Глава 1. Вирусные угрозы - Вирусы

Введение

Вирусная угроза — что это, миф или реальность? Насколько опасны вирусы. Как они действуют, принципы их распространения. Существуют ли в Интернете другие опасности, помимо вирусов? Как защититься от вирусов и других вредоносных программ? Как их обнаружить и удалить? Какие программы для этого использовать? И что делать, если под рукой нет антивирусной программы? Все это и много другое вы найдете в данной книге.

Знать и уметь защищаться от вирусов должен каждый. Поэтому книга предназначена не только для домашнего пользователя. Также она рассчитана на корпоративных служащих и администраторов корпоративных сетей. Мы попробуем примерить на себя роль каждого.

На домашнем компьютере только от вас зависит, как быстро вирусы доберутся до данных, размещенных на компьютере. Здесь вы Царь и Бог, или, одним словом, администратор. Поэтому у вас есть практически безграничные возможности защитить себя от вирусов. Защитить себя на 99,9 % (глава 3).

В среде же корпорации от обычного пользователя зависит немногое. Но, тем не менее, кое-что по защите себя от вирусов вы сделать сможете. И мы рассмотрим эти возможности (глава 3).

И не стоит думать, что администратор на домашнем компьютере, это точно то же, что и администратор корпоративной сети. Это две большие разницы. И, в частности, это проявляется в способах защиты от вирусов. Поэтому отдельно мы рассмотрим примеры развертывания защиты от вирусов в пределах сети (глава 4).

Но ведь не только вирусы терроризируют человечество. Не менее опасны и надоедливы такие угрозы, как спам, фишинг, троянские программы, черви, рекламные программы и другие нежелательные программы. Поэтому весь этот бестиарий мы также в подробностях рассмотрим в книге.

В первую очередь книга рассчитана на начинающих пользователей. Вместе с ними мы узнаем, какие бывают угрозы и их классификация, что вообще могут сделать вирусы, как они распространяются (глава 1). И, конечно, как защитить себя с помощью антивирусных программ, брандмауэров, почтовых фильтров.

Для опытных пользователей будет интересна и полезна часть главы, посвященная способам обнаружения и удаления вирусов и других нежелательных программ без помощи антивирусных пакетов (глава 3). То есть, поиск вирусов вручную. А также советы, как не заразить свой компьютер при работе в Интернете (главы 5 и 6). Эта информация будет полезна даже начинающим пользователям, если они планируют в будущем перейти в разряд продвинутых.

Начало

Ни для кого не будет откровением, что компьютерные вирусы все-таки существуют. Мы давно уже привыкли к ним, и относимся к вирусной угрозе как к чему-то обыденному. А ведь еще на заре компьютерной эпохи все считали компьютерные вирусы просто мистификацией, даже компьютерные гуру того времени всех убеждали, что компьютерных вирусов просто быть не может.

Но несмотря на все уверения компьютерных знаменитостей, вирусы все таки появились. Сначала это были просто программы-шутки, которые не портили никакой информации. Но потом «шутки» стали все коварнее и злее, а способы их работы и распространения все изощреннее и изощреннее. И человечество перешло из одной крайности в другую. Если вначале никто не верил в существование вирусов, то через некоторое время началась настоящая паника. По миру ходили слухи о безумно опасных вирусах, которые уничтожали не только информацию, но и компьютерное оборудование, домашних животных и людей. А потом еще поджигали дом, чтобы замести следы своего преступления.

К счастью, со временем все улеглось. О компьютерных вирусах теперь знают даже дети, а паники как таковой больше нет. Теперь каждый знает, что такое вирус. Правда, далеко не каждый знает, как обнаружить вирусы, как бороться с ними, и как вести себя за компьютером, чтобы не заразиться. И, что самое печальное, практически каждый не задумывается, что помимо вирусов существует множество других, не менее опасных, угроз. Поэтому давайте начнем данную книгу с классификации угроз, о которых нужно знать, и от которых нужно защищаться.

Подробнее о вирусах и других вредоносных программах можно прочитать в книге Касперского «Компьютерное зловредство».

Первой и самой знаменитой угрозой для компьютерной информации, без сомнения, являются компьютерные вирусы (давайте опустим из внимания хакеров, для них в данной книге места не нашлось).

А между тем, компьютерные вирусы, это не мутанты и даже не инопланетная зараза — это наше, родное. Это обычные программы, написанные нашими программистами. Вот только эти программы отличаются от сотни других программ, которыми мы постоянно пользуемся, одним — жаждой жить и размножаться.

Вирусные программы можно описать следующими отличительными чертами:

• вирусы устанавливаются автоматически, без помощи пользователя;
• если на установку вируса все же необходимо согласие пользователя, тогда вирусная программа всячески старается обмануть пользователя, ввести его в заблуждение, чтобы он решил, что устанавливает что-то полезное и нужное;
• вирусная программа способна создавать сама себя, и именно это она любит делать больше всего на свете;
• еще вирусные программы любят портить жизнь обычному пользователю; в зависимости от фантазии разработчика вируса, вирусная программа может затормаживать работу компьютера, удалять некоторые данные пользователя, форматировать диски, портить BIOS, тем самым выводя материнскую плату компьютера из строя, и даже шантажировать пользователя и вымогать у него деньги.

В общем, вирусы — это настоящий бич компьютерного пользователя. О них могут мечтать только владельцы и разработчики антивирусных программ.

Кстати, мы забыли упомянуть об еще одной отличительной черте вирусов — они способны размножаться только на локальном компьютере. Если вирус может путешествовать по сети и Интернету, заражая другие компьютеры, то это уже не вирус. Как говорится, это уже совершенно другая история. И ее мы узнаем далее из книги.

Классификация вирусов

А пока давайте поближе познакомимся с вирусами. Вирусы бывают файловыми и загрузочными. А также существуют макровирусы и вирусы-сценарии.

Файловые вирусы

Наиболее распространенный класс вирусов. Такие вирусы работают в среде какой-либо операционной системы. Причем, если вы слышали, что вирусам подвержена только операционная система Windows — не верьте, это просто мистификация. Хотя то, что для операционной системы Windows создано наибольшее количество вирусов — правда. Но это лишь потому, что данная операционная система самая распространенная. Если бы самой распространенной системой была, скажем, Linux, то вирусы облюбовали бы именно ее. А так, для этой системы создано не очень много вирусов. Но, тем не менее, они есть. Как пример:

• в феврале 1997 года появился первый вирус для операционной системы Linux — вирус Bliss;
• в мае 2004 года появился вирус Rugrat — первый вирус, заражающий файлы 64-битной версии операционной системы Windows;
• в июне 2004 года появился вирус-червь Cabir, вошедший в историю как первый вирус для смартфонов под управлением операционной системы Symbian;
• в июле 2004 года нанесен удар по пользователям коммуникаторов — вирус Duts, первый компьютерный вирус для операционной системы Windows Mobile;
• январь 2008 года — первый вирус для мобильного телефона iPhone (вирус 113 prep). Примечательно, что он был написан 11 летним школьником.

Итак, файловые вирусы, это вирусы, размножающиеся в файловой системе какой-либо операционной системы. Для этого они создают свои копии, и сохраняют их на диске либо в виде отдельных файлов, либо заражая другие файлы.

Вы не знаете, что значит «заражать» файлы? Это очень просто. Как правило, вирусы не создают свою копию в виде отдельного файла. Ведь в таком случае любой антивирус, да и любой пользователь, сможет заподозрить неладное — вечером было 5 файлов, а утром их уже 5555, причем одинаковых, согласитесь, странная ситуация. Практически любой вирус способен создавать свою копию внутри других файлов. При этом если вы попытаетесь запустить такой «зараженный» файл, тогда сначала будет запущен вирус, а потом вирус запустит оригинальный файл.

Некоторые вирусы запускаются не сразу при запуске зараженного файла, а при наступлении какого-то определенного события в работе зараженной программы. Например, при выводе диалогового окна с сообщением о конкретной ошибке, или при открытии какого-то меню. Вирусы, способные заражать файлы таким образом, называются EPO-вирусами.

Существует несколько способов заражения файла: внедрение вируса в начало файла (код программы сдвигается вниз), внедрение в конец файла, внедрение в середину файла, и даже равномерное внедрение в пустые места по всему файлу. Однако подробно изучать способы заражения мы не будем — это может быть интересно только разработчикам антивирусных программ. Обычным же пользователям это знать ни к чему — только отвлекает от более важной информации.

Вот такие они паразиты, эти вирусы. Поэтому их так и называют — паразитические вирусы. Правда, существуют и более редкие разновидности вирусов — вирусы-компаньоны (переименовывают и скрывают оригинальный файл, а вместо него создают свою копию), а также вирусы, которые полностью заменяют своим кодом содержимое других файлов. А кроме того, есть еще одна разновидность файловых вирусов — link-вирусы.

Загрузочные вирусы

Этот тип вирусов не зависит от операционной системы, установленной на вашем компьютере. Он обитает намного глубже — в загрузочном секторе (MBR) жесткого диска, флоппи-дискет, компакт-дисков и «флэшек» (два последних вида вирусов теоретически возможны, однако пока не обнаружены).

Такие вирусы запускаются при включении компьютера — в тот момент, когда компьютер пытается определить, откуда нужно загрузить операционную систему. К счастью данный тип вирусов встречается очень редко, даже можно сказать, что они практически вымерли.

Макровирусы

Еще одна разновидность вирусов. Их основное отличие от файловых вирусов заключается в том, что в виде отдельного файла их просто не существует. Они распространяются вместе с файлом, созданным с помощью соответствующей программы. Макровирусы — это вредоносные сценарии, написанные на специальном языке, который поддерживает та или иная программа.

Макровирусы могут быть созданы для файлов любой программы, которая поддерживает свой макроязык для автоматизации рутинных действий. И возможности макровирусов зависят лишь от того, какие возможности предоставляет макроязык программы. Если макроязык программы-донора позволяет работать с файловой системой компьютера, то после заражения макровирусом мало не покажется.

Также возможности макровируса зависят от того, как именно реализован запуск сценариев в программе-доноре. В программах, в которых запуск сценария выполняется путем нажатия какой-либо кнопки, макровирус мало что сможет сделать. Ведь пользователя еще придется как-то заставить нажать на новую кнопку. А это не очень просто.

Настоящее раздолье для макровирусов в тех программах, в которых сценарии могут запускаться автоматически, при открытии документа.

Наибольшее распространение получили макровирусы, написанные для программы Microsoft Word, а также для других программ из пакета Microsoft Office. Эти программы просто созданы для макровирусов — возможности их макроязыка весьма широки, а сценарии могут запускаться автоматически во время различных действий с документом:

• при открытии документа (макросы AUTOOPEN и DOCUMENT_OPEN для Word, или AUTO_OPEN для Excel);
• при закрытии документа (макрос DOCUMENT_CLOSE для Word или BEFOREDOCUMENTCLOSE для Visio);
• при сохранении документа (макросы FILESAVEAS и FILESAVE);
• при печати документа (макрос FILEPRINT);
• и т.д.

Лишь недавно широкомасштабное наступление макровирусов для Microsoft Office было приостановлено. В последних версиях программ из этого пакета для того, чтобы сценарий (макровирус) смог автоматически выполнить свое зловредное действие, необходимо самостоятельно разрешить выполнение сценария. По умолчанию же автоматическое выполнение сценариев заблокировано.

Для полноты картины давайте посмотрим, какие же программы полюбились макровирусам:

• февраль 1998 года — первый макровирус для документов Excel (вирус Paix), заражающий формулы;
• май 1999 года — макровирус для файлов CorelDRAW, CorelPHOTO-PAINT и CorelVENTURA;
• октябрь 1999 года — первый макровирус для документов Microsoft Project;
• 2000 год — первые макровирусы (Unstable и Radiant) для документов Microsoft Visio;
• июль 2000 года — макровирус для файлов AutoCAD.

Вирусы-сценарии

Данные вирусы можно отнести к файловым вирусам, но, по прихоти судьбы, им была предоставлена честь стать отдельным классом вирусов. Вирусы-сценарии также обитают в среде файловой системы ОС, однако в отличие от файловых вирусов (которые чаще всего являются исполняемыми файлами), они являются сценариями (как правило, VBS и JS-файлы для операционной системы Windows, а также BAT и PHP).

Файлы BAT — это обычные текстовые файлы, в которых записаны команды или имена программ (каждая команда с новой строки), которые должны быть выполнены операционной системой при запуске BAT-файла. Помимо обычных команд BAT-файлы поддерживают условия, циклы, переходы. То есть, BAT-файлы имеют свой примитивный язык программирования.

Файлы PHP — это сценарии, предназначенные для запуска с помощью какого-либо веб-сервера (Apache, IIS и т.д.) либо с помощью специальной среды, которую перед этим еще нужно установить на компьютере с ОС Windows. Так что для домашних пользователей вирусы на PHP не опасны. Они могут быть опасны только для компьютера, работающего в качестве веб-сервера.

Файлы VBS и JS могут быть как явлением сугубо операционной системы Windows, так и вирусами, заражающими HTML-файлы.

В HTML-файлах можно использовать свой язык сценариев (VBScript, JavaScript), на котором также можно писать вирусы. Такие сценарии могут находиться как в самом теле HTML-файла, так и в виде отдельного файла с расширением VBS или JS. Если вы запускаете зараженный HTML-файл с помощью таких браузеров, как Mozilla Firefox или Opera, тогда действия вируса ограничены либо вообще невозможны. А вот если вы привыкли использовать браузер Internet Explorer, тогда вас могут ожидать большие беды. Так как только Internet Explorer позволяет использовать в сценариях ActiveX-объекты, а с их помощью в среде операционной системы можно сделать очень и очень много пакостей. Правда, чтобы вирус смог это сделать, вам нужно дать свое согласие. И я надеюсь, что после прочтения этой книги такие вирусы вам будут не опасны, ведь вы больше не будете соглашаться со всем, что предлагает вам непонятно откуда взятая программа или сценарий?

11 марта 2008 года антивирусная компания Trend Micro в своем блоге сообщила, что веб-сайт шведской рок-группы The Hives заражен опасной iframe-инъекцией. А на следующий день антивирусная компания Trend Micro обнаружила данную iframe-инъекцию и на своем сайте… и правильно — нечего показывать пальцем на другого.

Более опасны VBS и JS-файлы, которые являются сценариями (впервые появились в 1999 году). Дело в том, что операционные системы семейства Windows поддерживают свой язык сценариев (как макроязык, используемый макровирусами, но только не для конкретной программы, а для всей операционной системы). Такие сценарии имеют просто безграничные возможности по работе в операционной системе Windows. И никакие предупреждения при их запуске не появляются. Так что будьте очень осторожны, если неизвестный вам человек предлагает запустить сценарий, написанный на VBS или JS.

Что заражают файловые вирусы

Ни для кого не секрет, что файловые вирусы могут заражать исполняемые файлы программ: EXE и COM-файлы. Об этом знает каждый, и поэтому каждый с опаской открывает исполняемые файлы программ. Другие же файлы пользователи открывать не боятся. А между тем, они также могут стать угрозой для вашего компьютера. Ведь вирусы способы заражать не только EXE и COM-файлы. Но давайте рассмотрим возможности вирусов на примерах.

В феврале 1999 года появился первый вирус, способный заражать файлы помощи Windows (HLP-файлы).

В мае 1999 года появился первый вирус, заражающий файлы графического пакета CorelDRAW (вирус Gala или GaLaDRieL). Этот вирус был написан на языке сценариев CorelSCRIPT, и способен заражать файлы CorelDRAW, CorelPHOTO-PAINT и CorelVENTURA.

В октябре 1999 года появился вирус Freelinks, написанный на языке сценариев VBS. Данный вирус стал родоначальником уже известного нам класса вирусов — вирусов-сценариев. Он заражал VBS-файлы.

В июле 2000 года появился первый вирус, заражающий файлы пакета AutoCAD (вирус Star).

В октябре 2000 года появился вирус Fable — первый вирус, заражающий PIF-файлы. А кроме того, в это же время появился первый вирус, написанный на языке сценариев PHP — вирус Pirus.

Вирус Win32.Driller помимо EXE-файлов заражает SCR (заставки для операционной системы) и CPL-файлы (апплеты, практически все значки ПАНЕЛИ УПРАВЛЕНИЯ запускают различные апплеты).

И это не говоря о макровирусах, способных заразить любые программы из пакета Microsoft Office.

Так что в наше время нужно дважды подумать, прежде чем открывать любой файл, независимо от расширения. Единственное исключение может быть только для обычных текстовых файлов — файлов формата TXT. Благо, их заразить пока что невозможно, так как такие файлы содержат в себе просто текст, без всяких дополнительных «опасных» излишеств.

Способы проникновения на компьютер

Существует множество способов проникновения вирусов на компьютер. Но наиболее популярны следующие:

• вирус принесли на «флэшке» или другом съемном диске. При этом есть два варианта проникновения: вы вручную запускаете файл вируса, либо файл вируса запускается автоматически при открытии «флэшки» с помощью файла autorun.inf. К счастью, второй вариант заражения в операционной системе Windows Vista по умолчанию не работает. Теперь для того, чтобы файл autorun.inf выполнился, нужно вручную выбрать в диалоге АВТОЗАПУСК вариант запуска файла autorun.inf.
• вирус попал на компьютер из Интернета благодаря вашим стараниям. Например, вам посоветовали установить супер-пупер отличную программу. А она взяла, и оказалась вирусом.
• Вирус был скачан и установлен червем или троянской программой, которая ранее каким-либо образом попала на ваш компьютер.

Способы повторного запуска вируса

В жизни любого вируса (и любой другой вредоносной программы) наступает один критический момент — когда ему приходится думать над тем, как же автоматически запустить себя после перезагрузки компьютера. Конечно, можно положиться на пользователя, который запустит какую-то зараженную программу, либо самостоятельно запустит файл вируса. Но это, как говорил Остап Бендер, низкий сорт, нечистая работа.