Типы вирусов
Виды антивирусных программ
Прежде чем рассматривать программы-антивирусы, определим, какие бывают вирусы, что они представляют собой по природе. Как уже говорилось выше, КВ представляют собой кусочки компьютерного кода, которые самостоятельно "прицепляются" к другим программам. В основном выделяют четыре типа вирусов: программные, загрузочные, макровирусы и "троянцы", или "троянские кони".
Программные вирусы можно условно разбить по способу внедрения и "паразитирования" в вашей программе на следующие:
§ Вирусы, замещающие исходный программный код (overwrite), после этого зараженная программа теряет работоспособность. Из-за этого данный тип вирусов практически мертв.
§ Вирусы-спутники (companion). Методика размножения этих вирусов следующая: а) в каждом каталоге запускаемой программе с расширением .EXE создается файл с расширением .COM, содержащий код вируса. В силу особенностей операционной системы DOS, после набора имени файла она вначале ищет и запускает файлы именно с расширением .COM, в результате чего вирус получает управление первым; б) вирусы той же серии, но действующие более тонко, заменяют имя .EXE-файла на другое, например на OVL (оверлей), DAT (файл данных) и др. А сам код вируса получает имя зараженного файла, соответственно, набирая имя программы, вы собственноручно запускаете вирус. Заразив несколько программ, вирус завершает свою работу и передает управление зараженной программе.
§ Вирусы-паразиты (parasitic). Вирусы данного типа самые "хитрые" – они внедряют свой код прямо в вашу программу, причем так, что та остается "жизнеспособной". Вирус может дописаться в конец программы и переделать ее начало (header, заголовок) таким образом, что при запуске получит управление вначале он, а потом уже сама программа (если вообще получит). Или же он может "вписаться" посредине программы, "раздвинув" ее содержимое и опять-таки изменяя ее заголовок. Также вирус может записать себя в самом начале программы, а оригинальное начало переместить в конец файла. Структура файла при этом остается работоспособной.
Внимательно рассмотрев способы внедрения вирусов-паразитов, можно сделать вывод, что при этом произойдет увеличение длины файла, равное по величине длине самого вируса. Однако часто вирусы настолько "стеснительны", что усиленно маскируют свое присутствие и не желают быть "героями дня". То есть, просматривая характеристики файла в зараженной системе, таким способом вирус вы не поймаете. Просто-напросто вирус обманывает операционную систему, а та обманывает вас. Данный тип вирусов называется Stealth-вирусами ("стелс" - невидимка). Выявить такие вирусы можно лишь при загрузке с "чистой"[12] дискеты или с помощью специальных программ.
Вирусы-компаньоны можно "поймать", если вы достаточно внимательны и имеете привычку подсознательно запоминать содержимое каталогов, если конечно, файлов там немного. И если в каталоге появилось несколько одноименных файлов с расширением .EXE и .COM, то можно заподозрить наличие инфекции. Причем, если после сеанса работы с данными программами количество таких файлов увеличилось, тогда это действительно вирус. Для проверки туда можно скопировать несколько чистых .EXE –файлов, которые не создают в процессе работы других файлов со своим именем. Запуская предположительно зараженные программы, следим за "новостями". При появлении одноименных файлов с другим расширением, которых там не должно быть, можно считать наличие вируса доказанным.
Вирусы, замещающие программный код, иногда называют вирусами-убийцами. Так что если у вас неожиданно перестали работать несколько программ сразу, причем они находятся в одном каталоге, то нужно, загрузившись с "чистой" дискеты проверить эти программы путем простого просмотра содержимого. В данном случае можно воспользоваться программами Volcov Commander, Hiew, Qview или подобными, которые можно уместить на дискету вместе с операционной системой[13]. Наличие в разных программах одинаковых, чаще всего небольших участков кода, должно вызвать подозрение. Кроме того, авторы вирусов личности весьма тщеславные и не могут удержаться от включения в тело вируса пары строк о том, кто этот "шедевр" создал. Или же пишут иногда свои праздные мысли. Еще одним настораживающим признаком должно служить наличие строк вроде *.EXE, *.COM. Данные строчки весьма похожи на поиск файлов по их расширению (поиск по маске). И если в нескольких подозрительных программах присутствуют подобные одинаковые строки, тогда перед вами с большой степенью вероятности "препарирована" инфекция.
Следующий тип вирусов, весьма распространенный ранее[14], это так называемые Boot-вирусы (загрузочные). Суть их в следующем – дискета (или жесткий диск), предназначенная для загрузки (системная), имеет в самом начале диска так называемую загрузочную запись (boot record, или master boot record для жесткого диска). Данная запись при запуске компьютера отыскивается базовой системой ввода-вывода (BIOS-basic input/output system) и содержит сведения, где искать основные файлы операционной системы. Если данную запись слегка "подправить", первым получит управление вирус и тогда он имеет возможность сделать всё, что хочет. Поскольку он запущен раньше всех, то все остальные программы будут выполняться под его "надзором". При этом он может в "меру своей испорченности" либо просто заражать файлы, как на дискете, так и на жестком диске, либо производить какие-то деструктивные действия.
Отсюда вытекают требования элементарной гигиены – не надо запускать непроверенные программы с дискет. Потому что иногда для заражения самой дискеты, достаточно просто вставить ее в дисковод на зараженном компьютере, даже ничего не записывая. Если же машина чистая, то до момента запуска программ с дискеты никакая инфекция к вам "перекочевать" не может. Заражения также не будет и при простом копировании данных с "больной" дискеты и на "больную" дискету. Чтобы вирус себя проявил, нужно запустить зараженные программы либо на самой дискете, либо запустить их, переписав на свой компьютер.
Таким образом, обмен программами (и данными, см. далее) посредством дискет часто служит средством распространения инфекций. Так что – делайте выводы и будьте бдительны. Если у вас сильны подозрения на наличие загрузочных вирусов на дискете, то попытаться вылечить её можно путем полного форматирования, именно полного, а не быстрого повторного. Даже если дискета не загрузочная, при случайной попытке загрузки с неё, вирус может "ожить". Поэтому, если у вас есть дурная привычка постоянно держать дискету в дисководе, придётся от неё избавиться. Так будет лучше и для вашего ПК и для самой дискеты.
Хотя жесткий диск по своей структуре сложнее дискеты, тем не менее, загрузочная запись есть и там. А иногда даже и несколько записей. Независимо от их количества, одна из них присутствует всегда. Называется она главной загрузочной записью - ГЗЗ (или MBR, master boot record). В ней содержаться сведения о некоторых характеристиках вашего винчестера, а также записи о количестве и параметрах логических дисков. Заразив MBR, вирус может получить доступ ко всему вашему хозяйству, поэтому современные операционные системы пресекают попытки исправления этой записи (кроме MS DOS). Также данную операцию пресекает и BIOS, если там установлены соответствующие параметры. И конечно, такие попытки не оставляют без присмотра и антивирусные мониторы (см. далее). Так что, если на экране выскакивает надпись, что такая-то программа пытается сделать изменения в ГЗЗ, вам срочно нужно ответить отказом на разрешение данной операции и начать "ловлю блох" на вашем ПК. Потому что ни одна программа не имеет прав изменять данные параметры.
Но! Есть одно маленькое "но". Есть особый вид программ, так называемые менеджеры загрузки, которые очень удобны, если у вас на одном жестком диске расположены несколько операционных систем. Такие программы могут изменять параметры MBR с "благородными целями", тогда вам придется разрешить изменения главной загрузочной записи. Впрочем, начинающим пользователям настоятельно не рекомендуется экспериментировать с данными программами, иначе результат может быть весьма плачевным. И если у вас возникла нужда в менеджере загрузки, попросите сделать настройки более опытных коллег.
Теперь ознакомимся со следующим типом вирусов, а именно с макровирусами. В настоящее время данный вид "компьютерных паразитов" стал наиболее распространенным. По сведениям из некоторых источников, они (макровирусы) составляют от 70 до 80 процентов заражений из числа всех. Рассмотрим теперь, что же это за "звери" такие, эти макровирусы.
Ни для кого не секрет, что большая часть офисных программ, используемых в нашей стране, приходится на семейство программ Дядюшки Билла Гейтса породы Майкрософт Офис (Microsoft Office). Это и текстовый редактор Word, и электронные таблицы Excel, и СУБД Access, и средства электронной почты Outlook, и среда создания презентаций PowerPoint и прочие. При этом немалая часть тех, кто выучился работе с этими программами методом "научного тыка", и не подозревает, что документы, скажем Word'а, могут нести в одном файле не только текст, но и приложенную к нему программу. Как и любой современный текстовый редактор, Word позволяет создавать свои собственные наборы действий и операций, облегчающих работу с текстами. Такие наборы называются макросами. Для описания этих макросов был создан вначале язык WB – Word Basic. Далее в целях унификации и более тесной интеграции программ семейства Microsoft Office он был дописан и улучшен, и получил название VBA – Visual Basic for Application. Данный язык понимает не только редактор Word, но и все остальные программы данного семейства.
Язык получился мощным, простым и удобным. С его помощью можно сильно облегчить себе жизнь при работе с документами. Например, если у вас фирма, которая рассылает множество однотипных писем разным клиентам, можно создать пользовательскую форму, которая будет запрашивать имена клиентов и сама подставлять их в письма, избавляя вас от рутинной работы. С помощью этого же языка в табличном процессоре Excel можно писать такие программы, что будут полностью вести ваши бухгалтерские расчеты, избавив вас от необходимости установки таких программ-монстров вроде 1С:Бухгалтерии. И все это, не выходя из дружелюбной и привычной среды вашей программы.
Вместе с тем наряду с "плюсами" VBA принес и "минусы". Язык позволяет писать программы, которые обладают всеми свойствами компьютерных вирусов. То есть умеют размножаться, заражая другие документы, и умеют вредить. Впрочем, в программах семейства предусмотрена некоторая защита от данного вида КВ. При открытии документов, имеющих макросы, на экран выдается сообщение о том, что документа содержит макросы и они могут оказаться вирусами. При этом запрашивается, что делать дальше: отключить макросы, не отключать, и не открывать документ. Если вы точно знаете, что никоим образом самостоятельно не записывали макросы, и там вообще не должно их быть, не открывайте документ вообще, или же выбирайте второй режим – "отключить макросы". После этого при желании макросы можно просмотреть, нажав комбинацию клавиш Alt-F11, или же через меню Сервис – Макрос - Редактор Visual Basic. Откроется окно редактора Visual Basic, и, если вы немного понимаете в программировании, то вполне можете разобраться, что там за макрос и чего он делает. Особенно должны настораживать операции открытия других документов и вызовы функций через API Windows.
Раньше, когда на мировых просторах царила операционная система MS DOS и её аналоги, большинство текстов записывались простым ASCII-кодом, и нести кроме самого текста еще что-либо просто не могли. Соответственно считалось, что заражение даже теоретическое, текстовых файлов невозможно. Впрочем, так оно тогда и было. С появлением новых ОС генерации Windows, документы начали в себе не только текст, но и описания шрифтов, которыми следует текст печатать, описания стилей, содержать данные для совместимости с другими программами и многое другое. Далее, сейчас документы могут нести уже и программы, и некогда фантастические предположения воплотились в реальность. Не случайно, самый первый вирус, который заражал документы Word, носил имя WinWord.Concept, то есть концепция, направление. С него и пошли те самые макровирусы, коих сейчас немереное количество.
Подытоживая сказанное, нужно заметить, что при обмене документами следует соблюдать те же правила, что и при обмене программами. И еще одно – в настройках редактора Word через пункты меню Сервис – Параметры – Общие нужно обязательно поставить галочку напротив надписи "Защита от вирусов в макросах". И время от времени проверять данный параметр, потому что некоторые вирусы умудряются его отключить.
Последний тип[15] вирусов, который мы рассмотрим, называется "троянскими вирусами", "Троянами", "троянскими конями", "троянцами".
Что такое "троянский конь", наверно большинство помнят еще из курса истории средней школы. Если же не помните, повторим. При осаде города Трои осаждающая сторона преподнесла осажденным "подарок" – деревянного коня огромных размеров. После того как наивные защитники города установили коня на площади и отправились спать, "содержимое" коня перебило стражу на городских стенах и участь Трои была решена. По аналогии и был назван данный тип программ, которых вам "засылают" извне. По мере своей вредности троянец может просто подглядывать, что вы такого интересного делаете на своем компьютере, и отсылать своему создателю обо всем подробный отчет, или же, может "сровнять с землей" защитные бастионы вашей обороны.
Чаще всего трояны проникают в компьютер через сети (локальные, глобальные), или же могут попасть с пиратскими компакт-дисками. Как и обычные вирусы, троянцы могут наносить ущерб разной степени. Но в подавляющем большинстве случаев функцией трояна является получение доступа к конфиденциальной информации. То есть банальный шпионаж в чью-то пользу, нередко просто так, "на всякий случай". Наиболее часто троян подглядывает пароли доступа к различным ресурсам системы, в которой вы работаете. Или же он может взять и предоставить всем доступ к тем данным на вашем ПК, которые вы сами ни в коей мере не хотели бы выставлять на всеобщее обозрение.
Сверхзадачей трояна является предоставление полного доступа к вашей системе путем получения или пароля администратора, или взлома защитных систем. И, соответственно, получения полного управления. После чего злоумышленник может сделать с вашей системой всё, что ему заблагорассудится.
Бороться с данным типом программ также помогут вам антивирусные программы и правила "компьютерной гигиены", о которых говорилось выше. В подавляющем большинстве троянцы "скооперированы" с компьютерными сетями, отсюда следует вывод: если у вас есть что скрывать, то доступ к вашей сети должен быть ограничен. Как извне, так и изнутри. Чтобы при всем желании сотрудник не мог рассказать "по секрету всему свету", даже не подозревая об этом. И вообще, уровни привилегий, для сотрудников имеющих доступ к конфиденциальной информации, и правила работы в сетях, должны быть жестко ограничены. Отсюда вытекает самый простой способ борьбы против троянских коней - "лечение кариеса путем вышибания зуба". То есть отсоединить компьютер от сети совсем