Знаете, кто всё это придумал? Нет, не Черчиль в восемнадцатом году. Всё гораздо прозаичнее. Как обычно, идею создания компьютерных вирусов вышеупомянутым "козлам" подбросил писатель-фантаст Т. Дж. Райн. В одной из своих книг, опубликованной в США в 1977 г., он описал эпидемию, за короткое время поразившую более 7000 компьютеров. Причиной эпидемии стал компьютерный вирус, который передаваясь от одного компьютера к другому, внедрялся в их операционные системы и выводил их из-под контроля человека. Тогда, в 70-х, всё это казалось именно фантастикой. Безобидной и весёлой. Но уже через 10-15 лет как компьютерные сети, так и одиночные машины, стали поражать самые настоящие вирусы, созданные не природой, а человеком.
Компьютерный вирус - это всего-навсего программа, которая может копировать себя в другие программы, чтобы продолжать размножение, выполняясь вместе с ними и, возможно, совершать некоторые побочные действия от безобидных шуток до действий, ведущих к потере информации и полной остановке работы компьютера. Это определение дается скорее на интуитивном уровне, поскольку строгого определения компьютерного вируса пока не существует. Можно выделить только три основных свойства программ-вирусов: способность к саморазмножению, скрытность и способность нести деструктивные действия. Авторами вирусов могут быть профессиональные программисты, студенты и даже дети школьного возраста. Написать работающий вирус не составляет большого труда.
Почему их надо бояться?
95% процентов всех вирусов - существа, вобщем, безобидные, которые просто размножаются на вашем диске, но и их тоже надо бояться. Ведь вы хотите иметь здоровые программы, которые не подведут вас никогда? Кроме того вам вряд ли понравится отдавать и без того драгоценное место на винчестере и в памяти совершенно ненужному балласту. Думаю, в этом вы со мной полностью согласитесь. Но кроме этих 95 процентов есть ещё 5, которые вовсе не являются безобидными "амёбами", так как совершают еще и какие-либо вредные действия: затирают файлы, шифруют диски и т.п. Убытки, понесённые человечеством из-за поведения заражённых машин с каждым годом возрастают на порядки. Так, по данным исследований International Computer Security Association (ICSA), за семь месяцев далёкого 1988г. компьютеры, принадлежащие фирмам-членам ассоциации, подверглись 300 массированным вирусным атакам, поразившим более 60 тыс. компьютерных систем, восстановление которых потребовало значительных материальных и временных затрат. А в последние три года число заражений компьютерными вирусами ежегодно удваивается и в феврале 1999 года достигло 88 случаев в месяц на каждую 1000 компьютеров по сравнению с 21 случаем за тот же период 1997 года и 32 - за тот же период 1998 года. Почти половина из 300 опрошенных компаний пострадала от инфекций с заражением 25 и более машин одним и тем же вирусом. Согласно данным исследовательской фирмы Computer Economics, на защиту информационных систем от вирусных атак в 1999 г. во всем мире было потрачено 12,1 млрд дол. Причем, в эту сумму входят только затраты на установленные антивирусные средства защиты, а не на восстановление компьютерных систем, вышедших из строя из-за вирусов. В этом году (вы наверняка слышали или читали) прогремело уже несколько эпидемий: от повторного "Чернобыля" до злополучного "ILoveU", поразившего просто неимоверное количество сетей и машин по всему миру. И это не предел - с каждым днём появляются новые и новые экземпляры, среди которых становится всё меньше безобидных шуток. И если раньше авторы вирусов писали их развлечения ради, то теперь они "воюют" с производителями антивирусных средств, производя всё более изощрённые "бактерии". Сама угроза вирусов порождает многомиллиардный рынок соответствующих продуктов. Организации, хотя бы раз подвергнувшиеся опустошительному нашествию вирусов, вряд ли впоследствии станут экономить на антивирусном ПО. Сейчас ситуация с вирусами и антивирусами напоминает гонку вооружений недавних времен. Почти каждый день появляются новые вирусы, а антивирусные компании выпускают дополнения к своим антивирусным базам данных. Этому не видно конца, но пока никто не придумал ничего лучше, чем регулярное обновление антивирусного ПО. Вот и становись после этого фантастом... Впрочем, что придумано, то придумано, теперь надо не подавшего идею ругать, а бороться с заразой. Причём бороться наиболее эффективно - предупреждая её.
Классификация вирусов.
Вирус может внедрится в файлы трех типов: командные файлы (файлы с расширением ВАТ), загружаемые драйверы (файлы с расширением SYS или BIN в том числе IO.SYS MSDOS.SYS) и выполняемые двоичные файлы (файлы с расширениями ЕХЕ, СОМ). Возможно внедрение вируса в файлы данных, но эти случаи возникают либо в результате ошибки вируса, либо при проявлении вируса своих агрессивных свойств. Конечно, возможно существование вирусов, заражающих файлы, которые содержат исходные тексты программ, библиотечные или объектные модули, но подобные способы распространения вируса слишком экзотичны.
Загрузочные (бутовые) вирусы заражают загрузочный (ВООТ) сектор флоппи-диска и ВООТ-сектор или Мaster-Boot сектор (MBR) винчестера. При инфицировании диска вирус в большинстве случаев переносит оригинальный Boot-Sector (или MBR) в какой либо другой сектор диска (например, в первый свободный). Если длина вируса больше длинны сектора, то в заражаемый сектор помещается первая часть вируса, остальные части помещаются в других секторах (например, в первых свободных). Затем вирус копирует системную информацию, хранящуюся в первоначальном загрузчике в свои коды и записывает их в загрузочный сектор (для MBR этой информацией является Disk Partition Table, для Boot-сектора дискет _ BIOS Parametr block.)
Вирусы невидимки (Stealth) представляют собой весьма совершенные программы, которые перехватывают обращения DOS к зараженным файлам или секторам и подставляют вместо себя незараженные участки информации. Такие вирусы, использующие приемы маскировки, нельзя увидеть средствами операционной системы. Например, если просмотреть зараженный файл, нажав клавишу F3 в системе Norton Commander, то на экране будет показан файл, не содержащий вируса. Это происходит потому, что вирус, активно работающий вместе с операционной системой, при открытии файла на чтение немедленно удалил свое тело из зараженного файла, а при закрытии файла заразил его опять.
Полиморфные вирусы или вирусы-"призраки". Достаточно трудно обнаруживаемые вирусы, не имеющие постоянных сигнатур (масок), т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-призрака не будут иметь ни одного совпадения.
Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Действия против вируса в заражённом компьютере.
Если AVP выдал сообщение о подозрении на заражение какого-либо объекта вирусом, то сделайте следующее:
скопируйте подозрительные файлы на дискету обычным способом, если подозрение выдано на какие-либо файлы;
скопируйте системные сектора, содержащие Boot-сектор (загрузочный сектор), Master Boot Record (главную загрузочную запись), Partition Table (таблицу разбиения диска), с помощью специальных программ (например Norton Disk Edit), если подозрение выдано на системные сектора;
каким-либо образом доставьте подозрительные объекты дистрибьютерам (дилерам), у которых Вы приобрели AVP, или непосредственно в Лабораторию Касперского.
Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение системы к объектам заражения (файлы и загрузочные сектора) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера (в прочем некоторые вирусы могут "пережить" перезагрузку). Нерезидентные вирусы не заражают оперативную память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
По особенностям алгоритма можно выделить следующие группы вирусов:
Вирусы-спутники - это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ файлов файлы-спутники, имеющие такое же имя, но с расширением СОМ. Вирус записывается в СОМ файл и никак не изменяет ЕХЕ файл. При запуске такого файла DOS первым обнаружит и выполнит СОМ файл то есть вирус, который затем запустит и ЕХЕ файл.
Вирусы-черви - вирусы, которые распространяются в компьютерной сети и, так же как и вирусы спутники, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии.
Паразитические - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу попадают все вирусы, которые не являются червями или спутниками.
Студенческие - крайне примитивные, часто не резидентные и содержащие большое число ошибок.
Стелс-вирусы (вирусы-невидимки), представляющие собой весьма совершенные программы, которые перехватывают обращения ДОС к зараженным файлам или к секторам и подставляют вместо себя не зараженные участки информации.
Вирусы-призраки (полиморфные) достаточно трудно обнаруживаемые вирусы, не имеющие постоянных сигнатур (масок), т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-призрака не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Поскольку неизвестны случаи инфицирования IBM-совместимых компьютеров сетевыми "червями", а вирусы-"спутники" имеют, как правило, очень простой алгоритм и составляют менее 0.5 процента от известных вирусов, то рассматриваются только вирусы, относящиеся к "паразитическим".