Кое-что из жизни паразитов
Кое-что из жизни паразитов Наверняка нет такого человека, который, работая за компьютером, не испытал бы горечь утраты необходимой ему информации. Причин тому миллион — глупые действия младшей сестры, которая посчитала файлы лишним багажом, поломка винчестера или исчезновение электричества в тот момент, когда происходила запись на диск. Существует еще подводный камень, от которого не застрахован никто, — компьютерный вирус. Что эта за чума, преследующая нас с прошлого века, и как с ней бороться — тема этой статьи.
Дать однозначное определение вирусу трудно ввиду большого числа его разновидностей. Говоря в общем, это программа, написанная нехорошим человеком, который использует свои способности во вред человечеству. Чаще всего это студенты-программисты, которыми движет жажда славы и желание таким образом самоутвердиться. Существует также и другая категория "писателей". Те, в свою очередь, делают вредоносные программы с корыстной целью, например, для добычи секретной информации и т.д. "Заболевший" компьютер становится настоящей головной болью пользователя. Изрядно помотав нервы непредсказуемыми ошибками в различных программах, вирус может уничтожить данные с диска, запортить файлы или даже отформатировать винчестер. Кстати, существуют вирусы, которые, как это ни парадоксально, не наносят вред программному обеспечению. Например, подхватив "троянчик" (подробнее см. ниже), пользователь имеет все шансы "поделиться" с кем-нибудь паролями на доступ в Интернет — и на этом миссия вируса будет завершена. Существуют и такие "бактерии", которые ничем другим не занимаются, кроме как своим размножением. Спустя какое-то время, когда все свободное пространство будет занято, система даст резко по тормозам. Такого рода вирусы уже устарели, но до конца еще не исчезли. Впрочем, принцип клонирования самого себя — главное свойство абсолютно всех "вредителей". Если бы этого не происходило, то проблема компьютерной чумы не приняла бы такого глобального масштаба.
Вчера и сегодня
Если кто-то думает, что компьютерный вирус — это явление девяностых годов, то он сильно заблуждается. Хотя мнений относительно даты написания первого вируса очень много, все сходятся в том, что первые "ласточки" были еще в далеких семидесятых или даже в конце шестидесятых(!). Вирусами, правда, их тогда никто не называл. А вот непосредственно с самим термином народ стал знакомиться лишь в конце восьмидесятых. Такие названия, как Jerusalem или Brain, до сих пор вызывают у многих неприятные воспоминания.
Но это все история. Что же творится сейчас? Если первые вирусы распространялись в основном через дискеты, то сегодня они активно используют всемирную паутину (хотя это вовсе не означает, что вам его не могут принести на дискете или компакт-диске:)). Причем шанс "заболеть" есть не только при выкачивании мегабайтов полезной информации, но и при обычном посещении веб-страниц. Поэтому следует помнить: отсутствие антивирусного монитора и посещение сомнительных сайтов — вот прямой путь к компьютерной болезни.
Какими они бывают
Создать строгую классификацию вирусов почти невозможно, т.е. нельзя поместить каждый вирус в отдельную "ячейку", категорию и т.д. Их можно лишь классифицировать в общем, по ряду признаков. Например, Евгений Касперский в своей книге "Компьютерные вирусы" предлагает такое разделение:
– по среде обитания (файловые, загрузочные, макро, сетевые);
– по операционной системе (OC);
– по особенностям алгоритма работы (резидентность, использование стелс-алгоритмов, самошифрование и полиморфичность, использование нестандартных приемов);
– по деструктивным возможностям (безвредные, неопасные, опасные, очень опасные).
Мы не будем писать о каждом типе и подтипе вирусов подробно (все желающие могут прочитать об этом в вышеуказанной книге, которая доступна по адресу http://www.viruslist.com), а остановимся лишь на некоторых моментах, которые, с нашей точки зрения, являются наиболее важными и интересными.
Больше всего подвержены нападению вирусов исполнительные файлы (т.е. с расширением *.com и *.exe). При заражении файла command.com возможно дальнейшее заражение любой выполняемой программы. Одним из известнейших вирусов, заражающих COM-программы, является Cascade (1701). Он, правда, не наносит компьютеру непоправимого ущерба, а лишь вызывает осыпание букв на экране.
Отдельная категория вирусов нацелена на самый популярный офисный пакет MS Office. Документы и шаблоны Word'а и Excel'я заражаются так называемыми макровирусами. Защитой может послужить отключение использования макросов в указанных приложениях.
Вирусы, которые заражают загрузочную область жесткого диска, называются бутовыми. Эти вирусы принципиально могут заразить только две области: сектор, с которого осуществляется загрузка (BOOT-сектор) с дискеты (винчестера), или главный загрузочный сектор MBR (Master Boot Record) только винчестера. Такие вирусы начинают свою работу при начальной загрузке операционной системы и называются резидентными, т.к. они постоянно находятся в памяти компьютера.
Следующая категория вирусов — вирусы-невидимки (stealth). Комбинация Ctrl-Alt-Del в случае заражения вам ничего не покажет, на то они и невидимки:). Stealth-вирусы трудно обнаружить в программе, бут-секторе или оперативной памяти. Такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы. Они "подставляют" вместо себя незараженные участки информации.
Одним из самых опасных stealth-вирусов является OneHalf. Это файлово-загрузочный вирус-невидимка, который "усеивает пятнами" своего кода (10 "пятен" по 10 байт) инфицированный файл, а помимо этого производит шифрование основного тела вируса, расположенного в конце файла. При первом запуске инфицированного файла OneHalf заражает MBR. При каждой перезагрузке системы с жесткого диска последовательно, начиная с последних цилиндров, вирус шифрует все сектора трех цилиндров на каждой головке жесткого диска. Когда OneHalf находится в памяти, он контролирует чтение секторов данных цилиндров и расшифровывает их же. Самое страшное, что если вирус будет удален из MBR и памяти, то восстановление зашифрованных секторов окажется невозможным. При зашифровывании половины диска вирус выводит на экран фразу: "Disk is one half. Press any key to continue". Печальная картина:(.
Довольно трудно обнаружить на компьютере так называемые полиморфные вирусы. Тело вируса постоянно изменяется, поэтому два экземпляра одного и того же вируса могут вообще не иметь ничего общего в своей структуре. Полиморфичность используется практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. После появления полиморфных вирусов создателям антивирусного программного обеспечения пришлось искать новые подходы для определения вирусов. До этого антивирусы работали с набором "масок"-шаблонов, т.е. определяли зараженный объект, сравнивая его с кусками вирусного кода. Полиморфные вирусы часто создаются при помощи генераторов, главной функцией которых является шифрование тела вируса и генерация расшифровщика.
Раз мы уже заговорили об утилитах, помогающих создателям вирусов, обязательно нужно упомянуть о большой группе вредоносных программ — конструкторах вирусов. Используя их, любой человек с практически нулевыми познаниями в программировании может в считанные секунды написать свой собственный вирус. Многие такие утилиты обладают стандартным оконным интерфейсом, так что любой "чайник" разберется.
Одна из самых популярных категорий вирусов — "троянские кони" или "логические бомбы". "Троян" может выполнять на компьютере абсолютно различные действия, от самых безобидных до опаснейших. Скажем, он может выдвинуть CD-ROM, заставить мышку произвольно перемещаться по экрану, показать сообщение с нецензурными ругательствами. На этом действие "трояна" не заканчивается — он крадет, удаляет или изменяет файлы, форматирует винчестер и т.д. Впрочем, возможности этого вируса зависят от фантазии "доброжелателя", его приславшего.
Обычно "троянский конь" функционирует не в одиночку, а прикрепляется к какой-нибудь программе, вроде internat.exe. Трояны широко используются среди группы лиц, именующих себя хакерами. Одна из разновидностей "троянов" предназначена для удаленного администрирования — как правило, они состоят из двух частей: сервера и клиента. Одна половинка "трояна" остается у хакера, а другая отсылается жертве. Когда вирус активизируется на удаленной машине, уровень сетевой безопасности опускается до нуля (и даже ниже:)), поскольку такой компьютер целиком и полностью оказывается во власти хакера. Также существуют "троянские кони", собирающие все пароли с компьютера и отсылающие их по указанному адресу. Такого широкого распространения, как, скажем, макровирусы, "трояны" не получили ввиду того, что по окончании своей "работы" они либо самоуничтожаются (вместе с остальной информацией на винчестере:(), либо демаскируют себя, и пострадавший пользователь их обнаруживает. Самый популярный способ распространения трояна — по почте.
Ну, а если вы подозреваете, что ваш компьютер заражен "трояном", есть несколько способов (помимо антивирусов) визуально убедиться в наличии вируса. Во-первых, не забывайте по СTRL-ALT-DEL проверять, какие программы "сидят" в оперативной памяти компьютера (хотя, это помогает далеко не всегда:(). Во-вторых, если вы, находясь в Интернете, не открываете новых окон браузера и не совершаете никаких действий, но при этом винчестер шуршит, как сумасшедший, то есть все основания полагать, что идет атака на компьютер. Загляните в программу msconfig.exe (закладка "Автозагрузка") и посмотрите, не появилось ли там чего лишнего. Также проверьте в файле win.ini строки run=; и load=. Кроме того, нужно запустить редактор системного реестра regedit.exe и проследить за информацией, находящейся по таким адресам:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run.
Наконец, последняя группа вирусоносителей, которую мы рассмотрим в нашей статье, скрипт-вирусы или почтовые вирусы-черви. Опасность их заключается в том, что они не обращаются к жесткому диску, а оперируют исключительно к оперативной памяти, поэтому большинство антивирусов их обнаружить не в состоянии. Для борьбы с самыми популярными "червями" даже пишутся специальные (так сказать, "именные") программы.
Среди наиболее известных скрипт-вирусов, взбудораживших компьютерный мир, можно назвать KakWorm, Stages, ILoveYou и Sircam. В случае KakWorm заражение вообще происходит просто при открытии письма и не требует совершения каких-либо дополнительных действий.
Одна из сравнительно недавних эпидемий распространилась благодаря Sircam. Этот вирус не только уничтожает важную информацию на компьютере, но и ставит под угрозу ее конфиденциальность. Действие вируса таково: пользователь получает письмо с аттачментом, которое маскируется под послание одного из знакомых. Стоит открыть приложение, как Sircam случайным образом выберет один из файлов, хранящихся в папке "Мои документы", и отошлет его с компьютера пострадавшего юзера на следующую машину. После этого Sircam удалит файлы с жесткого диска. Другой вариант вируса действует иначе — он ничего не стирает, но до предела забивает дисковое пространство ненужной информацией. Сейчас развелось более пятисот разновидностей этой программы, благополучно путешествующих по Интернет-зоне. Sircam опознать гораздо труднее, чем предшественников, — он не создает электронного послания с фиксированной темой (как ILoveYou), тип приложения, в котором он прячется, непостоянен. Это может быть *.bat, *.com, *.ink, *.pif. Определить Sircam можно по тексту послания, к которому он приложен. Зараженное письмо всегда начинается со слов "Hi! How are you?" или "Hola como estas?" и заканчивается словами "See you later" или "Nos vemos pronto gracias".
Надеяться на то, что вирусы однажды ранним утром в понедельник исчезнут навсегда, оснований пока нет. С каждым днем они осваивают все новые просторы, совершенствуясь, развиваясь и обеспечивая работой тысячи сотрудников антивирусных лабораторий. Мир не стоит на месте, и антивирусы появляются едва ли не быстрее, чем сами вирусы. Уже цитируемый нами Евгений Касперский, завершая тему будущего вирусов, написал: "Вирусы успешно внедрились в повседневную компьютерную жизнь и покидать ее в обозримом будущем не собираются". На наш век хватит.
P.S. Надеемся, что наша небольшая статья поможет вам никогда не познакомиться лично со всеми этими "невидимками", "червяками", "конями" и прочими паразитами:).
Сергей Бондаренко,
Марина Двораковская
ms@3dfly.com
Дать однозначное определение вирусу трудно ввиду большого числа его разновидностей. Говоря в общем, это программа, написанная нехорошим человеком, который использует свои способности во вред человечеству. Чаще всего это студенты-программисты, которыми движет жажда славы и желание таким образом самоутвердиться. Существует также и другая категория "писателей". Те, в свою очередь, делают вредоносные программы с корыстной целью, например, для добычи секретной информации и т.д. "Заболевший" компьютер становится настоящей головной болью пользователя. Изрядно помотав нервы непредсказуемыми ошибками в различных программах, вирус может уничтожить данные с диска, запортить файлы или даже отформатировать винчестер. Кстати, существуют вирусы, которые, как это ни парадоксально, не наносят вред программному обеспечению. Например, подхватив "троянчик" (подробнее см. ниже), пользователь имеет все шансы "поделиться" с кем-нибудь паролями на доступ в Интернет — и на этом миссия вируса будет завершена. Существуют и такие "бактерии", которые ничем другим не занимаются, кроме как своим размножением. Спустя какое-то время, когда все свободное пространство будет занято, система даст резко по тормозам. Такого рода вирусы уже устарели, но до конца еще не исчезли. Впрочем, принцип клонирования самого себя — главное свойство абсолютно всех "вредителей". Если бы этого не происходило, то проблема компьютерной чумы не приняла бы такого глобального масштаба.
Вчера и сегодня
Если кто-то думает, что компьютерный вирус — это явление девяностых годов, то он сильно заблуждается. Хотя мнений относительно даты написания первого вируса очень много, все сходятся в том, что первые "ласточки" были еще в далеких семидесятых или даже в конце шестидесятых(!). Вирусами, правда, их тогда никто не называл. А вот непосредственно с самим термином народ стал знакомиться лишь в конце восьмидесятых. Такие названия, как Jerusalem или Brain, до сих пор вызывают у многих неприятные воспоминания.
Но это все история. Что же творится сейчас? Если первые вирусы распространялись в основном через дискеты, то сегодня они активно используют всемирную паутину (хотя это вовсе не означает, что вам его не могут принести на дискете или компакт-диске:)). Причем шанс "заболеть" есть не только при выкачивании мегабайтов полезной информации, но и при обычном посещении веб-страниц. Поэтому следует помнить: отсутствие антивирусного монитора и посещение сомнительных сайтов — вот прямой путь к компьютерной болезни.
Какими они бывают
Создать строгую классификацию вирусов почти невозможно, т.е. нельзя поместить каждый вирус в отдельную "ячейку", категорию и т.д. Их можно лишь классифицировать в общем, по ряду признаков. Например, Евгений Касперский в своей книге "Компьютерные вирусы" предлагает такое разделение:
– по среде обитания (файловые, загрузочные, макро, сетевые);
– по операционной системе (OC);
– по особенностям алгоритма работы (резидентность, использование стелс-алгоритмов, самошифрование и полиморфичность, использование нестандартных приемов);
– по деструктивным возможностям (безвредные, неопасные, опасные, очень опасные).
Мы не будем писать о каждом типе и подтипе вирусов подробно (все желающие могут прочитать об этом в вышеуказанной книге, которая доступна по адресу http://www.viruslist.com), а остановимся лишь на некоторых моментах, которые, с нашей точки зрения, являются наиболее важными и интересными.
Больше всего подвержены нападению вирусов исполнительные файлы (т.е. с расширением *.com и *.exe). При заражении файла command.com возможно дальнейшее заражение любой выполняемой программы. Одним из известнейших вирусов, заражающих COM-программы, является Cascade (1701). Он, правда, не наносит компьютеру непоправимого ущерба, а лишь вызывает осыпание букв на экране.
Отдельная категория вирусов нацелена на самый популярный офисный пакет MS Office. Документы и шаблоны Word'а и Excel'я заражаются так называемыми макровирусами. Защитой может послужить отключение использования макросов в указанных приложениях.
Вирусы, которые заражают загрузочную область жесткого диска, называются бутовыми. Эти вирусы принципиально могут заразить только две области: сектор, с которого осуществляется загрузка (BOOT-сектор) с дискеты (винчестера), или главный загрузочный сектор MBR (Master Boot Record) только винчестера. Такие вирусы начинают свою работу при начальной загрузке операционной системы и называются резидентными, т.к. они постоянно находятся в памяти компьютера.
Следующая категория вирусов — вирусы-невидимки (stealth). Комбинация Ctrl-Alt-Del в случае заражения вам ничего не покажет, на то они и невидимки:). Stealth-вирусы трудно обнаружить в программе, бут-секторе или оперативной памяти. Такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы. Они "подставляют" вместо себя незараженные участки информации.
Одним из самых опасных stealth-вирусов является OneHalf. Это файлово-загрузочный вирус-невидимка, который "усеивает пятнами" своего кода (10 "пятен" по 10 байт) инфицированный файл, а помимо этого производит шифрование основного тела вируса, расположенного в конце файла. При первом запуске инфицированного файла OneHalf заражает MBR. При каждой перезагрузке системы с жесткого диска последовательно, начиная с последних цилиндров, вирус шифрует все сектора трех цилиндров на каждой головке жесткого диска. Когда OneHalf находится в памяти, он контролирует чтение секторов данных цилиндров и расшифровывает их же. Самое страшное, что если вирус будет удален из MBR и памяти, то восстановление зашифрованных секторов окажется невозможным. При зашифровывании половины диска вирус выводит на экран фразу: "Disk is one half. Press any key to continue". Печальная картина:(.
Довольно трудно обнаружить на компьютере так называемые полиморфные вирусы. Тело вируса постоянно изменяется, поэтому два экземпляра одного и того же вируса могут вообще не иметь ничего общего в своей структуре. Полиморфичность используется практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. После появления полиморфных вирусов создателям антивирусного программного обеспечения пришлось искать новые подходы для определения вирусов. До этого антивирусы работали с набором "масок"-шаблонов, т.е. определяли зараженный объект, сравнивая его с кусками вирусного кода. Полиморфные вирусы часто создаются при помощи генераторов, главной функцией которых является шифрование тела вируса и генерация расшифровщика.
Раз мы уже заговорили об утилитах, помогающих создателям вирусов, обязательно нужно упомянуть о большой группе вредоносных программ — конструкторах вирусов. Используя их, любой человек с практически нулевыми познаниями в программировании может в считанные секунды написать свой собственный вирус. Многие такие утилиты обладают стандартным оконным интерфейсом, так что любой "чайник" разберется.
Одна из самых популярных категорий вирусов — "троянские кони" или "логические бомбы". "Троян" может выполнять на компьютере абсолютно различные действия, от самых безобидных до опаснейших. Скажем, он может выдвинуть CD-ROM, заставить мышку произвольно перемещаться по экрану, показать сообщение с нецензурными ругательствами. На этом действие "трояна" не заканчивается — он крадет, удаляет или изменяет файлы, форматирует винчестер и т.д. Впрочем, возможности этого вируса зависят от фантазии "доброжелателя", его приславшего.
Обычно "троянский конь" функционирует не в одиночку, а прикрепляется к какой-нибудь программе, вроде internat.exe. Трояны широко используются среди группы лиц, именующих себя хакерами. Одна из разновидностей "троянов" предназначена для удаленного администрирования — как правило, они состоят из двух частей: сервера и клиента. Одна половинка "трояна" остается у хакера, а другая отсылается жертве. Когда вирус активизируется на удаленной машине, уровень сетевой безопасности опускается до нуля (и даже ниже:)), поскольку такой компьютер целиком и полностью оказывается во власти хакера. Также существуют "троянские кони", собирающие все пароли с компьютера и отсылающие их по указанному адресу. Такого широкого распространения, как, скажем, макровирусы, "трояны" не получили ввиду того, что по окончании своей "работы" они либо самоуничтожаются (вместе с остальной информацией на винчестере:(), либо демаскируют себя, и пострадавший пользователь их обнаруживает. Самый популярный способ распространения трояна — по почте.
Ну, а если вы подозреваете, что ваш компьютер заражен "трояном", есть несколько способов (помимо антивирусов) визуально убедиться в наличии вируса. Во-первых, не забывайте по СTRL-ALT-DEL проверять, какие программы "сидят" в оперативной памяти компьютера (хотя, это помогает далеко не всегда:(). Во-вторых, если вы, находясь в Интернете, не открываете новых окон браузера и не совершаете никаких действий, но при этом винчестер шуршит, как сумасшедший, то есть все основания полагать, что идет атака на компьютер. Загляните в программу msconfig.exe (закладка "Автозагрузка") и посмотрите, не появилось ли там чего лишнего. Также проверьте в файле win.ini строки run=; и load=. Кроме того, нужно запустить редактор системного реестра regedit.exe и проследить за информацией, находящейся по таким адресам:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run.
Наконец, последняя группа вирусоносителей, которую мы рассмотрим в нашей статье, скрипт-вирусы или почтовые вирусы-черви. Опасность их заключается в том, что они не обращаются к жесткому диску, а оперируют исключительно к оперативной памяти, поэтому большинство антивирусов их обнаружить не в состоянии. Для борьбы с самыми популярными "червями" даже пишутся специальные (так сказать, "именные") программы.
Среди наиболее известных скрипт-вирусов, взбудораживших компьютерный мир, можно назвать KakWorm, Stages, ILoveYou и Sircam. В случае KakWorm заражение вообще происходит просто при открытии письма и не требует совершения каких-либо дополнительных действий.
Одна из сравнительно недавних эпидемий распространилась благодаря Sircam. Этот вирус не только уничтожает важную информацию на компьютере, но и ставит под угрозу ее конфиденциальность. Действие вируса таково: пользователь получает письмо с аттачментом, которое маскируется под послание одного из знакомых. Стоит открыть приложение, как Sircam случайным образом выберет один из файлов, хранящихся в папке "Мои документы", и отошлет его с компьютера пострадавшего юзера на следующую машину. После этого Sircam удалит файлы с жесткого диска. Другой вариант вируса действует иначе — он ничего не стирает, но до предела забивает дисковое пространство ненужной информацией. Сейчас развелось более пятисот разновидностей этой программы, благополучно путешествующих по Интернет-зоне. Sircam опознать гораздо труднее, чем предшественников, — он не создает электронного послания с фиксированной темой (как ILoveYou), тип приложения, в котором он прячется, непостоянен. Это может быть *.bat, *.com, *.ink, *.pif. Определить Sircam можно по тексту послания, к которому он приложен. Зараженное письмо всегда начинается со слов "Hi! How are you?" или "Hola como estas?" и заканчивается словами "See you later" или "Nos vemos pronto gracias".
Надеяться на то, что вирусы однажды ранним утром в понедельник исчезнут навсегда, оснований пока нет. С каждым днем они осваивают все новые просторы, совершенствуясь, развиваясь и обеспечивая работой тысячи сотрудников антивирусных лабораторий. Мир не стоит на месте, и антивирусы появляются едва ли не быстрее, чем сами вирусы. Уже цитируемый нами Евгений Касперский, завершая тему будущего вирусов, написал: "Вирусы успешно внедрились в повседневную компьютерную жизнь и покидать ее в обозримом будущем не собираются". На наш век хватит.
P.S. Надеемся, что наша небольшая статья поможет вам никогда не познакомиться лично со всеми этими "невидимками", "червяками", "конями" и прочими паразитами:).
Сергей Бондаренко,
Марина Двораковская
ms@3dfly.com
Компьютерная газета. Статья была опубликована в номере 32 за 2002 год в рубрике soft :: безопасность