Лекция 11
Вирусы и антивирусные программы
Ни одна компьютерная система не оторвана полностью от внешнего мира. На любой компьютер поступает информация извне. Для этого используются гибкие и лазерные диски, передача данных по сети и т. п.
Такого рода обмен компьютерными программами и данными далеко не всегда подразумевает полное информирование получателя о назначении и свойствах программ. В 80-е годы узнать, что делает программа, нередко можно было, лишь запустив ее. Программы тогда были очень маленькими — на гибкий диск объемом 360 Кбайт можно было собрать целую коллекцию.
Первые вредоносные программы характеризовались несоответствием заявленных свойств и реального назначения. Например, пользователь запускал программу, предполагая, что увидит красивые картинки, а на деле программа, с картинками или без, повреждала данные на жестком диске.
С точки зрения злоумышленника, такой механизм распространения имеет серьезный недостаток: после того как зафиксирован разрушительный эффект, нетрудно установить источник и предотвратить дальнейшее распространение ущерба
Следующим шагом стало распространение вредоносных программ без осознанного участия человека-посредника. При передаче «нормальных» программ или дисков происходила передача дополнительного скрытого содержимого. После активации вредоносной программы она присоединялась к другим файлам компьютера. В этой скрытой фазе программа никак себя не проявляла. Вредный эффект активировался позже, когда возможность установить источник заражения уже была практически утрачена. Именно эту новую категорию вредоносных программ и назвали «компьютерными вирусами». Со времени их появления число известных компьютерных вирусов выросло до десятков тысяч, и большинство из них представляют опасность и сегодня. Интернет во много раз повысил эту опасность, так как предоставил возможность анонимного распространения программ среди миллионов пользователей.
Когда компьютер поражается вирусом, пользователю грозят два вида ущерба. Материальный ущерб определяется утратой данных и затратами времени, необходимого на их восстановление и приведение системы в рабочее состояние. Моральный ущерб — подрыв личной или корпоративной репутации. Как показывает практика, еще неизвестно, какой из этих видов ущерба болезненнее. Например, для банка или оператора сотовой связи моральный ущерб может быть безмерным.
В этом плане компьютерный вирус чем-то схож с обычной простудой. Три дня походить с насморком — не такое уж страшное дело, но оставаться здоровым все же лучше. Приемы защиты от простуды известны, хотя требуют организованности и материальных затрат на одежду, витамины и оздоровительные мероприятия. То же справедливо и в отношении компьютерных вирусов. Защита от них тоже требует организованности, затрат и специальных мероприятий.
Вирусы и последствия их появления
Основное отличительное свойство вирусной программы — способность к размножению, то есть к созданию собственных копий, способных незаметно проникать на другие диски и компьютеры. Хотя большинство вирусов вредоносны (способны уничтожать данные или мешать нормальной работе), причинение вреда является побочным, хотя и самым неприятным эффектом вирусной деятельности.
На компьютере пользователя, не принимающего никаких антивирусных мер, жизненный цикл компьютерного вируса таков.
-
Заражение и активизация. Вирус проникает на компьютер из внешнего источника и записывается на жесткий диск. Для активизации вируса его команды должны быть выполнены хотя бы один раз.
-
Размножение. При выполнении своего кода вирусная программа изыскивает возможность создать дополнительную копию себя. Эта копия может быть помещена в другой файл, переслана по электронной почте, передана через локальную сеть. При переносе зараженных программ и данных на другой компьютер вирус проникает в новую систему.
-
Вредоносное действие. Большинство вирусов вредоносны. Через какое-то время после внедрения на компьютер они начинают тем или иным способом нарушать работу компьютерной системы. Задержка во времени служит для того, чтобы скрыть факт заражения и дать вирусу время на размножение. Самый неприятный способ воздействия вируса — прямая порча данных на жестком диске (вплоть до полного затирания системной области). Другие возможные эффекты: нарушение целостности данных на экране, замедление работы системы, — тоже не доставят пользователю удовольствия.
-
Уничтожение. После проявления вредоносного эффекта даже самый наивный пользователь поймет, что с компьютером не все в порядке. Он примет определенные меры предосторожности, ограничивающие распространение данного вируса, и обезвредит его. После этого компьютер находится в относительной безопасности до появления следующей вирусной напасти.
Абсолютное большинство существующих вирусов предназначено для работы под управлением операционных систем компании Microsoft. Главная причина этого в том, что уже более десяти лет операционные системы Microsoft занимают главенствующее положение в мире персональных компьютеров. Из-за особенностей архитектуры MS-DOS и Windows эти операционные системы более уязвимы, чем ОС семейств UNIX и Linux, которые с самого начала проектировались для работы в небезопасной сетевой среде.
Существует множество способов классификации вирусов: по способу размножения, по способу скрытия их присутствия от пользователя, по типам заражаемых файлов и другие. Наиболее удобна классификация по типам заражаемых объектов.
• Загрузочные вирусы. Эта категория вирусов «живет» в загрузочных областях жестких или гибких дисков. Загрузочная область содержит несколько разделов, в каждом из которых хранится код, поступающий на исполнение при попытке загрузки с данного диска. Код вируса при этом копируется на все доступные загрузочные носители. При последующих перезагрузках этот код попадет в память, после чего вирус заражает все гибкие диски, обрабатываемые на данном компьютере. Когда впоследствии на другом компьютере произойдет попытка загрузки с зараженного гибкого диска, вирус попадет на другой жесткий диск, где сможет продолжить свою работу.
Сегодня загрузочные вирусы не распространены, потому что гибкие диски крайне редко используются в качестве загрузочных.
-
Файловые вирусы. Эти вирусы распространяются вместе с исполняемыми файлами. Код вируса присоединяется к программному коду, хранящемуся в исполнимом файле или программной библиотеке. При запуске файла сначала выполняется вирусный код и только потом — сама программа. Это широко распространенная и весьма разнообразная категория вирусов, различающихся по способам заражения и способам сокрытия своего присутствия от беглого контроля. Формат исполняемых файлов и динамических библиотек весьма «рыхлый», так что вирус может спрятать в них свой код, не изменяя размера файла. Но сегодня подобные вирусы тоже постепенно уходят в прошлое: прямой обмен исполняемыми файлами между пользователями заметно сократился по сравнению с прошлыми годами. Перспективы распространения файловых вирусов невелики, а скрыть источник происхождения вируса трудно.
-
Макровирусы. Вирусы этой категории хранятся в сложных документах. Это возможно, если формат документа позволяет ему содержать макрокоманды — небольшие программы на специальном сценарном языке, который понимает программа обработки этих документов. Чаще всего макровирусы поражают документы Microsoft Word, которые циркулируют между разными компьютерами наиболее активно. Макровирус записывает себя в стандартный шаблон документа, после чего дописывает свой код ко всем создаваемым или открываемым документам. В последних версиях программы Word защита от макровирусов заметно усилена, но Word — не единственная программа, имеющая язык макрокоманд.
Почтовые вирусы. Эти вирусы распространяются в сообщениях электронной почты. Они имеют две особенности. Во-первых, подобный вирус может внедриться на компьютер только по беспечности пользователя, который должен сам открыть ему дорогу. Во-вторых, почтовый вирус обычно сам организует свою рассылку по списку контактов в адресной книге зараженного компьютера. Это, в некотором роде, вирус быстрого действия: едва попав на компьютер, он тут же размножается, рассылая электронную почту, и может немедленно приступать к вредоносным действиям. Это самая «популярная» категория вирусов сегодняшнего дня.
-
Сетевые черви. Крайне редкая категория вирусоподобных программ, требующая от ее автора высокого профессионального уровня. В отличие от вируса сетевой червь — это постоянно работающая программа, способная проникнуть в другую систему, сформировать там свою копию и запустить ее исполнение. «Естественной средой» для сетевых червей являются серверные системы.
-
Программы-агенты. Агентские, или троянские, программы не содержат ни средств размножения, ни, как правило, явных средств нанесения вреда.. Их задача иная — предоставить постороннему человеку контроль над компьютером. Чаще всего злоумышленник действует через Интернет. Агентская программа попадает на компьютер подобно вирусу (обычно вместе с зараженным исполняемым файлом). Она автоматически устанавливается подобно обычному приложению и явным образом себя не проявляет.
Злоумышленник может обратиться к такой программе через Интернет. Троянские программы обычно работают как серверы — они ожидают команды от «хозяина». «Скрытая» программа может сделать все, что угодно. Типичные способы использования — похищение конфиденциальной информации (копирование файлов, перехват паролей, регистрация нажатий клавиш), «логическая бомба» (вредоносное воздействие по команде или в заданное время), неавторизованный прокси-сервер (злоумышленник выполняет противоправные действия против «третьих» систем, используя подконтрольный компьютер), дезактивация средств защиты. Подобные программы применяют и для организации широкомасштабных сетевых атак. В последнем случае цель злоумышленника - подчинить себе большую группу компьютеров (до нескольких сотен единиц) и использовать их для синхронного воздействия на мощную компьютерную систему с целью ее перегрузки. Подобные атаки называются DDoS-ата-ками {Distributed Denial of Service — распределенная провокация отказа в обслуживании).
• Псевдовирусы. К этой категории можно отнести не столько реальные вирусные и вирусоподобные программы, сколько слухи. В частности, к числу «псевдовирусов» относятся вирусы, сжигающие мониторы и процессоры, ломающие жесткие диски, а также гипнотизирующие пользователя скрытыми картинками на экране монитора. Таких вирусов сегодня нет, и вряд ли они появятся в ближайшем будущем.
Другую группу псевдовирусов образуют электронные круговые письма. Вы можете получить по почте электронное письмо, информирующее о том, что появился новый компьютерный вирус с устрашающими свойствами, от которого не спасает ни одна антивирусная программа. Ключевым элементом такого письма является предложение переслать его друзьям и знакомым, чтобы информировать тех, кто вам дорог, о нависшей угрозе. Пока в мире есть легковерные люди, такие письма будут попадать на все новые и новые компьютеры