS/ftp или рассылаются по
нескольким конференциям одновременно, и эти файлы маскируются под новые
версии какого-либо программного обеспечения (иногда — под новые версии
антивирусов). В случае массовой рассылки вируса по файл-серверам ftp/BBS
пораженными практически одновременно могут оказаться тысячи компьютеров,
однако в большинстве случаев “закладываются” DOS- или Windows-вирусы,
скорость распространения которых в современных условиях значительно
ниже, чем макро-вирусов. По этой причине подобные инциденты практически
никогда не кончаются массовыми эпидемиями, чего нельзя сказать про
макро-вирусы.

Кто же пишет вирусы?

Основную их массу создают студенты и школьники, которые только что
изучили язык ассемблера, хотят попробовать свои силы, но не могут найти
для них более достойного применения. Отраден тот факт, что значительная
часть таких вирусов их авторами часто не распространяется, и вирусы
через некоторое время “умирают” вместе с дискетами, на которых хранятся.
Такие вирусы пишутся скорее всего только для самоутверждения.
Вторую группу составляют также молодые люди (чаще – студенты), которые
еще не полностью овладели искусством программирования, но уже решили
посвятить себя написанию и распространению вирусов. Единственная
причина, толкающая подобных людей на написание вирусов, это комплекс
неполноценности, который проявляет себя в компьютерном хулиганстве.
Из-под пера подобных “умельцев” часто выходят либо многочисленные
модификации “классических” вирусов, либо вирусы крайне примитивные и с
большим числом ошибок. Значительно облегчилась жизнь подобных
вирусописателей после выхода конструкторов вирусов, при помощи которых
можно создавать новые вирусы даже при минимальных знаниях об
операционной системе и ассемблере, или даже вообще не имея об этом
никакого представления. Их жизнь стала еще легче после появления
макро-вирусов, поскольку вместо сложного языка Ассемблер для написания
макро-вирусов достаточно изучить довольно простой Бейсик.
Став старше и опытнее, но так и не повзрослев, многие из подобных
вирусописателей попадают в третью, наиболее опасную группу, которая
создает и запускает в мир “профессиональные” вирусы. Эти очень тщательно
продуманные и отлаженные программы создаются профессиональными, часто
очень талантливыми программистами. Такие вирусы нередко используют
достаточно оригинальные алгоритмы, недокументированные и мало кому
известные способы проникновения в системные области данных.
“Профессиональные” вирусы часто выполнены по технологии “стелс” и (или)
являются полиморфик-вирусами, заражают не только файлы, но и загрузочные
сектора дисков, а иногда и выполняемые файлы Windows и OS/2.
Несколько отдельно стоит четвертая группа авторов вирусов -
“исследователи”. Эта группа состоит из довольно сообразительных
программистов, которые занимаются изобретением принципиально новых
методов заражения, скрытия, противодействия антивирусам и т.д. Они же
придумывают способы внедрения в новые операционные системы, конструкторы
вирусов и полиморфик-генераторы. Эти программисты пишут вирусы не ради
собственно вирусов, а скорее ради “исследования” потенциалов
“компьютерной фауны”.
Часто авторы подобных вирусов не запускают свои творения в жизнь, однако
очень активно пропагандируют свои идеи через многочисленные электронные
издания, посвященные созданию вирусов. При этом опасность от таких
“исследовательских” вирусов не падает – попав в руки “профессионалов” из
третьей группы, новые идеи очень быстро реализуются в новых вирусах.

История распространения вирусов.

Каждый год приносит новые технологии, в том числе, и в мире компьютерных
вирусов. Так, в 1995 году появился первый макровирус, заражающий
документы MS Word. В 1996 появились первые Win32-вирусы для Windows 95.
В 1997 г. вирусы впервые стали использовать для распространения
сообщения электронной почты и появились первые вирусы, работающие в
защищенном режиме процессоров Intel (впервые этот режим появился в
i286). В 1998 г. был создан первый вирус, нарушающий работу аппаратной
части компьютеров. Это был Win95.CIH, который “сработал” 26 апреля 1999
г. на миллионах компьютеров по всему миру. В России этот вирус стал
известен под именем “Чернобыль”. В самом конце 1998 г. появился первый
вирус для Windows NT.
В 1999 г. получили массовое распространение e-mail-черви (вирусные
программы-черви, которые используют для распространения сообщения
электронной почты). Эпидемия вируса Win95.Spanska.10000 (“Нарру99″)
началась 1 января 1999 г. и продолжается до сих пор. Другой e-mail червь
Melissa в марте 1999 г. парализовал работу нескольких тысяч почтовых
серверов в Европе и Америке. По масштабу мартовскую эпидемию Meliss-ы
можно сравнить с легендарным “червем Морриса”, который в ноябре 1988 г.
парализовал работу нескольких крупных компьютерных сетей в Америке.
Также в 1999 г. стали очень популярны троянские программы, дающие
удаленный доступ к инфицированному компьютеру через Интернет и
позволяющие воровать информацию, например, пароли. Троянские системы
семейств Back Orifice, NetBus, Trojan Stealth можно свободно найти в
Интернете, чем и пользуются злоумышленники.
Все эти “новинки” заставляют постоянно совершенствовать антивирусные
программы.

Как можно предотвратить заражение компьютерными вирусами?

Ничто не может гарантировать безопасность вашего компьютера, но существует множество способов, с помощью которых можно снизить риск заражения вирусом.
Очень важно обновлять антивирусные программы с помощью последних обновлений (т.н. файлы баз данных), что позволит программе выявлять и удалять последние угрозы.
Доступные методы повышения безопасности компьютера и сокращения вероятности заражения: брандмауэр (US), обновление компьютера, обновление подписки на антивирусное программное обеспечение (например, Microsoft Security Essentials). Кроме того, следует придерживаться нескольких рекомендаций, выработанных на основе передового опыта. Чтобы получить подробные сведения и узнать о том, как избегать заражения, посетите веб-сайт Microsoft Windows,.
Совет Так как никакой метод безопасности не может обеспечить гарантированный результат, важно регулярно создавать резервные копии критически важных файлов.

Как можно определить, что компьютер заражен?

После того как зараженная программа или вложение открывается и запускается на компьютере, можно даже не заметить появление вируса, пока компьютер не начнет работать не совсем нужным образом.
Ниже описаны несколько признаков возможного заражения компьютера:

• Компьютер работает медленнее, чем обычно
• Компьютер перестает реагировать на действия пользователя или часто «зависает»
• Компьютер «зависает» и перезагружается каждые несколько минут
• Компьютер запускается самостоятельно, после чего отказывается работать надлежащим образом
• Приложения на компьютере не работают корректно
• Диски или дисководы недоступны
• Печать не работает надлежащим образом
• Отображаются необычные сообщения об ошибках
• Меню или диалоговые окна отображаются искаженно

Это распространенные признаки заражения, однако они также могут указывать на ошибки аппаратного или программного обеспечения, которые не связаны с вирусом. Без запуска средства удаления вредоносных программ Microsoft и установки признанного в отрасли и обновленного антивирусным программным обеспечением на компьютере нельзя определить, заражен ли компьютер вирусом ил и нет.
Совет Остерегайтесь сообщений, в которых вас предупреждают о том, что вы отправили сообщение электронной почты с вирусом. Это может указывать на то, что вирус поместил ваш адрес электронной почты в список отправителей зараженных сообщений. Это не обязательно означает, что у вас на компьютере вирус. Некоторые вирусы могут подделывать адреса электронной почты. Кроме того, имеется особая категория вредоносного ПО, которое называют мошенническими программами обеспечения безопасности: данные программы работают, отображая ложные сообщения о вирусах во всплывающих окнах на компьютере.

Что такое компьютерный вирус?

Компьютерные вирусы – это небольшие программы, которые разработаны для распространения от одного компьютера к другому и вмешательства в работу компьютера.
Вирус может повредить или удалить данные на вашем компьютере, использовать вашу почтовую программу для самостоятельного распространения на другие компьютеры и даже стереть все на вашем диске.
Компьютерные вирусы часто распространяются во вложенных файлах в сообщениях электронной почты или мгновенных сообщениях. Поэтому никогда не стоит открывать вложения в электронных письмах, если вы не знаете, от кого оно, и не ожидаете его.
Вирусы могут прилагаться в виде забавных изображений, поздравительных открыток или аудио- и видеофайлов.
Компьютерные вирусы также распространяются путем загрузки из Интернета.. Они могут скрываться в незаконном программном обеспечении или других файлах или программах, которые вы можете загрузить.
Чтобы избежать компьютерных вирусов, необходимо иметь на компьютере последние обновления и и антивирусные инструменты,, а также узнавать о новейших угрозах, работать на компьютере под учетной записью стандартного пользователя (не администратора), и следовать некоторым основным правилам во время посещения сайтов, загрузки файлов и открытия вложений.
После попадания вируса на компьютер его тип и способ попадания не так важны, как удаление и предотвращение дальнейшего заражения..