Защита вашего компьютера

вирусы.

• Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, чтобы перехватывать все обращения операционной системы к объектам, пригодным для заражения. Это наиболее распространенный тип вирусов: они активны не только во время работы зараженной программы, но и – что наиболее важно – когда приложение закрыто. Резидентные вирусы постоянно находятся в памяти компьютера и остаются активными вплоть до его выключения или перезагрузки.

• Нерезидентные вирусы не заражают память компьютера и сохраняют активность лишь ограниченное время, хотя возможны варианты. Однако нерезидентные вирусы сегодня практически не встречаются, они не способны к быстрому размножению. Можно сказать, что они не выдержали конкуренции своих более активных собратьев.

Примечание

Хочется еще раз обратить внимание на понятия «резидентность» и «файловый вирус». Несколько раз мне приходилось наблюдать настоящую панику, вызванную тем, что файл, который кто-то принес на дискете, заражен вирусом. Несмотря на то что некоторые вирусы могут спокойно размножаться без участия пользователя, файловые, загрузочные и макровирусы (резидентные и нерезидентные) не способны распространяться без помощи человека. Чтобы такой вирус начал разрушительную работу, его необходимо активизировать. Находясь на дискете или жестком диске, он разве что будет вызывать раздражение антивирусной программы, и, если пользователь сам не запустит его, нерезидентный вирус не принесет вреда.

Десятки вирусов этого типа хранятся у меня в отдельной папке для тестирования и изучения антивирусных программ, и за несколько лет ни одному из них не пришло в голову активизироваться самостоятельно, поэтому дискета с зараженным файлом не должна вызывать панику, следует оценить ситуацию и принять правильное решение – удалить потенциально опасный файл или попробовать вылечить его с помощью антивируса.

• Первые антивирусные программы очень быстро находили вирус по его уникальной сигнатуре. Чтобы затруднить подобный поиск, создатели вредоносных программ стали шифровать тела вирусов. В результате появились вирусы, названные полиморфными.

• В литературе часто упоминаются стелс-вирусы (stealth – невидимка), которые были распространены во времена MS-DOS. Они применяют множество средств, чтобы скрыть свое присутствие в системе. Определить наличие таких вирусов без соответствующего инструментария практически невозможно.

Сегодня для маскировки своего присутствия в системе вирусы используют руткит-технологии (о них будет рассказано позже). Вирусы можно подразделить также по следующим критериям:

• по методу заражения (вирусы-паразиты, компаньоны и др.);

• типу операционной системы (Windows, Unix, Linux, MS-DOS, Java);

• деструктивной возможности (от безвредных, просто мешающих работе, до крайне опасных);

• языку, на котором написан вирус (ассемблер, язык сценариев и др.).

Вирусы могут использовать различные упаковщики, позволяющие превратить известный код в практически неузнаваемый.

Каждый вирус имеет собственное имя. Вы слышите его, когда узнаете об очередной эпидемии. Откуда берется имя? Обнаружив новый вирус, антивирусные компании дают ему имена в соответствии с классификациями, принятыми в каждой конкретной компании, причем классификация у каждой фирмы своя. Посмотрите сами: например, Worm.Win32.Nuf – это то же самое, что Net-Worm.Win32.Mytob.c. Часто название дается по некоторым внешним признакам:

• по месту обнаружения вируса (Jerusalem);

• содержащимся в теле вируса текстовым строкам (I Love You);

• методу подачи пользователю (AnnaKournikova);

• эффекту (Black Friday).

Бывает так, что вирус несколько раз переименовывают. Например, это касается «иерусалимского вируса». Изначально его назвали по месту обнаружения – Israeli, затем решили, что это название слишком антисемитское, и заменили его на «1813» (по размеру вируса), при этом параллельно использовалось другое имя – IDF (Israeli Defence Forces), и только через некоторое время вирус назвали Jerusalem.

Кстати

Самым маленьким по размеру вирусом считается Repus (Win95.с) – всего 156 байт (существуют, однако, и более тяжеловесные модификации, вплоть до 256 байт). Для уменьшения размера этого вируса используются различные программные хитрости и уловки; вреда он не приносит, и все программы работают без проблем. При этом есть как резидентные, так и нерезидентные представители Repus (Win95.с). Помимо малого размера, Repus стал первым вирусом, использующим для своего размножения кэш-память Windows. Он ищет в кэш-блоках заголовки файлов, записывается в них и устанавливает для блоков атрибут dirty, который дает системе команду сохранить его на диск. Подобная методика позволяет даже нерезидентному варианту распространяться со скоростью резидентного вируса.

Одним из самых интересных является вирус I-Worm.Hybris (Vecna), получивший в июле 2002 года четвертую категорию опасности. Он распространяется посредством электронной почты. В первую очередь этот вирус заражает системный файл wsock32.dll, получая доступ ко всему интернет- трафику, а затем рассылает себя по полученным таким образом почтовым адресам. Самое интересное, что этот вирус может самостоятельно обновляться через Интернет, скачивая с новостной конференции alt.comp.virus плагины, дающие ему новые возможности.

Количество сигнатур в антивирусных базах многих производителей уже перевалило 400-тысячную отметку и постоянно растет.

1.4. Вирусные мистификации

Уважаемый получатель, Вы только что получили вирус «ТАЛИБАН».

Поскольку мы в Афганистане не так уж и продвинуты в технологиях, этот вирус следует исполнять вручную. Пожалуйста, перешлите это письмо всем, кого знаете, и уничтожьте все файлы на Вашем жестком диске собственноручно. Большое спасибо за помощь.

Абдулла, хакер из Талибана

Историю развития компьютерных систем нельзя назвать веселой. В первые годы антивирусы были несовершенны, а пользователи еще не владели достаточной информацией, но уже представляли, какую угрозу несут компьютерные вирусы. Вероятно, поэтому каждое сообщение о появлении нового вируса вызывало панику. Со временем у пользователей появился другой, не менее опасный синдром – вирусные мистификации. Хотя первые вирусные мистификации начали появляться приблизительно в 1988 году, а расцвет пришелся на конец 1990 -х, рассказать об этом явлении стоит, так как мы не застрахованы от него и сегодня, когда скорость распространения любой информации на порядок выше.

Выглядит это приблизительно так. Злоумышленник либо случайный человек пишет предупреждение о том, что он обнаружил опасный вирус либо подозрительный файл, и помещает это сообщение в конференцию или рассылает по электронной почте максимальному количеству людей. На самом деле никакого вируса нет. Прочитавший такое письмо пользователь спешит предупредить своих товарищей (часто такой совет присутствует в самом послании). Дальнейшее развитие событий подобно вирусной эпидемии: поток корреспонденции увеличивался лавинообразно, так как напуганные пользователи из лучших побуждений спешат предупредить об «опасности» коллег и партнеров по бизнесу. Результатом является вирусная истерика, которая систематически сотрясает компьютерный мир, принося напрасное беспокойство тысячам людей.

Первой действительно удачной мистификацией следует считать вирус Good Times, появившийся в 1994 году в сети AOL. Все началось с того, что кто-то разослал сообщение с предупреждением: ни в коем случае нельзя было читать электронное письмо с заголовком Good Times. Это письмо якобы содержало страшный вирус, стирающий информацию на жестком диске. В послании говорилось, что о новом вирусе следует предупредить всех знакомых и сослуживцев. Затем шло подробное описание принципа действия вируса и способа избавиться от него. Стоит ли говорить о том, что такого вируса не существовало и в помине! Кстати, само письмо-предупреждение также имело заголовок Good Times.