"Мой компьютер заражен..."

Сибирский Экологический Центр

Незнание болезни 
не защищает от заражения

Вы прочитали название? Не правда ли, фраза очень знакомая. Все, кто работает с компьютерами, либо сам хоть раз говорил что-нибудь подобное, либо слышал от других. Фраза одна, а вот эмоции, сопровождающие ее, могут быть очень разные. У кого-то это вызовет смех, как хорошая шутка, восторг перед хорошо написанной программой, но чаще всего это катастрофа. "Компьютерная фауна" уже сейчас очень богата и продолжает очень быстро развиваться. По результатам мониторинга, проводимого британской компанией MessageLabs, в месяц появляется около 400 новых вирусов. Конечно, большинство из них не встречается в "диком виде", и подавляющее большинство не является чем-то действительно опасным. Но в 2001 году десятка хороших вирусов вполне хватило для того, чтобы "поставить на уши" всех производителей антивирусных программ. Я уже не говорю про пострадавших, убытки просто ужасны (не знаю, как они их вычисляют, но у меня не хватает пальцев, чтобы посчитать нули в этом числе). Не стоит думать, что это все происходит где-то далеко и нас не касается. В том-то и прелесть Интернета, что для него нет границ, а скорость передачи данных так велика, что разница между 10 и 1000 км не существенна. Для вируса нет разницы между американским клерком и сибирским экологом.

Было бы не целесообразно (более того - не реально) обсуждать в данной статье конкретные вирусы. Полезнее будет изучить общие принципы размножения компьютерных вирусов, научиться распознавать их и бороться с ними. Итак, что такое компьютерный вирус? Оказывается, дать определение очень непросто, потому что признаки, присущие большинству вирусов, могут быть присущи и вполне безобидным программам. Например, если распознавать вирусы по их потенциальной опасности для целостности данных, то программу format.com , выполняющую форматирование жесткого диска в операционных системах Microsoft, придется считать вирусом и даже очень опасным. Есть только один признак, который присущ всем вирусам.

Компьютерный вирус обязательно должен уметь создавать свои дубликаты и внедрять их в вычислительные сети или файлы, или системные области компьютера. При этом дубликаты должны сохранять способность к дальнейшему распространению.

Что это значит - на примере обычного файлового вируса (про типы вирусов речь пойдет ниже). Допустим, ваш коллега передал вам какие-то документы в виде самораспаковывающегося архива documents.exe и допустим, что он заражен файловым вирусом. Когда вы запустите этот файл, вирус активируется и скопирует себя (например) во все файлы *.exe на вашем жестком диске. После этого он может выполнить какие-то разрушающие действия, а может не выполнить - это зависит от задумки его автора. Главное, что теперь любой *.exe файл на вашем компьютере является носителем вируса. Если вы решите поделиться с кем-то своими программами, то вы заодно поделитесь и вирусом. Медленно, не эффективно, но эпидемия началась.

Существует несколько критериев для классификации вирусов. В каждой, из них выделяется множество типов. Мы остановимся только на нескольких, наиболее распространенных.

Файловые вирусы - при своем распространении используют файловую систему какой-либо операционной системы (ОС). Эти вирусы могут внедряться практически во все исполняемые файлы всех популярных ОС (DOS, Windows, Linux, OS\2 ит.д). Для ОС семейства Windows это файлы exe, com, bat, sys, vxd, lib, obj . Обратите внимание, что файловые вирусы распространяются только через исполняемые файлы. Они не могут распространяться, для примера, через файлы *.txt , содержащие просто текст.

Чаще всего пользователь не замечает активизации вируса. Функциональность зараженного файла, как правило, не страдает, а крушить систему вирус не торопится. Внешне все продолжает работать как прежде, до тех пор, пока не будет удовлетворено какое-то условие. Например, вирус Jerusalem уничтожает файлы только в пятницу 13-го числа.

Макровирусы - являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). Создаваемые в таких системах файлы имеют очень сложную внутреннюю структуру. Кроме информации, введенной пользователем, они могут содержать в себе исполняемые объекты - макросы. Макровирусы для своего размножения используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Они, как и файловые вирусы, внедряются в файлы, но для активации им необходима система, которая сможет их запустить. Например, зараженный файл sample.doc может очень долго лежать на вашем компьютере и никак себя не проявлять, пока вы не откроете его с помощью Microsoft Word. Только тогда вирус будет активизирован и сможет начать свое размножение. Когда вы закроете Word, вирус прекратит свою работу до следующего запуска.

Сетевые вирусы (сетевые черви) - вирусы, которые для своего распространения активно используют возможности компьютерных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный компьютер. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Для своего распространения сетевые вирусы используют разные способы передачи данных в электронной сети. Одним из наиболее популярных способов является посылка вирусом своего тела по электронной почте в виде присоединенного файла. Когда пользователь открывает такой файл, вирус активируется, а дальше может происходить все что угодно. Например, вирус может разослать себя по всему списку адресов, хранящемуся в вашей адресной книге. Вот это уже очень эффективное распространение. Такой вирус может за считанные дни распространиться по всему миру. Также очень эффективно, как показал прошедший год, действуют сетевые черви, использующие бреши в системе безопасности различного программного обеспечения (ПО). Например, вирус Code Red.

Сетевые вирусы могут сильно увеличить нагрузку на сеть и компьютеры. Иногда настолько сильно, что они просто перестают работать. Это вред, который сетевой вирус приносит просто своим существованием. Помимо этого они могут выполнять какую-нибудь "полезную" работу. Например, послать своему автору ваш логин и пароль для подключения к Интернету.

Помимо вирусов стоит упомянуть о так называемых программах "троянцах" или "троянских конях". Они не являются вирусами в строгом понимании этого слова, так как не имеют механизма самокопирования. "Троянский конь" - это программа, замаскированная под коммерческий продукт, но выполняющая совсем не те действия, которые можно ожидать, исходя из ее названия или описания. Обычно цель "троянцев" не сломать систему, а получить доступ к какой-нибудь ценной информации на вашем компьютере или в вашей сети. Как правило, распространению таких программ способствуют сами пользователи, скачивая из сети или покупая на дисках пиратское ПО. Также распространением "троянских коней" могут заниматься сетевые вирусы.

Компьютерные вирусы не обязательно принадлежат только к какому-то одному типу. Многие сочетают в себе достоинства разных типов вирусов и от этого становятся еще опаснее. Последнее время стали часто встречаться вирусы с несколькими способами размножения.

По деструктивным возможностям вирусы можно разделить на:

Безвредные - никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

Неопасные - влияние которых ограничивается графическими, звуковыми и прочими эффектами;

Опасные - которые могут привести к серьезным сбоям в работе компьютера;

Очень опасные - заведомо способные уничтожить данные или привести систему в нерабочее состояние.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. И, конечно, многое зависит от того, какие данные испортит вирус. Был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека: в одном из госпиталей Нидерландов пациент получил летальную дозу морфия из-за того, что компьютер был заражен вирусом и выдавал неверную информацию.

Как защитить свой компьютер от всех этих напастей?

Одним из основных методов борьбы с вирусами является, как и в медицине, свое-временная профилактика. Компьютерная профилактика предполагает соблюдение некоторых правил, позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных.

Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети.

Электронная почта - самый распространенный способ передачи вирусов (чаще всего макровирусов). Пользователь зараженного макровирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, а они, в свою очередь, отправляют новые зараженные письма и т. д.

Файловые сервера - также очень распространенный способ "заболеть". Часто ими пользуются авторы вирусов для распространения своего вируса, который маскируется под новые версии какого-либо ПО (иногда под новые версии антивирусов).

Локальные сети - вирусы могут очень быстро распространиться по локальной сети, используя ресурсы общего доступа, сетевые диски и т.д. Проблема защиты локальных сетей требует для своего решения специальных навыков и поэтому в основном находится в ведении сетевых и системных администраторов.

Переносные накопители данных (дискеты, СD-ROM, переносные жесткие диски) - когда вы или кто-либо другой приносит на ваш компьютер файлы, среди них легко могут оказаться зараженные. Этот тип распространения вирусов особенно актуален для тех компьютеров, к которым открыт общий доступ (компьютеры терминальных классов, игровых клубов и т.д.). Будьте осторожны, когда приносите с таких компьютеров какие-то файлы.

Основные правила защиты

Пользуйтесь антивирусными программами. Регулярно скачивайте обновления антивирусной базы, периодически выполняйте проверку файлов на предмет заражения. При работе с Интернетом и новыми файлами держите запущенным какой-нибудь антивирусный монитор (антивирусная программа, способная на лету проверять файлы, с которыми идет работа). Если появится зараженный файл, то такой монитор поможет обнаружить вирус и остановить его распространение.

Будьте осторожны с файлами, пришедшими по электронной почте. Если вам пришел какой-то исполняемый файл или Word документ от неизвестного вам человека и в теле письма нет удовлетворительного описания содержимого файла, то это на сто процентов зараза или просто спам (ненужная или лишенная смысла информация). Удаляйте такое письмо не задумываясь. Бывает, что письмо с подозрительным файлом приходит от знакомого человека. Это тоже может быть вирус, если компьютер вашего знакомого заражен. Если вы все-таки решили открыть файл, не делайте это прямо из письма. Сохраните файл на диске, проверьте антивирусом, и если он чист, то открывайте его. Никогда не настраивайте вашу почтовую программу на автоматическое открывание файлов, прикрепленных к письмам.

Используйте программы только из надежных источников. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами. Также можно проверить программу на тестовом компьютере (не содержащем нужной информации и не подключенном к сети).

Ограничьте доступ к вашему компьютеру и к наиболее важной информации.

Периодически сохраняйте файлы, с которыми ведется работа, на внешнем носителе, т. е. делайте резервные копии (backup-копии). Затраты на копирование файлов, содержащих исходные тексты программ, базы данных, документацию, значительно меньше затрат на восстановление этих файлов при проявлении вирусом агрессивных свойств или при сбое компьютера.

Все файлы, приносимые извне, перед использованием проверяйте антивирусом.

Следите за обнаружением дыр в системах безопасности и следуйте рекомендациям по их устранению.

Проблема защиты от макровирусов

Поскольку проблема макровирусов в последнее время перекрывает все остальные проблемы, связанные с прочими вирусами, на ней следует остановиться подробнее.

В Word и Excel (начиная с версий 7.0а) есть встроенная защита от вирусов. Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но он даже не виден средствами Word и Excel.

Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от невируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает, некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее.

В заключение хочется сказать еще несколько слов о компьютерных мистификациях. К ним относятся заведомо ложные сообщения о новых, ранее неизвестных компьютерных вирусах. В таких сообщениях пользователей "информируют" о том, что в сетях Интернет появился новый вирус, распространяющийся в письмах и/или через WWW-сайты и уничтожающий всю информацию на пораженных компьютерах.

Подобные сообщения запускаются в сеть Интернет злоумышленно и в дальнейшем распространяются наивными пользователями, считающими, что этим они помогут проинформировать компьютерную общественность о грозящей ей опасности. Обычно текст таких писем написан в достаточно паническом тоне (иногда с ошибками), например:

От: <*****@****.**> 
Кому: ********@******.*****.** 
Написано: 26 апреля 2002 г. 08:10:40 
Тема: Внимание VIRUS!

Внимание, Вы в нашей Адресной книге, это означает, что, возможно, Ваш компьютер также заражен вирусом, автоматически рассылающим себя по адресам книги. Этот вирус активизируется через 14 дней после проверки вашего почтового ящика и повреждает жесткий диск!

Как удалить вирус.

1. В меню "Пуск" выбрать "Найти"->"Файлы и папки"

2. В строке поиска набрать sulfnbk.exe - это тело вируса.

Если этот файл будет обнаружен на Вашем компьютере, отошлите это сообщение по адресам вашей адресной книги.

Ни в коем случае не следует выполнять действия, описанные в таких письмах. Скорее всего это приведет к неполной работоспособности вашей системы. Также не надо пересылать подобные письма! Этим вы только засоряете Интернет никому не нужной информацией, отвлекаете и напрасно беспокоите ваших коллег, знакомых и незнакомых людей. Уничтожьте письмо - и не принимайте его во внимание. Если же вы не уверены в том, что сообщение можно отнести к категории компьютерных мистификаций, обратитесь на WWW-сервера антивирусных компаний.

Отдельно можно отметить прочие виды интернет-мусора, например, "письма счастья". Такие письма гласят, что тем пользователям, кто перешлет их дальше, будут сопутствовать удачи и победы, а тем, кто уничтожит, - болезни и поражения. Зафиксированы также попытки строить на базе Интернет финансовые пирамиды ("перешлите $5 по пяти адресам, указанным ниже") и т.д. и т.п.

Я надеюсь, что эта статья поможет вам избежать неприятностей, связанных с компьютерными вирусами. Их не стоит бояться, но немного здоровой паранойи не помешает. И помните, что Интернет не только основной источник вирусов, но и основной источник средств от вирусов. Если у вас есть вопросы, связанные с компьютерными вирусами, то наверняка вы найдете ответы по одной из ссылок.

http://www.viruslist.com/index.html - Большая вирусная библиотека. Описание вирусов, новости.

http://www.kav.ru/ - Лаборатория Касперского. Антивирусные программы, обновления баз, новости, советы.

http://www.drweb.ru/index/ - Санкт-петербургская антивирусная лаборатория И.Данилова (ООО "СалД"). Антивирусные программы, обновления баз, новости, советы.