Оглавление
Введение
Среда существования вирусов
Типы вредоносных программ
Сетевые черви
Классические компьютерные вирусы
Троянские программы
Хакерские утилиты и прочие вредоносные программы
Кто создает вирусы
История вирусов
Перспективы развития вредоносных программ
Тренды — 2004 год
Троянские программы
Классические вирусы
Новые среды и возможности
Что делать, если ваш компьютер заражен?
Признаки заражения
Что делать при наличии признаков заражения
Заключение
Список используемой литературы
Введение
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему написаны десятки книг и сотни статей, борьбой с компьютерными вирусами профессионально занимаются сотни (или тысячи) специалистов в десятках (а может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Несмотря на огромные усилия конкурирующих между собой антивирусных фирм, убытки, приносимые компьютерными вирусами, не падают и достигают астрономических величин в сотни миллионов долларов ежегодно. Эти оценки явно занижены, поскольку известно становится лишь о части подобных инцидентов.
При этом следует иметь в виду, что антивирусные программы и «железо» не дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела на другой стороне тандема «человек-компьютер». Как пользователи, так и профессионалы-программисты часто не имеют даже навыков «самообороны», а их представления о вирусе порой являются настолько поверхностными, что лучше бы их (представлений) и не было.
Среда существования вирусов[1]
Три условия существования вредоносных программ
Операционная система или приложение может подвергнуться вирусному нападению в том случае, если она имеет возможность запустить программу, не являющуюся частью самой системы. Данному условию удовлетворяют все популярные «настольные» операционные системы, многие офисные приложения, графические редакторы, системы проектирования и прочие программные комплексы, имеющие встроенные скриптовые языки.
Компьютерные вирусы, черви, троянские программы существуют для десятков операционных систем и приложений. В то же время существует огромное количество других операционных систем и приложений, для которых вредоносные программы пока не обнаружены. Что является причиной существования вредных программ в одних системах и отсутствия их в других?
Причиной появления подобных программ в конкретной операционной системе или приложении является одновременное выполнение следующих условий:
Ø популярность, широкое распространение данной системы;
Ø наличие разнообразной и достаточно полной документации по системе;
Ø незащищенность системы или существование известных уязвимостей в системе безопасности.
Каждое перечисленное условие является необходимым, а выполнение всех трех условий одновременно является достаточным для появления разнообразных вредоносных программ.
Условие популярности системы необходимо для того, чтобы она попалась на глаза хотя бы одному компьютерному хулигану или хакеру. Если система существует в единичных экземплярах, то вероятность ее злонамеренного использования близка к нулю. Если же производитель системы добился ее массового распространения, то очевидно, что рано или поздно хакеры и вирусописатели попытаются использовать ее в своих интересах.
Напрашивается естественный вывод: чем популярнее операционная система или приложение, тем чаще она будет являться жертвой вирусной атаки. Практика это подтверждает — распределение количества вредного программного обеспечения для Windows и Linux практически совпадает с долями рынка, которые занимают эти операционные системы.
Наличие полной документации необходимо для существования вирусов по естественной причине — создание программ (включая вирусные) невозможно без технического описания использования сервисов операционной системы и правил написания приложений. У большинства мобильных телефонов, например, подобная информация закрыта — ни компании-производители программных продуктов, ни хакеры не имеют возможности разрабатывать программы для данных устройств. У некоторых «умных» телефонов есть документация по разработке приложений — и, как следствие, появляются и вредоносные программы, разработанные специально для телефонов данного типа.
Под защищенностью системы понимаются архитектурные решения, которые не позволяют новому (неизвестному) приложению получить полный или достаточно широкий доступ к файлам на диске (включая другие приложения) и потенциально опасным сервисам системы. Подобное ограничение фактически блокирует любую вирусную активность, но при этом, естественно, накладывает существенные ограничения на возможности обычных программ.
Примеров широко известных защищенных операционных систем и приложений, к сожалению, нет. Частично удовлетворяет требованию защищенности Java-машина, которая запускает Java-приложение в режиме «песочницы». И действительно, «настоящих» вирусов и троянских программ в виде Java-приложений не было достаточно долгое время (за исключением тестовых вирусов, которые были практически неработоспособны). Вредоносные программы в виде Java-приложений появились лишь тогда, когда были обнаружены способы обхода встроенной в Java-машину системы безопасности.
Типы вредоносных программ[2]
К вредоносному программному обеспечению относятся сетевые черви, классические файловые вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.
Сетевые черви
К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:
Ø проникновения на удаленные компьютеры;
Ø запуска своей копии на удаленном компьютере;
Ø дальнейшего распространения на другие компьютеры в сети.
Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д.
Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.
Некоторые черви (так называемые «бесфайловые» или «пакетные» черви) распространяются в виде сетевых пакетов, проникают непосредственно в память компьютера и активизируют свой код.
Для проникновения на удаленные компьютеры и запуска своей копии черви используют различные методы: социальный инжиниринг (например, текст электронного письма, призывающий открыть вложенный файл), недочеты в конфигурации сети (например, копирование на диск, открытый на полный доступ), ошибки в службах безопасности операционных систем и приложений.
Некоторые черви обладают также свойствами других разновидностей вредоносного программного обеспечения. Например, некоторые черви содержат троянские функции или способны заражать выполняемые файлы на локальном диске, т. е. имеют свойство троянской программы и/или компьютерного вируса.
Классические компьютерные вирусы
К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:
Ø последующего запуска своего кода при каких-либо действиях пользователя;
Ø дальнейшего внедрения в другие ресурсы компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функций вируса причинам оказывается активизированным на другом компьютере, например:
Ø при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
Ø вирус скопировал себя на съёмный носитель или заразил файлы на нем;
Ø пользователь отослал электронное письмо с зараженным вложением.
Троянские программы
В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).
Хакерские утилиты и прочие вредоносные программы
К данной категории относятся:
Ø утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);
Ø программные библиотеки, разработанные для создания вредоносного ПО;
Ø хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);
Ø «злые шутки», затрудняющие работу с компьютером;
Ø программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;
Ø прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.
Кто создает вирусы[3]
Основная масса вирусов и троянских программ в прошлом создавалась студентами и школьниками, которые только что изучили язык программирования, хотели попробовать свои силы, но не смогли найти для них более достойного применения. Отраден тот факт, что значительная часть подобных вирусов их авторами не распространялась и вирусы через некоторое время умирали сами вместе с дисками, на которых хранились. Такие вирусы писались и пишутся по сей день только для самоутверждения их авторов.
Вторую группу создателей вирусов также составляют молодые люди (чаще — студенты), которые еще не полностью овладели искусством программирования. Единственная причина, толкающая их на написание вирусов, это комплекс неполноценности, который компенсируется компьютерным хулиганством. Из-под пера подобных «умельцев» часто выходят вирусы крайне примитивные и с большим числом ошибок («студенческие» вирусы). Жизнь подобных вирусописателей стала заметно проще с развитием интернета и появлением многочисленных веб-сайтов, ориентированных на обучение написанию компьютерных вирусов. На подобных веб-ресурсах можно найти подробные рекомендации по методам проникновения в систему, приемам скрытия от антивирусных программ, способам дальнейшего распространения вируса. Часто здесь же можно найти готовые исходные тексты, в которые надо всего лишь внести минимальные «авторские» изменения и откомпилировать рекомендуемым способом.
«Хулиганские» вирусы в последние годы становятся все менее и менее актуальными (несмотря на то что на смену повзрослевшим тинейджерам-хулиганам каждый раз приходит новое поколение тинейджеров) — за исключением тех случаев, когда такие вредоносные программы вызвали глобальные сетевые и почтовые эпидемии. На текущий момент доля подобных вирусов и троянских программ занимает не более 10% «материала», заносимого в антивирусные базы данных. Оставшиеся 90% гораздо более опасны, чем просто вирусы.
Став старше и опытнее, многие из подобных вирусописателей попадают в третью, наиболее опасную группу, которая создает и запускает в мир «профессиональные» вирусы. Эти тщательно продуманные и отлаженные программы создаются профессиональными, часто очень талантливыми программистами. Такие вирусы нередко используют достаточно оригинальные алгоритмы проникновения в системные области данных, ошибки в системах безопасности операционных сред, социальный инжиниринг и прочие хитрости.
Отдельно стоит четвертая группа авторов вирусов — «исследователи», довольно сообразительные программисты, которые занимаются изобретением принципиально новых методов заражения, скрытия, противодействия антивирусам и т. д. Они же придумывают способы внедрения в новые операционные системы. Эти программисты пишут вирусы не ради собственно вирусов, а скорее ради исследования потенциалов «компьютерной фауны». Часто авторы подобных вирусов не распространяют свои творения, однако активно пропагандируют свои идеи через многочисленные интернет-ресурсы, посвященные созданию вирусов. При этом опасность, исходящая от таких «исследовательских» вирусов, тоже весьма велика — попав в руки «профессионалов» из предыдущей группы, эти идеи очень быстро появляются в новых вирусах.
История вирусов[4]
Мнений по поводу рождения первого компьютерного вируса очень много. Нам доподлинно известно только одно: на машине Чарльза Бэббиджа, считающегося изобретателем первого компьютера, вирусов не было, а на Univax 1108 и IBM 360/370 в середине 1970-х годов они уже были.
Несмотря на это, сама идея компьютерных вирусов появилась значительно раньше. Отправной точкой можно считать труды Джона фон Неймана по изучению самовоспроизводящихся математических автоматов. Эти труды стали известны в 1940-х годах. А в 1951 г. знаменитый ученый предложил метод, который демонстрировал возможность создания таких автоматов. Позднее, в 1959 г., журнал "Scientific American" опубликовал статью Л.С. Пенроуза, которая также была посвящена самовоспроизводящимся механическим структурам. В отличие от ранее известных работ, здесь была описана простейшая двумерная модель подобных структур, способных к активации, размножению, мутациям, захвату. Позднее, по следам этой статьи другой ученый - Ф.Ж. Шталь - реализовал модель на практике с помощью машинного кода на IBM 650.
Необходимо отметить, что с самого начала эти исследования были направлены отнюдь не на создание теоретической основы для будущего развития компьютерных вирусов. Наоборот, ученые стремились усовершенствовать мир, сделать его более приспособленным для жизни человека. Ведь именно эти труды легли в основу многих более поздних работ по робототехнике и искусственному интеллекту. И в том, что последующие поколения злоупотребили плодами технического прогресса, нет вины этих замечательных ученых.
В 1962 г. инженеры из американской компании Bell Telephone Laboratories - В.А. Высотский, Г.Д. Макилрой и Роберт Моррис - создали игру "Дарвин". Игра предполагала присутствие в памяти вычислительной машины так называемого супервизора, определявшего правила и порядок борьбы между собой программ-соперников, создававшихся игроками. Программы имели функции исследования пространства, размножения и уничтожения. Смысл игры заключался в удалении всех копий программы противника и захвате поля битвы.
На этом теоретические исследования ученых и безобидные упражнения инженеров ушли в тень, и совсем скоро мир узнал, что теория саморазмножающихся структур с не меньшим успехом может быть применена и в несколько иных целях.
Перспективы развития вредоносных программ[5]
Громадное влияние на современную вирусологию оказали всемирные эпидемии, вызванные следующими сетевыми и почтовыми червями: Lovesan, Sobig, Swen и Sober. Каждый из них возвел в ранг эталона собственные отличительные черты, все из которых активно используются в настоящее время новыми вирусами и будут продолжать использоваться в обозримом будущем.
Тренды — 2004 год
Первое полугодие 2004 года принесло нам множество новых, зачастую оригинальных вредоносных программ, активно использовавших идеи своих предшественников и, в свою очередь, добавивших множество новых черт в основные тенденции развития вирусов.
Trojan-Proxy.Win32.Mitglieder
Троянский прокси-сервер Mitglieder появился сразу после новогодних праздников. Утром 4 января 2004 года тысячам пользователей ICQ было разослано сообщение с просьбой посетить некий сайт. Многие из тех, кто зашел по присланной ссылке, вскоре обратились за помощью в антивирусные компании. На сайте была размещена троянская программа, которая, используя одну из множества уязвимостей Internet Explorer, скрытно устанавливала и запускала троянский прокси-сервер, открывавший на зараженной машине порты для приема и дальнейшей отправки почтовых сообщений. Проще говоря, позволявший использовать зараженный компьютер для рассылки спама.
Тут можно отметить две черты, которые впоследствии неоднократно встречались в новых вредоносных программах и хорошо вписываются в общую картину тенденции их развития:
Ø рассылка сообщений по электронной почте или ICQ с целью привлечения пользователей на зараженный сайт;
Ø фактическое выделение троянских прокси-серверов в отдельный класс, тесно связанный с рассылкой спама.
Была еще одна черта, о которой мы уже сказали выше — «создание сети зомби-машин», но всерьез она проявилась чуть позже, когда появился червь Bagle.
I-Worm.Bagle
Bagle, по всем признакам написанный той же группой вирусописателей, что и Mitglieder, либо сразу устанавливал на зараженные машины троянский прокси-сервер, либо загружал его из интернета. Фактически это был тот же самый Mitglieder, только с функцией саморазмножения по электронной почте. И, что не менее важно, для рассылки Bagle опять-таки использовались машины, ранее зараженные троянцем Mitglieder.
I-Worm.Mydoom.a
Спустя короткое время после появления Bagle в интернете разразилась крупнейшая на сегодняшний день эпидемия за всю его историю. Почтовый червь Mydoom.a, предварительно разосланный через гигантскую сеть зомби-машин (аналогично Sobig), использовал весьма изощренный метод социального инжиниринга (подобно Swen), содержал в себе мощную бэкдор-процедуру и должен был организовать DDoS-атаку на сайт компании SCO (подобно Lovesan).
Сочетание трех основных особенностей появившихся ранее червей вызвало кумулятивный эффект — Mydoom.a легко обошел недавнего лидера Sobig.f по количеству созданного почтового трафика, заразил миллионы компьютеров, открыв на них порты для доступа извне, и смог успешно осуществить DDoS-атаку на сайт SCO, в результате чего тот был выведен из строя на месяцы вперед.
С другой стороны, он и сам привнес кое-что новое в историю вирусологии. Устанавливаемый им на зараженные компьютеры бэкдор оказался лакомым кусочком для множества других червей. Практически сразу появились вирусы, которые сканировали сеть в поисках открытых Mydoom портов и через них проникали на компьютеры, либо уничтожая Mydoom и заменяя его собой, либо одновременно с ним функционируя в системе. Таких вирусов за короткое время появилось несколько десятков, самые распространенные из них также вызывали локальные эпидемии и все они заставляли армию зомби-машин, созданных эпидемией Mydoom, работать на себя.
Здесь можно отметить еще одну черту, которая постепенно становится четко выраженной тенденцией:
Ø Использование для распространения уязвимостей или бэкдоров, оставленных другими червями.
I-Worm.NetSky.b
Очевидно, первоначально этот червь был разослан через сеть компьютеров, зараженных Backdoor.Agobot. Он использовал практически все идеи своих предшественников с одной только разницей — он уничтожал найденные на компьютере черви, в частности Mydoom, Bagle и Mimail. Принцип «вирус-антивирус» не нов, еще в 2003 году сетевой червь Worm.Win32.Welchia, используя для размножения уязвимость DCOM RPC в Windows XP, проникал на компьютеры и не только уничтожал экземпляры Lovesan, но и пытался загрузить с сайта Microsoft соответствующие заплатки для предотвращения новых заражений.
NetSky никаких заплаток не ставил, однако пытался бороться с конкурентами не только путем их удаления с зараженных машин, но и словесно. И если автор червя Mydoom в этой кибервойне участия не принимал, то вот авторы Bagle подняли брошенную перчатку и на каждую новую версию NetSky с очередной порцией словесной брани отвечали новой версией Bagle с аналогичными по смыслу текстами. Порой за один день появлялось по три новые версии червей каждого семейства.
В ходе этой «войны» вирусописательских группировок проявилось несколько новых черт современной вирусологии:
Ø стремление к удалению других червей с зараженных машин, фактически — борьба за место под солнцем (NetSky);
Ø рассылка себя в виде архивов (Bagle, NetSky);
Ø рассылка себя в виде закрытых паролем архивов с указанием пароля в тексте письма либо в виде картинки (Bagle);
Ø отказ от пересылки своего тела по электронной почте и отправка вместо этого в письме ссылки на веб-сайт или на зараженный ранее компьютер (NetSky).
Все эти факторы оказали громадное влияние не только на вирусные технологии, но и на архитектуру и возможности современных антивирусных программ.
Отдельно остановимся на отказе от пересылки своего тела по электронной почте. Практически одновременно с появлением версии NetSky.q, которая посылала письма со ссылкой на ранее зараженный компьютер, в результате чего загрузка червя происходила оттуда, появился и первый червь, размножающийся через популярную программу ICQ, — червь Bizex. Проникая на компьютер, он рассылал по всему контакт-листу ссылку на зараженный сайт, откуда и происходила установка основного компонента вируса. Им использовались две идеи — отправка ссылки, а не файла и использование каналов ICQ для привлечения пользователей.
I-Worm.Snapper и I-Worm.Wallon
Окончательно тенденция указания одной лишь ссылки на файл червя оформилась чуть позже, когда в марте и мае 2004 появились черви Snapper и Wallon. Оба червя рассылали по найденным на компьютере адресам не себя, а ссылки на сайты. На сайтах были размещены скриптовые троянцы, которые использовали уязвимости в Internet Explorer для установки основных компонент на компьютер.
Такие письма, как правило, не вызывают у пользователей подозрений, поскольку они не содержат никаких вложенных файлов, как это бывает с традиционными почтовыми червями, к которым все уже привыкли. Весьма вероятно, что этот способ размножения будет неоднократно использован в вирусах в обозримом будущем. Его опасность может стремительно возрасти с обнаружением новых уязвимостей в Internet Explorer и Outlook.
Worm.Win32.Sasser
Sasser, появившийся в конце апреля, использовал очередную критическую уязвимость в Microsoft Windows и размножался аналогично червю Lovesan — через глобальную сеть, путем прямого подключения к атакуемому компьютеру. Червь вызвал значительную по своим масштабам эпидемию в странах Европы и содержал в запускаемом на зараженной машине FTP-сервисе уязвимость, которой попытались воспользоваться уже новые сетевые черви — Dabber и Cycle.
Автор червя Sasser был вскоре арестован, после чего сознался в авторстве червей семейства NetSky. По всей видимости, это действительно была правда, поскольку с тех пор новых NetSky не появлялось.
Таким образом, Sasser не только, фактически, явился реинкарнацией Lovesan по принципу размножения, но и сам, аналогично Mydoom, создал новую цель для атак со стороны других червей.
I-Worm.Plexus
Червь Plexus стал первым червем после Nimda (появился в 2001 году), использовавшим для своего размножения практически все доступные способы: уязвимости (аналогично Lovesan и Sasser), электронную почту, P2P-сети, локальные сети. Фактически, за три года ни один червь не использовал столь полный набор возможностей. Как правило, отсутствовал либо один, либо другой способ размножения. В лице Plexus мы получили потенциально весьма опасную вредоносную программу, кроме всего прочего еще и написанную на основе исходных кодов Mydoom. Можно даже провести определенные аналогии с червем Sober, оказавшимся талантливым плагиатором и обошедшим некоторых своих предшественников.
Впрочем, известные варианты Plexus так и не получили широкого распространения — по всей видимости, потому, что они не были первоначально разосланы массовой спам-рассылкой и в них относительно слабо реализованы методы социального инжиниринга. Однако не исключено, что в будущем нас ждут более мощные варианты этого червя или другие черви с таким же внушительным набором путей размножения.
Троянские программы
В программах, относящихся к классу троянских, на сегодняшний день можно выделить следующие основные тенденции:
Ø Значительный рост числа программ-шпионов, крадущих конфиденциальную банковскую информацию. Новые варианты подобных программ появляются десятками за неделю и отличаются большим разнообразием и принципами работы. Некоторые из них ограничиваются простым сбором всех вводимых с клавиатуры данных и отправкой их по электронной почте злоумышленнику. Наиболее мощные могут предоставлять автору полный контроль над зараженной машиной, отсылать мегабайты собранных данных на удаленные сервера, получать оттуда команды для дальнейшей работы.
Ø Стремление к получению тотального контроля над зараженными компьютерами. Это выражается в объединении их в зомби-сети, управляемые из единого центра. Как правило, для этого используются IRC-каналы или веб-сайты, куда автором выкладываются команды для машин-зомби. Существуют и более сложные варианты, например многие из вариантов Agobot объединяют зараженные компьютеры в единую P2P-сеть.
Ø Использование зараженных машин для рассылки через них спама или организации DDoS-атак.
Отдельного рассмотрения требуют такие классы программ, как Trojan-Dropper и Trojan-Downloader.
Конечные цели у них абсолютно идентичны — установка на компьютер другой вредоносной программы, которая может быть как червем, так и «троянцем». Отличается только принцип их действия. «Дропперы» могут содержать в себе уже известную вредоносную программу или наоборот — устанавливать новую ее версию. Также «дропперы» могут устанавливать не одну, а сразу несколько вредоносных программ, принципиально отличающихся по поведению и даже написанных разными людьми.
Фактически «дропперы» являются своеобразными архивами, внутрь которых может быть помещено все что угодно. Очень часто они применяются для установки в систему уже известных «троянцев», поскольку написать «дроппер» гораздо проще, чем переписывать «троянца», пытаясь сделать его недетектируемым для антивируса. Весьма значительную часть «дропперов» составляют их реализации на скрипт-языках VBS и JS, что объясняется сравнительной простотой программирования на них и универсальностью подобных программ.
«Даунлоадеры», или «загрузчики», активно используются вирусописателями как по причинам, описанным выше для «дропперов» (скрытая установка уже известных троянцев), так и по причине их меньшего по сравнению с «дропперами» размера, а также благодаря возможности обновлять устанавливаемые троянские программы. Здесь также выделяется группа программ на скрипт-языках, причем, как правило, использующих различные уязвимости в Internet Explorer.
Оба эти класса вредоносных программ используются для установки на компьютеры не только троянских программ, но и различных рекламных (advware) или порнографических (pornware) программ.
Классические вирусы
Что касается классических файловых вирусов, царствовавших в 90-х годах прошлого века, то в настоящее время они практически исчезли, уступив свое место сетевым червям. Сейчас можно насчитать с десяток файловых вирусов, которые продолжают оставаться активными и даже иногда испытывают всплески активности. Эти всплески связаны с недавно проявившейся у таких вирусов побочной способностью заражать исполняемые файлы почтовых червей. Таким путем они пересылают себя вместе с инфицированными червями электронными письмами, в качестве своеобразных прилипал. Очень часто попадаются экземпляры почтовых червей Mydoom, NetSky или Bagle, зараженные такими файловыми вирусами, как Funlove, Xorala, Parite или Spaces.
В целом опасность появления нового файлового вируса, способного вызвать глобальную эпидемию, сейчас практически равна нулю. Даже появление первого вируса, работающего на Win64-платформе (Win64.Rugrat.a), не сможет изменить эту ситуацию в ближайшем будущем.
Новые среды и возможности
Если попробовать оценить проявляющиеся новые возможности вредоносных программ, то нельзя не отметить весьма вероятное увеличение числа программ, написанных на языке программирования .NET. Первые концептуальные вирусы и черви на этом языке появились довольно давно, и с каждым днем популярность этой платформы все увеличивается, что, в конечном итоге, неминуемо привлечет внимание вирусописателей.
Linux-платформы, вероятно, по-прежнему будут оставаться полем действия программ класса rootkit, а также простейших файловых вирусов. Однако основная угроза для них будет исходить не от вирусов, а от обнаруживаемых уязвимостей в программных продуктах для данной платформы, что в принципе также может дать вирусописателям помощь в достижении их цели — тотального контроля за все большим числом машин в интернете.
И напоследок обратимся к такому пока экзотическому классу как вредоносные программы для КПК. Стремительный рост популярности ОС Windows Mobile 2003, широкие возможности сетевой коммутации данных устройств и наличие среды разработки приложений (.NET framework) неминуемо приведут к появлению в скором времени не только троянских программ (для PalmOS они уже существуют), но и их более опасных разновидностей, не исключая и сетевых червей.
Что делать, если ваш компьютер заражен?[6]
Непрофессионалу сложно обнаружить присутствие вирусов на компьютере, поскольку они умело маскируются среди обычных файлов. В данной главе мы постараемся наиболее подробно описать признаки заражения компьютера, а также способы восстановления данных после вирусной атаки и меры по предотвращению их поражения вредоносными программами.
Признаки заражения
Ø Есть ряд признаков, свидетельствующих о заражении компьютера:
Ø вывод на экран непредусмотренных сообщений или изображений;
Ø подача непредусмотренных звуковых сигналов;
Ø неожиданное открытие и закрытие лотка CD-ROM-устройства;
Ø произвольный, без вашего участия, запуск на компьютере каких-либо программ;
Ø при наличии на вашем компьютере межсетевого экрана, появление предупреждений о попытке какой-либо из программ вашего компьютера выйти в интернет, хотя вы это никак не инициировали.
Если вы замечаете, что с компьютером происходит подобное то, с большой степенью вероятности, можно предположить, что ваш компьютер поражен вирусом.
Кроме того, есть некоторые характерные признаки поражения вирусом через электронную почту:
Ø друзья или знакомые говорят вам о сообщениях от вас, которые вы не отправляли;
Ø в вашем почтовом ящике находится большое количество сообщений без обратного адреса и заголовка.
Следует отметить, что не всегда такие признаки вызываются присутствием вирусов. Иногда они могут быть следствием других причин. Например, в случае с почтой зараженные сообщения могут рассылаться с вашим обратным адресом, но не с вашего компьютера.
Есть также косвенные признаки заражения вашего компьютера:
Ø частые зависания и сбои в работе компьютера;
Ø медленная работа компьютера при запуске программ;
Ø невозможность загрузки операционной системы;
Ø исчезновение файлов и каталогов или искажение их содержимого;
Ø частое обращение к жесткому диску (часто мигает лампочка на системном блоке);
Ø интернет-браузер «зависает» или ведет себя неожиданным образом (например, окно программы невозможно закрыть).
В 90% случаев наличие косвенных симптомов вызвано сбоем в аппаратном или программном обеспечении. Несмотря на то, что подобные симптомы с малой вероятностью свидетельствуют о заражении, при их появлении рекомендуется провести полную проверку вашего компьютера установленной на нем антивирусной программой
Что делать при наличии признаков заражения
Если вы заметили, что ваш компьютер ведет себя «подозрительно»:
Ø Не паникуйте! Не поддаваться панике — золотое правило, которое может избавить вас от потери важных данных и лишних переживаний.
Ø Отключите компьютер от интернета.
Ø Отключите компьютер от локальной сети, если он к ней был подключен.
Ø Если симптом заражения состоит в том, что вы не можете загрузиться с жесткого диска компьютера (компьютер выдает ошибку, когда вы его включаете), попробуйте загрузиться в режиме защиты от сбоев или с диска аварийной загрузки Windows, который вы создавали при установке операционной системы на компьютер.
Ø Прежде чем предпринимать какие-либо действия, сохраните результаты вашей работы на внешний носитель (дискету, CD-диск, флэш-карту и пр.).
Ø Скачайте и установите пробную или же купите полную версию Антивируса Касперского Personal, если вы этого еще не сделали и на вашем компьютере не установлено других антивирусных программ.
Ø Получите последние обновления антивирусных баз. Если это возможно, для их получения выходите в интернет не со своего компьютера, а с незараженного компьютера друзей, интернет-кафе, с работы. Лучше воспользоваться другим компьютером, поскольку при подключении к интернету с зараженного компьютера есть вероятность отправки вирусом важной информации злоумышленникам или распространения вируса по адресам вашей адресной книги. Именно поэтому при подозрении на заражение лучше всего сразу отключиться от интернета. (Если вы используете Антивирус Касперского, вы можете получить обновления антивирусных баз на дискете или диске у «Лаборатории Касперского» или ее дистрибьюторов и обновить свои базы с этого источника).
Ø Установите рекомендуемый уровень настроек антивирусной программы.
Ø Запустите полную проверку компьютера.
Заключение
Вирус - специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе компьютера.
Из истории компьютерной вирусологии ясно, что любая оригинальная компьютерная разработка заставляет создателей антивирусов приспосабливаться к новым технологиям, постоянно усовершенствовать антивирусные программы.
Причины появления и распространения вирусов скрыты с одной стороны в психологии человека, с другой стороны - с отсутствием средств защиты у операционной системы.
Основные пути проникновения вирусов - съемные диски и компьютерные сети. Чтобы этого не случилось, соблюдайте меры по защите. Также для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, называемых антивирусными. Если вы все же обнаружили в компьютере вирус, то по традиционному подходу лучше позвать профессионала, чтобы тот дальше разобрался.
Но некоторые свойства вирусов озадачивают даже специалистов. Еще совсем недавно трудно было себе представить, что вирус может пережить холодную перезагрузку или распространяться через файлы документов. В таких условиях нельзя не придавать значение хотя бы начальному антивирусному образованию пользователей. При всей серьезности проблемы ни один вирус не способен принести столько вреда, сколько побелевший пользователь с дрожащими руками!
Список используемой литературы
1) http://www.kaspersky.ru
2) http://www.viruslist.com/ru/index.html
3) http://test-lab.cmc.msu.ru/default.aspx
[1] Где существуют вирусы? Что нужно червям для распространения? Краткое описание необходимых вредоносным программам условий.
[2] Определения типов вредоносных программ и описания отдельных вирусов, «троянцев», червей и прочих вредоносных программ.
[3] Вирусы и прочие вредоносные программы не возникают из воздуха — их создают вполне обычные люди.
[4] Компьютерные вирусы впервые появились довольно давно. Подробный обзор истории вредоносных программ с середины прошлого века по сегодняшний день.
[5] Куда мы идем? Развернутый анализ последних трендов поможет предсказать события ближайшего будущего.
[6] Зараженный компьютер, как человек — проанализировав симптомы можно найти лекарство.