КОМПЬЮТЕРНЫЕ ВИРУСЫ
Компьютерные вирусы — это одна из наиболее широко известных опасное для сетей. Подобно живым микроорганизмам, они распространяются, заражая здоровые программы. Заразив систему, они проникают в каждый исполняемый или объектный файл, размещенный на машине. Более того, некоторые вирусы заражают загрузочные сектора дисков, а это значит, что вирус проникнет и в машины, загружающиеся с зараженного диска. В этой главе мы подробно поговорим о компьютерных вирусах и методах борьбы с ними. Прочитав главу, вы узнаете следующее Любой вирус внедряет свой код в тело программы. Благодаря этому он будет выполняться при каждом ее запуске Большинство вирусов распространяется с помощью дискет. В настоящее время имеется около тысячи видов вирусов. Учитывая тот факт, что каждый из них существует в нескольких модификациях, нужно увеличить это число в 5—10 раз Большинство вирусов распространяется одним из двух методов: заражая файлы или загрузочные сектора.
Файлы данных не могут быть заражены вирусом. Однако существуют так называемые макровирусы, которые распространяются с помощью файлов шаблонов.
В Internet существует значительное количество «мнимых» вирусов.
Защититься от вирусов не так уж сложно. ЧТО ТАКОЕ ВИРУС
Исторически вирусом называется любая программа, заражающая выполняемые или объектные файлы. Программу, воспроизводящую себя без ведома пользователя, также можно отнести к вирусам. Чаще всего вирус помещает свое тело в программном файле так, чтобы он активизировался при каждом запуске программы. Кроме того, вирусы могут поражать загрузочный сектор жесткого или флоппи-диска, помещенного в дисковод зараженного компьютера. Перенос своего тела на дискеты и жесткие диски является для вируса гарантией того, что он будет запущен при каждом включении системы. Ниже я расскажу о некоторых других способах распространения вирусов.
Большинство вирусов инфицируют файлы путем переноса своего тела внутрь жертвы. Однако в связи с созданием все более искусных антивирусных программ, разработчики вирусов изменили стратегию. Теперь, прежде чем заразить очередной файл, вирус изменяет свое тело. Выбрав жертву, вирус копирует себя из памяти компьютера внутрь заражаемого файла. Процесс заражения файла практически одинаков у всех вирусов. Например, простейшие вирусы заражают файлы следующим образом:
1. Прежде всего пользователь должен загрузить зараженный файл в память компьютера. Этот файл может попасть в компьютер с помощью флоппидиска, локальной сети или через Internet. После его запуска вирус копирует себя в память компьютера
2. Разместившись в памяти, вирус ожидает загрузки следующей программы. Не правда ли, это очень напоминает поведение живых микроорганизмов, ожидающих появления нового "хозяина".
3. После запуска следующей программы вирус помещает свое тело внутрь жертвы. Кроме того, вирус помещает свое тело и внутри копии программы, хранящейся на диске.
4. Вирус продолжает заражать программы до тех пор, пока не заразит их все или пока пользователь не выключит компьютер. Тогда расположенный в его памяти вирус пропадает. Однако для него это не так уж и страшно - ведь он расположен внутри зараженных файлов, хранимых на диске.
5. После включения компьютера и загрузки зараженной программы вирус снова начинает свою "невидимую" жизнь в памяти системы. И так до бесконечности. Приведенная выше модель работы вируса упрощена. На самом деле существуют и такие вирусы, которые сохраняются на жестком диске так, чтобы быть загруженными в память при каждом запуске операционной системы. Некоторые вирусы умеют прятаться внутри сжатых файлов. Более того, некоторые вирусы умеют заражать системы с помощью текстового процессора. Однако важно уяснить, что вирус заражает машину только в том случае, если вы запускаете инфицированную программу. Даже вирусы, паразитирующие на текстовых процессорах, для своей активизации требуют выполнения специальной программы - макрокоманды.
ОСНОВНЫЕ симптомы ЗАРАЖЕНИЯ ВИРУСОМ
Как будет сказано далее, некоторые вирусы не могут быть обнаружены даже самыми лучшими антивирусными программами. В качестве дополнительных средств защиты нужно поставить грамотность пользователя. Вы должны рассказать всем вашим служащим о том, как выявить зараженную машину. Далее приводится список общих признаков заражения:
Программы стали загружаться медленнее.
Файлы появляются или исчезают.
Размерь! программы или объекта изменяются по непонятным причинам.
На экране появляется необычный текст или изображения.
Элементы экрана выглядят нечеткими, размытыми.
Сам по себе уменьшается объем свободного места на жестком диске.
Команды CHKPSK и SCANDISK возвращают некорректные значения.
Имена файлов изменяются без видимых причин.
Нажатия клавиш сопровождаются странными звуками.
Доступ к жесткому диску запрещен.
Существует несколько различных классов (или типов) вирусов. Вирусы каждого из классов используют различные методы воспроизведения. К наиболее известным классам относятся троянские кони, полиморфные вирусы и неполиморфные шифрующиеся вирусы, стелс-вирусы, медленные вирусы, ретро-вирусы, составные вирусы, вооруженные вирусы, вирусы-фаги и макровирусы. Далее'в этой главе мы подробно рассмотрим каждый из них.
Компьютерные вирусы - это не выдумка. Специалисты утверждают, что только пять процентов всех вирусов могут вызвать серьезные неполадки в аппаратном обеспечении или крах операционной системы. Но несмотря на это они все же могут представлять очень серьезную опасность для компьютера. Большинство "электронных инфекций" только тем и занимается, что воспроизводит себя. Их главная задача-выжить, а не нанести вред системе. Однако это совсем не значит, что нужно забыть об их существовании. Запомните: "безобидных" вирусов не существует.
Добавлено (13.12.2008, 18:34)
---------------------------------------------
КОЛИЧЕСТВО КОМПЬЮТЕРНЫХ ВИРУСОВ
Подобно комарам, компьютерные вирусы, кажется, будут досаждать нам вечно. Поэтому стоит познакомиться с ними поближе и научиться отличать настоящий вирус от неполадок в системе. Запомните одну несложную истину: с вирусами можно и нужно бороться. Большая часть литературы, посвященной антивирусному программному обеспечению, запугивает простых пользователей "десятками тысяч" компьютерных вирусов, странствующих по Internet. На самом деле их количество не превышает тысячи. Дело в том, что разработчики считают каждую модификацию одного и того же вируса новым вирусом. Благодаря этому наша тысяча разрастается до "десятков тысяч". Дополним все вышесказанное одним небольшим примером. Компьютерный; -вирус Marijuana первоначально выводил на экране слово "legalise". (В английском языке это слово выглядит как "legalize" [узаконивать, легализировать]. - Прим, перев.) Затем автор вируса исправил свою ошибку, и вирус начал выводить на экран слово "legalize". При этом текст вируса абсолютно не изменялся. Однако разработчики антивирусов посчитали исправленный вирус за абсолютно новый. Благодаря этому они могут смело говорить о "тысячах и тысячах" существующих вирусов.
В Web расположено несколько сайтов с прекрасной информацией о компьютерных вирусах. Одним из них является сайт Joe Wells' WildLists, расположенный по адресу http://www.virusbtn.com/WildLists/. Бывший работник корпорации Symantec Джо Уэллс (сейчас он работает консультантом в компании IBM) включил в эти списки Все наиболее распространенные в настоящее время вирусы. Ассоциация NCSA (National Computer Security Association) использует списки Уэллса для оценки качества антивирусных программ. Чтобы удовлетворить запросам NCSA, программа должна обнаруживать все перечисленные в этом списке вирусы. Отметим, что этот список обновляется каждый месяц.
СВЯЗАННЫЕ С ВИРУСАМИ ОПАСНОСТИ
При разработке антивирусной стратегии компании следует помнить, что большинство вирусов не распространяется с помощью Internet. Наоборот, основными путями распространения вирусов являются продаваемое программное обеспечение, системы электронной почты в изолированных и университетских локальных сетях, а также дискеты, используемые служащими в их домашних компьютерах. Многие компании, предоставляющие пробные версии своих программ, тщательно проверяют копии на наличие вирусов. Мне редко приходилось встречаться со случаями заражения компьютеров через загруженные пробные версии программ или другое профессиональное программное обеспечение. С другой стороны, известны сотни случаев, когда продавцы-посредники поставляли своим клиентам зараженные диски. Если учесть все типы программ, которые могут быть заражены вирусами, то количество пострадавших таким образом покупателей составляет сотни тысяч. Кроме того, существует опасность заражения машины через программное обеспечение, поставляемое вашим местным продавцом ПО. Такие продавцы обычно не проверяют дискеты на наличие вирусов. Вся их работа заключается в перемещении дискет основного поставщика в свои фирменные упаковки. Если же кто-то уже использовал эти дискеты на зараженном компьютере, то с большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы избежать подобных проблем, многие компании (включая и Microsoft) начали запаковывать отдельные дискеты и только затем помещать их в коробки. Хозяева сайтов, электронных досок объявлений, а также авторы программного обеспечения не желают потерять свое место под солнцем из-за каких-то вирусов. Поэтому любой разработчик Web-сайта (Web-master), желающий и дальше иметь прибыль от своей работы, должен тщательно проверять каждый файл на наличие троянских коней, стелс-вирусов и т. д. Конечно же, это ни в коей мере не освобождает вас от проверки программ, загружаемых с помощью Internet. Однако еще раз напомним, что большинство вирусов поступает через дискеты, поэтому вы должны уделять основное внимание их проверке. Стоит все же отметить, что в последнее время возросло количество вирусов, распространяемых с помощью Internet. Немалую роль в этом сыграло и открытие макровирусов.
Добавлено (13.12.2008, 18:35)
---------------------------------------------
ВИРУСЫ И ЭЛЕКТРОННАЯ ПОЧТА
Корпоративные системы электронной почты доставляют много хлопот системным администраторам. Приведу следующий пример. Не так давно появился один из самых известных "мнимых" вирусов - вирус Good Times. Предполагалось, что он распространяется с помощью сообщений электронной почты. Вирусу приписывались самые невероятные способности. В частности, указывалось, что он "...разрушает центральный процессор с помощью использования бесконечного цикла n-ой степени сложности". Так как многие пользователи не понимают, как распространяются вирусы, то вирус Good Times довольно скоро стал известен во всем мире. На самом деле обычные текстовые сообщения электронной почты не могут содержать никаких вирусов. Дело в том, что текстовые сообщения относятся к файлам данных, которые не являются программами и не могут выполняться на машине. Как мы помним, вирусы могут заражать только исполняемые программы (не считая макровирусов). То же самое можно сказать практически обо всех сообщениях электронной почты. Однако у вас, наверное, уже случались такие ситуации, когда файл с данными на самом деле оказывался исполняемым файлом. Некоторые Web-броузеры и диалоговые служебные программы (вроде America Online) выполняют программы сразу после их загрузки.
Гораздо чаще пользователям приходится иметь дело с"пересылкой файлов данных текстовых процессоров (например, документы Microsoft Word). Однако благодаря недавним разработкам в области текстовых процессоров эти файлы перестали быть просто файлами данных. В большинстве случаев такие файлы содержат внедренные макрокоманды, с помощью которых можно существенно ускорить работу. На самом деле макрокоманда является некоторой разновидностью программ. Благодаря этому стало возможным создание макровирусов. Макровирус -это макрокоманда, которая воспроизводит себя в каждом новом документе. Большинство современных макровирусов не представляют собой большой опасности. Однако потенциально они обладают огромными возможностями. Дело в том, что макрокоманды обладают доступом к набору операций, с помощью которых можно производить различные (в том числе и разрушительные) действия в системе. Например, с помощью макрокоманды можно удалить с жесткого диска системные файлы.
Наилучшим методом защиты от вирусов, передаваемых с помощью электронной почты, является установка на каждом компьютере надежного антивирусного программного обеспечения. Для защиты от макровирусов вам, возможно, понадобится пересмотреть свою стратегию защиты. В частности, вы должны будете рассказать всем своим пользователям о том, что такое макровирус, и попросить их проверять все приходящие документы.
Добавлено (13.12.2008, 18:35)
---------------------------------------------
СОЗДАНИЕ ВИРУСА ДЛЯ ИСПОЛНЯЕМОГО ФАЙЛА
В этом разделе я расскажу о том, как вирус может заразить исполняемый файл и как создатели вирусов могут защитить их от обнаружения.Практически у каждого создателя вирусов есть свой собственный, оригинальный метод заражения ЕХЕ-файлов. Здесь я расскажу о наиболее простом методе. Прежде всего вирус создает в памяти дополнительную область для своего размещения. После этого он прочитывает заголовок ЕХЕ-файла и переделывает его так, чтобы он содержал информацию и о месте в памяти, занимаемом вирусом. С этого момента и начинается процесс заражения программы.
Далее приводятся действия вируса, проникшего в ЕХЕ-файл:
1. Вирус считывает текущий заголовок файла и сохраняет его для дальнейшего использования. В этом заголовке хранится информация о длине файла, значении контрольной суммы (см. главу 2) и т.д.
2. После этого вирус определяет, какое количество памяти он должен прибавить к текущему размеру файла, чтобы разместить там свое тело.
3. Вирус копирует свое тело в файл. Размер вируса и внесенных им изменений в заголовок файла составляют сигнатуру вируса.
4. Вирус снова записывает информацию заголовка в программу. Теперь заголовок содержит информацию о месте, занимаемом вирусом.
5. Вирус сохраняет измененную программу на диске,
Описанный выше тип вирусов называется вирусом-паразитом. Вирус-паразит добавляет свое тело к программе и после этого продолжает свою жизнь наравне с программой. Если же вы удалите инфицированный файл, то вместе с ним исчезнет и вирус. Кроме вирусов-паразитов существуют так называемые загрузочные вирусы, размещающие свое тело в подпрограмме загрузки операционной системы. Этот тип вирусов совершенно отличен от вирусов-паразитов. Дело в том, что загрузочные вирусы паразитируют не на исполняемых программах, а на самой операционной системе.
