Комп'ютерні віруси та боротьба з ними
Зміст
Історія виникнення комп'ютерних вірусів
Якими бувають віруси?
Ознаки зараження комп'ютера вірусами
Що робити?
Антивірусні програми
Бібліографічний список
Історія виникнення комп'ютерних вірусів
... А почалася ця історія ні багато ні мало - років тридцять тому. Саме тоді, в кінці 60-х, коли про «персоналках» можна було прочитати лише у фантастичних романах, в кількох «великих» комп'ютерах, розташованих у великих дослідних центрах США, виявилися дуже незвичайні програми. На відміну від програм нормальних, слухняно «ходили по струнці», які виконували всі розпорядження людини, ці гуляли самі по собі, подібно киплинговской кішці. Займалися в надрах комп'ютера якимись зрозумілими лише їм справами, по ходу справи сильно сповільнюючи роботу комп'ютера. Добре хоч, що нічого при цьому не псували і розмножувалися.
Однак тривало це недовго. Вже в 70-х роках були зареєстровані перші справжні віруси, здатні до розмноження і навіть одержали власні імена: великий комп'ютер Univac 1108 «захворів» вірусом Pervading Animal, а на комп'ютерах зі славного сімейства IBМ-360/370 звив гніздо вірус Christmas tree.
До 1980-х років число активних вірусів змінювалася вже сотнями. А поява і поширення персональних комп'ютерів породило справжню епідемію - рахунок вірусів пішов на тисячі. Правда, термін «комп'ютерний вірус» з'явився тільки в 1984 році: вперше його використав у своїй доповіді на конференції з інформаційної безпеки співробітник Лехайского Університету США Ф. Коен.
Перші «персоналочние» віруси були істотами простими і невибагливими - особливо від користувачів не ховалися, «скрашували» свою руйнівну дію (видалення файлів, руйнування логічної структури диска) виведеними на екран картинками і каверзними «жартами»: «Назвіть точну висоту гори Кіліманджаро в міліметрах ! При введенні неправильного відповіді всі дані на вашому вінчестері будуть знищені !!!». Виявити такі віруси було неважко: вони «приклеювалися» до виконуваним (*. com або *. ехе) файлів, змінюючи їх оригінальні розміри, - чим і користувалися перші антивіруси, успішно виявляти нахаб.
Забавно, що перші віруси цього типу були створені в якості ... засоби боротьби з піратами: у 1985 році десятки тисяч комп'ютерів по всьому світу виявилися заражені вірусом Brain, розробленим братами-пакистанцями Алві. Як з'ясувалося, хитрі пакистанці, які володіли власним програмним бізнесом, навмисне начиняли свій товар шкідливої начинкою, яка спрацьовує тільки при встановленні на комп'ютер нелегальної копії. За десять років, що минули з моменту появи «пакистанського» вірусу, його нащадки зуміли поширитися по всьому світу. Їх небезпека полягала в тому, що такі віруси могли сховатися в абсолютно будь-якій програмі - точніше, в її головному, виконуваному файлі. Досить було одного-єдиного запуску програми, щоб вірус проник на комп'ютер і починав активно заражати всі інші файли з розширеннями com і ехе.
«Золотий вік» класичних вірусів тривав близько десяти років - сьогодні їх поголів'я різко скоротилося і, за оцінками Лабораторії Касперського, становить не більше декількох відсотків від усього вірусного поголів'я. Боротися з такими вірусами вміє будь-який сучасний антивірус, та й сама операційна система непогано захищена від їхніх атак. Деякі типи вірусів - такі як «boot-віруси», вражаючі завантажувальний сектор жорсткого диска, сьогодні практично винищені. Сьогодні науці відомо близько 50 тисяч комп'ютерних вірусів - маленьких шкідливих програмок, наступних у своєму житті тільки трьом заповідям - плоди, Ховатися і Псувати. І боротися з ними необхідно по-різному, оскільки універсального засобу, на жаль, не існує ...
Класифікувати віруси можна по-різному - за їх «біологічному виду», або - за способом розповсюдження. Зовсім не обов'язково знайомитися з представниками всіх груп у рамках цієї книги - тим більше, що в Мережі вже давно існує чудова вірусна енциклопедія, створена «Лабораторією Касперського» (http://www.viruslist.com/ index. Html).
Якими бувають віруси?
По середовищі перебування віруси ділять на завантажувальні, файлові, макровіруси і мережні.
Завантажувальні віруси проживають у завантажувальних секторах дисків. Кілька років тому це був дуже поширений вид вірусів, яким заражали комп'ютер при завантаженні операційної системи з дискети. Зараз дискетами вже мало хто користується, а зміна головному завантажувальному запису жорсткого диска вміють блокувати BIOS сучасних материнських плат.
Файлові віруси заражають виконувані файли, тобто файли з розширенням. Ехе. Саме тому хороші поштові клієнти не дають запустити виконуваний файл, прикріплений до електронного листа: у 99,9% це - вірус. Часто файлові віруси створюють так звані компаньйон-віруси. Вірус знаходить головний виконуваний файл програми, як правило має розширення. Ехе, і створює файл з таким же ім'ям, але має розширення com. Наприклад, замість головного виконавчого файлу поштового клієнта The Bat! Thebat. Exe буде створений файл thebat.com. За правилами операційної системи com-івські файли мають пріоритет при запуску, і - готово - замість поштової програми ви запустили вірус.
В останні роки великого поширення набули макровіруси. Для розширення можливостей програм MS Про ffice, і в тому числі текстового редактора Word і редактора електронних таблиць, в них закладена можливість використання так званих макросів. Макрос, грубо кажучи, це маленька програма, написана мовою Visual Basic і дозволяє автоматизувати рутинні операції в Word і Excel. Наприклад, якщо вам часто доводиться виконувати довгі, одноманітні процедури в Word і Excel, запишіть макрос, і наступного разу ця процедура буде виконана автоматично, одним натисканням кнопки. Так ось, виявилося, що мова Visual Basic цілком годиться для написання макросів-вірусів, а оскільки MS Office встановлено чи не на кожному комп'ютері, то макровіруси представляють серйозну небезпеку.
Втім, боротися з макровирусами нескладно. Наприклад в Word потрібно виставити максимальний рівень безпеки, і тоді жоден макровірус в нього проникнути не зможе. Робиться це так.
Відкрийте програму Word, відкрийте пункт меню Сервіс => Параметри => Безпека та натисніть кнопку Захист від макросів. На вкладці Рівень безпеки виберіть Висока. У цьому випадку буде дозволений запуск тільки підписаних макросів з надійних джерел, а непідписані макроси, в тому числі що містять віруси, будуть автоматично відключені.
У Excel процедура така ж, за винятком того, що кнопка на вкладці Безпека називається не Захист від макросів, а Безпека макросів.
Мережні віруси поширюються за допомогою протоколів або команд комп'ютерних мереж і електронної пошти, це в основному так звані електронні «черв'яки» виду I-Worm.
Комп'ютерні віруси зазвичай бувають розраховані на роботу в середовищі якої-небудь однієї операційної системи або декількох аналогічних операційних систем або програм. Скажімо, віруси, написані для Windows, не представляють ніякої небезпеки для операційних систем Linux.
Вірусописьменники враховують ту обставину, що переважна більшість користувачів Windows використовують для перегляду Web-сайтів Internet Explorer, а для роботи з електронною поштою - Outlook Exdivss або Outlook, і пишуть віруси з урахуванням вразливості цих програм для вірусних атак, які прийнято називати дірами в безпеці.
Значить, якщо ми хочемо помітно зменшити ризик вірусної атаки на свій комп'ютер, ми повинні відмовитися від використання Internet Explorer, Outlook Exdivss і Outlook і перейти на альтернативні і, до речі, набагато більш зручні і потужні програми, наприклад на Opera і The Bat!. Вже одне це значно знижує ризик зараження вашого комп'ютера вірусами. Якщо ж відмовитися від використання Internet Explorer, Outlook Exdivss і Outlook ви з якихось причин не можете, обов'язково встановлюйте всі оновлення безпеки для цих програм і взагалі будьте гранично уважні.
Як і справжні, біологічні, віруси, комп'ютерні віруси можуть мутувати і маскуватися під добропорядні програми.
Це так звані стелс-віруси і поліморфні віруси.
За ступеня небезпеки віруси ділять на нешкідливі, безпечні, небезпечні, дуже небезпечні і «троянські коні», або просто «троян».
Нешкідливі віруси в результаті свого поширення і дії на роботу комп'ютера ніякого впливу не роблять, крім засмічення дисків непотрібними файлами. Найчастіше це просто неграмотно написані віруси.
Безпечні віруси після зараження комп'ютера зазвичай набридають користувачеві різними графічними і звуковими ефектами. Наприклад, на екрані періодично з'являється напис «Хочу печива!» І не зникає до тих пір, поки на клавіатурі не набрати слово «печиво». Ні файли операційної системи, ні файли документів такі віруси не ушкоджують, але дістати можуть неабияк.
Небезпечні віруси можу привести до серйозних збоїв в роботі комп'ютера. Типові представники небезпечних вірусів - «інтернет-черв'яки».
Дуже небезпечні віруси влаштовані так, що після зараження комп'ютера різними способами нищать або пошкоджують файли операційної системи, програм і документів, а сумно знаменитий вірус WIN95.CIH, що отримав назву «Чорнобиль», міг навіть знищувати інформацію, записану в мікросхему BIOS материнської плати!
Особлива група вірусів - це так звані «троянські коні». або «троян». Вони ніякого видимого дії на заражений комп'ютер не надають, навпаки, вони намагаються «сховатися» якомога краще. Їх завдання - пересилати «хазяїну» інформацію, що зберігається на зараженому комп'ютері, наприклад паролі доступу, номери кредитних карт тощо.
Ознаки зараження комп'ютера вірусами
Потрібно розуміти, що, якщо ваш комп'ютер раптом почав поводитися якось дивно, це не обов'язково означає, що на ньому завівся злісний вірус. Причини можуть бути якими завгодно - від нестабільної напруги в електричній мережі і відмов жорстких дисків до ваших власних помилкових дій. Але у випадку появи таких дивацтв жорсткі диски зовсім не заважає просканувати антивірусною програмою з оновленою вірусною базою.
Отже, ось як виглядають типові симптоми вірусної атаки:
· Комп'ютер зовсім не завантажується або завантаження не завершується.
· Комп'ютер несподівано перезавантажується.
· Деякі програми раптово перестають працювати.
· На екран виводяться несподівані повідомлення або зображення.
· Комп'ютер подає незрозумілі звукові сигнали.
· Під час простою комп'ютер постійно звертається до жорсткого диску (на системному блоці постійно горить або мигає його світлодіод).
· У роботі комп'ютера відбуваються часті зависання і збої.
· Комп'ютер працює помітно повільніше звичайного.
· Мимовільно запускаються програми.
· Зависання або незвичайна поведінка інтернет-браузера, наприклад підміна одного сайту іншим, мимовільна підміна домашньої сторінки та / або пошукового сайту, неможливість закрити вікно браузера.
· Некерована робота підключених до комп'ютера пристроїв (раптове відкриття або закриття лотка CD-ROM або DVD-ROM, модем мимовільно намагається кудись додзвонитися, сам собою рухається курсор миші).
· Різко збільшується інтернет-трафік.
· Попередження Фаєрвол і антивірусного монітора про атаку.
Що робити?
Для того щоб ефективно протистояти загрозам з Інтернету, потрібно чітко собі уявляти, звідки вони виходять, або, як кажуть фахівці, визначити канали поширення загроз. Можна, звичайно, взагалі відмовитися від користування Інтернетом і жити спокійно, але ж ми з вами не відмовляємося від спілкування з протилежною статтю через те, що хтось десь ... Набагато розумніше взяти собі за правило неухильно дотримуватися кількох нескладних правил, і всі багатства Інтернету будуть належати вам.
Перший і, мабуть, найпоширеніший канал, через який проникають на комп'ютер віруси, це електронна пошта. Для того щоб не занести на комп'ютер вірус, присланий електронкою яких-небудь доброю людиною, необхідно:
1. По можливості відмовитися від програм Outlook і Outlook Exdivss, що містять надто вже багато дірок в безпеці, і перейти на більш зручний, а головне, більш захищений поштовий клієнт, наприклад The Bat!.
2. Встановити антивірусну програму, що має резидентний модуль перевірки вхідної пошти, наприклад програму DrWeb, що має модуль SpiderMail.
3. Ніколи не відкривати прикріплені до отриманих листів файли, якщо ви не впевнені, що лист прийшов від надійного адресата. Але навіть якщо ви впевнені в безневинність вкладення, все одно береженого бог береже. Спочатку збережіть цей файл на жорсткий диск, перевірте антивірусним сканером і, якщо все в порядку, відкривайте його.
4. Не залишати адреси своєї електронної пошти в загальнодоступних місцях, наприклад на форумах, в інтернет-конференціях, чатах і тому подібне. Якщо все-таки без цього ніяк не обійтися, заведіть собі окрему поштову скриньку на безкоштовному хостингу, наприклад на Mail.ru, і викладайте тільки його адресу, а інші адреси електронної пошти повідомляйте тільки вашим діловим партнерам або тим людям, з якими Ви зустрічаєтесь листуванні.
5. Взагалі, намагайтеся повідомляти в Мережі про себе як можна менше інформації, скрізь, де можна, замість справжніх імені та прізвища користуйтеся псевдонімами, ніками.
Другий канал проникнення вірусів пов'язаний з інтернет-сайтами. В деякі сайти їх господарі навмисно вбудовують віруси, і, переглядаючи такий сайт, можна занести вірус на свій комп'ютер. Найбільшу потенційну небезпеку в цьому сенсі представляють так звані сайти для дорослих, а простіше кажучи - порносайти, і сайти з «варез» - паролями і серійними номерами до платних програм, генераторами серійних номерів, програмами-зломщиками і іншим хакерським інвентарем. Взагалі кажучи, краще такі сайти не відвідувати, а вже якщо вирішили ризикнути, то не користуйтеся Internet Explorer, ні в якому разі не відключайте на своєму комп'ютері фаєрвол і резидентний антивірусний монітор, а після закінчення перегляду сумнівних сайтів обов'язково перевірте жорсткий диск свого комп'ютера програмою AdAware.
Третій канал поширення вірусів - це змінні носії інформації - дискети, флеш-накопичувачі, CD, CD-RW і DVD-диски.
Тут рецепт єдиний і дуже простий: всі носії, перед тим як ви відкриєте їх на своєму комп'ютері для читання, повинні бути перевірені антивірусною програмою.
Все і завжди. І не звертайте уваги на образи колег і приятелів, які принесли вам ці носії. Автору цієї книги доводилося знаходити віруси на дисках, які вважалися цілком безпечними і довго кочували по офісу від комп'ютера до комп'ютера.
В останні роки, щоправда, ситуація з вірусами на змінних дисках значно покращилася, і на дисках фабричного виробництва віруси вже давно не зустрічаються, але ось диски, записані в домашніх умовах або в умовах офісу, вимагають до себе максимального і пильної уваги.
Четвертий канал поширення вірусів - це локальні мережі. Якщо ви працюєте в офісі, де комп'ютери об'єднані в мережу, відповідальність за її безпеку лежить на системному адміністраторові, але от якщо ви підключені до домашньої мережі, що об'єднує комп'ютери житлового будинку, за мережевою безпекою необхідно стежити самому, бо в такій мережі повним-повнісінько нудьгуючих підлітків, які уявляють себе крутими хакерами і здатні неабияк нашкодити.
Тут ваш порятунок в правильно налаштованому межсетевом екрані.
Потрібно вміти правильно оцінювати ризики атак на ваш комп'ютер. Наприклад, якщо ви підключаєтеся до Мережі за допомогою модему, то ризик хакерської атаки на ваш комп'ютер мінімальний і цілком можна обійтися простеньким міжмережевим екраном, вбудованим в Windows XP Service Ра c до 2, але якщо у вас постійне підключення - небезпека різко зростає.
Якщо ви мало користуєтесь електронною поштою і ніде не публікуєте адреси своїх поштових скриньок, ризик отримати вірус у листі не дуже великий, але як тільки адресу e-mail стає загальнодоступною, ситуація міняється в корені.
Захист комп'ютера від атак лежить на трьох китах:
· Антивірусної програми;
· Програмі, що видаляє з вашого комп'ютера «троянських коней» та інші шпигунські програми;
· Програмі - межсетевом екрані, іноді званої фаєрвол або брандмауером.
Антивірусні програми
Всі хороші антивірусні програми (а таких небагато) влаштовані приблизно однаково і вміють робити, загалом, одне й те саме:
· Виявляти, що вірус тим чи іншим способом проник на комп'ютер.
· Якщо зараження відбулося, лікувати заражені файли, не ушкоджуючи їх, тобто як би викусивать програмний код вірусу і видаляти його.
· Не допускати руйнівних дій вірусу, що проник на комп'ютер. Наприклад, якщо вірус влаштований так, що при своїй активізації він форматує диск, антивірусна програма повинна блокувати таку дію.
Оскільки перед всіма антивірусними програмами стоять одні й ті ж завдання, то і влаштовані (на погляд користувача) антивірусні програми приблизно однаково, відрізняючись в основному фірмовими алгоритмами розпізнавання вірусів.
Розпізнавання вірусів здійснюється двома способами.
Антивірусна програма має так звану антивірусну базу, в якій містяться відомості про відомих віруси. Пошук вірусів полягає в тому, що в кожному перевіряється файлі програма шукає відомі їй віруси. Саме тому недостатньо встановити антивірусну програму, її потрібно періодично оновлювати, і чим частіше, тим краще. Багато антивірусні програми вміють автоматично оновлювати свої антивірусні бази через Інтернет.
Ви можете запитати: а як часто потрібно оновлювати ці бази? Відповідь проста: чим частіше, тим краще. У деяких програм антивірусні бази оновлюються кожні кілька годин, інші випускають оновлення рідше - раз на добу. Мабуть, правильним і необтяжливим рішенням буде щодобове оновлення антивірусних баз.
У разі вірусних епідемій, коли який-небудь особливо злісний вірус починає подорожувати з комп'ютера на комп'ютер, потрібно встановлювати оновлення відразу ж, як тільки воно з'явиться на сайті розробника антівірусніка.
Але як бути, якщо на комп'ютер просочився вірус, який антивірусна програма «не знає» - його немає в антивірусної базі? На цей випадок у антивірусної програми є так званий евристичний аналізатор. Його завдання - шукати в перевіряються файлах ділянки коду, схожі на віруси.
Складність тут полягає в тому, щоб аналізатор вмів, з одного боку, не пропускати невідомі віруси, а з іншого - не набридати користувачеві параноїдальними криками про можливу небезпеку, сахаючися кожного другого файлу. Але це вже проблема розробників програм-антивірусів, а не наша з вами.
Оскільки віруси можуть заражати далеко не всі типи файлів, антивірус і перевіряє не всі файли поспіль, а тільки потенційно небезпечні. Це називається перевірка по масці. Якщо у файлі виявлений вірус, то програма спробує його видалити. На жаль, з різних причин це виходить не завжди, і тоді заражений файл доведеться видаляти. Це може призвести до того, що перестануть працювати деякі програми або навіть сама операційна система.
У цьому випадку єдиний спосіб лікування - переустановка програмного забезпечення або відновлення його з образу диска (програма Norton Ghost).
Перевіркою файлів на віруси та їх лікуванням займається частина антивірусної програми, звана сканером. Це головна частина програми, і у випадку вибіркової установки антивіруса від неї відмовитися не можна. Сканер запускається тільки за командою користувача, і якщо він не запущений, то ніяк не впливає на роботу комп'ютера.
Друга частина антивірусної програми - це резидентний модуль, антивірусний сторож. Він стартує при запуску операційної системи і весь час знаходиться в оперативній пам'яті комп'ютера, займаючись перевіркою файлів «на льоту» і відстежуючи прояви вірусної активності. Якщо якісь дії програм здаються монітора підозрілими, він негайно їх блокує і доповідає про це користувачеві - нехай господар сам розбирається.
Третій обов'язковий компонент гарною антивірусної програми - це програма для перевірки вхідних повідомлень електронної пошти. Так само як і антивірусний сторож, цей модуль запускається разом з операційною системою і залишається активним до вимикання комп'ютера. Причому поштової сторожу все одно, який поштовий клієнт встановлений на комп'ютері.
Поштовий сторож як 'втискується між поштовим сервером і поштовим клієнтом, перехоплюючи, як царський жандарм, всю пошту і уважним чином її перевіряючи. Якщо в прикріпленому до листі файлу програма знайде вірус, ви цей лист не отримаєте, а замість нього прийде повідомлення, створене антивірусною програмою, в якому буде написано щось на кшталт: «Лист, який прийшов з такого-то адресу не доставлено, так як в ньому виявлений вірус ».
Крім вхідної пошти поштовий сторож перевіряє і вихідну. Здавалося б, навіщо? Логіка тут проста, але залізна: якщо ваш комп'ютер заражений вірусом, то цей вірус обов'язково спробує розіслати себе на інші комп'ютери, вивудивши адреси ваших кореспондентів з Адресної книги поштового клієнта. Ось тут-то поштовий сторож і дасть нахабному вірусу по лапам, не давши йому поширитися по інших комп'ютерів.
Бібліографічний список
1. А. Зубов, М. Шахов - Комп'ютер, Windows, Програми, ОЛМА-ПРЕСС, 2006 рік.
2. Віталій Леонтьєв - Новітній самовчитель роботи на комп'ютері, ОЛМА-ПРЕСС, Москва 2007 рік.
3. Віталій Леонтьєв - 1000 Кращих програм. Настільна книга користувача, ОЛМА-ПРЕСС, Москва 2005 рік.
4. Михайло Крюков - Інтернет на всі 100 pro, Ріпол класик, Москва 2007 рік.
Зміст
Історія виникнення комп'ютерних вірусів
Якими бувають віруси?
Ознаки зараження комп'ютера вірусами
Що робити?
Антивірусні програми
Бібліографічний список
Історія виникнення комп'ютерних вірусів
... А почалася ця історія ні багато ні мало - років тридцять тому. Саме тоді, в кінці 60-х, коли про «персоналках» можна було прочитати лише у фантастичних романах, в кількох «великих» комп'ютерах, розташованих у великих дослідних центрах США, виявилися дуже незвичайні програми. На відміну від програм нормальних, слухняно «ходили по струнці», які виконували всі розпорядження людини, ці гуляли самі по собі, подібно киплинговской кішці. Займалися в надрах комп'ютера якимись зрозумілими лише їм справами, по ходу справи сильно сповільнюючи роботу комп'ютера. Добре хоч, що нічого при цьому не псували і розмножувалися.
Однак тривало це недовго. Вже в 70-х роках були зареєстровані перші справжні віруси, здатні до розмноження і навіть одержали власні імена: великий комп'ютер Univac 1108 «захворів» вірусом Pervading Animal, а на комп'ютерах зі славного сімейства IBМ-360/370 звив гніздо вірус Christmas tree.
До 1980-х років число активних вірусів змінювалася вже сотнями. А поява і поширення персональних комп'ютерів породило справжню епідемію - рахунок вірусів пішов на тисячі. Правда, термін «комп'ютерний вірус» з'явився тільки в 1984 році: вперше його використав у своїй доповіді на конференції з інформаційної безпеки співробітник Лехайского Університету США Ф. Коен.
Перші «персоналочние» віруси були істотами простими і невибагливими - особливо від користувачів не ховалися, «скрашували» свою руйнівну дію (видалення файлів, руйнування логічної структури диска) виведеними на екран картинками і каверзними «жартами»: «Назвіть точну висоту гори Кіліманджаро в міліметрах ! При введенні неправильного відповіді всі дані на вашому вінчестері будуть знищені !!!». Виявити такі віруси було неважко: вони «приклеювалися» до виконуваним (*. com або *. ехе) файлів, змінюючи їх оригінальні розміри, - чим і користувалися перші антивіруси, успішно виявляти нахаб.
Забавно, що перші віруси цього типу були створені в якості ... засоби боротьби з піратами: у 1985 році десятки тисяч комп'ютерів по всьому світу виявилися заражені вірусом Brain, розробленим братами-пакистанцями Алві. Як з'ясувалося, хитрі пакистанці, які володіли власним програмним бізнесом, навмисне начиняли свій товар шкідливої начинкою, яка спрацьовує тільки при встановленні на комп'ютер нелегальної копії. За десять років, що минули з моменту появи «пакистанського» вірусу, його нащадки зуміли поширитися по всьому світу. Їх небезпека полягала в тому, що такі віруси могли сховатися в абсолютно будь-якій програмі - точніше, в її головному, виконуваному файлі. Досить було одного-єдиного запуску програми, щоб вірус проник на комп'ютер і починав активно заражати всі інші файли з розширеннями com і ехе.
«Золотий вік» класичних вірусів тривав близько десяти років - сьогодні їх поголів'я різко скоротилося і, за оцінками Лабораторії Касперського, становить не більше декількох відсотків від усього вірусного поголів'я. Боротися з такими вірусами вміє будь-який сучасний антивірус, та й сама операційна система непогано захищена від їхніх атак. Деякі типи вірусів - такі як «boot-віруси», вражаючі завантажувальний сектор жорсткого диска, сьогодні практично винищені. Сьогодні науці відомо близько 50 тисяч комп'ютерних вірусів - маленьких шкідливих програмок, наступних у своєму житті тільки трьом заповідям - плоди, Ховатися і Псувати. І боротися з ними необхідно по-різному, оскільки універсального засобу, на жаль, не існує ...
Класифікувати віруси можна по-різному - за їх «біологічному виду», або - за способом розповсюдження. Зовсім не обов'язково знайомитися з представниками всіх груп у рамках цієї книги - тим більше, що в Мережі вже давно існує чудова вірусна енциклопедія, створена «Лабораторією Касперського» (http://www.viruslist.com/ index. Html).
Якими бувають віруси?
По середовищі перебування віруси ділять на завантажувальні, файлові, макровіруси і мережні.
Завантажувальні віруси проживають у завантажувальних секторах дисків. Кілька років тому це був дуже поширений вид вірусів, яким заражали комп'ютер при завантаженні операційної системи з дискети. Зараз дискетами вже мало хто користується, а зміна головному завантажувальному запису жорсткого диска вміють блокувати BIOS сучасних материнських плат.
Файлові віруси заражають виконувані файли, тобто файли з розширенням. Ехе. Саме тому хороші поштові клієнти не дають запустити виконуваний файл, прикріплений до електронного листа: у 99,9% це - вірус. Часто файлові віруси створюють так звані компаньйон-віруси. Вірус знаходить головний виконуваний файл програми, як правило має розширення. Ехе, і створює файл з таким же ім'ям, але має розширення com. Наприклад, замість головного виконавчого файлу поштового клієнта The Bat! Thebat. Exe буде створений файл thebat.com. За правилами операційної системи com-івські файли мають пріоритет при запуску, і - готово - замість поштової програми ви запустили вірус.
В останні роки великого поширення набули макровіруси. Для розширення можливостей програм MS Про ffice, і в тому числі текстового редактора Word і редактора електронних таблиць, в них закладена можливість використання так званих макросів. Макрос, грубо кажучи, це маленька програма, написана мовою Visual Basic і дозволяє автоматизувати рутинні операції в Word і Excel. Наприклад, якщо вам часто доводиться виконувати довгі, одноманітні процедури в Word і Excel, запишіть макрос, і наступного разу ця процедура буде виконана автоматично, одним натисканням кнопки. Так ось, виявилося, що мова Visual Basic цілком годиться для написання макросів-вірусів, а оскільки MS Office встановлено чи не на кожному комп'ютері, то макровіруси представляють серйозну небезпеку.
Втім, боротися з макровирусами нескладно. Наприклад в Word потрібно виставити максимальний рівень безпеки, і тоді жоден макровірус в нього проникнути не зможе. Робиться це так.
Відкрийте програму Word, відкрийте пункт меню Сервіс => Параметри => Безпека та натисніть кнопку Захист від макросів. На вкладці Рівень безпеки виберіть Висока. У цьому випадку буде дозволений запуск тільки підписаних макросів з надійних джерел, а непідписані макроси, в тому числі що містять віруси, будуть автоматично відключені.
У Excel процедура така ж, за винятком того, що кнопка на вкладці Безпека називається не Захист від макросів, а Безпека макросів.
Мережні віруси поширюються за допомогою протоколів або команд комп'ютерних мереж і електронної пошти, це в основному так звані електронні «черв'яки» виду I-Worm.
Комп'ютерні віруси зазвичай бувають розраховані на роботу в середовищі якої-небудь однієї операційної системи або декількох аналогічних операційних систем або програм. Скажімо, віруси, написані для Windows, не представляють ніякої небезпеки для операційних систем Linux.
Вірусописьменники враховують ту обставину, що переважна більшість користувачів Windows використовують для перегляду Web-сайтів Internet Explorer, а для роботи з електронною поштою - Outlook Exdivss або Outlook, і пишуть віруси з урахуванням вразливості цих програм для вірусних атак, які прийнято називати дірами в безпеці.
Значить, якщо ми хочемо помітно зменшити ризик вірусної атаки на свій комп'ютер, ми повинні відмовитися від використання Internet Explorer, Outlook Exdivss і Outlook і перейти на альтернативні і, до речі, набагато більш зручні і потужні програми, наприклад на Opera і The Bat!. Вже одне це значно знижує ризик зараження вашого комп'ютера вірусами. Якщо ж відмовитися від використання Internet Explorer, Outlook Exdivss і Outlook ви з якихось причин не можете, обов'язково встановлюйте всі оновлення безпеки для цих програм і взагалі будьте гранично уважні.
Як і справжні, біологічні, віруси, комп'ютерні віруси можуть мутувати і маскуватися під добропорядні програми.
Це так звані стелс-віруси і поліморфні віруси.
За ступеня небезпеки віруси ділять на нешкідливі, безпечні, небезпечні, дуже небезпечні і «троянські коні», або просто «троян».
Нешкідливі віруси в результаті свого поширення і дії на роботу комп'ютера ніякого впливу не роблять, крім засмічення дисків непотрібними файлами. Найчастіше це просто неграмотно написані віруси.
Безпечні віруси після зараження комп'ютера зазвичай набридають користувачеві різними графічними і звуковими ефектами. Наприклад, на екрані періодично з'являється напис «Хочу печива!» І не зникає до тих пір, поки на клавіатурі не набрати слово «печиво». Ні файли операційної системи, ні файли документів такі віруси не ушкоджують, але дістати можуть неабияк.
Небезпечні віруси можу привести до серйозних збоїв в роботі комп'ютера. Типові представники небезпечних вірусів - «інтернет-черв'яки».
Дуже небезпечні віруси влаштовані так, що після зараження комп'ютера різними способами нищать або пошкоджують файли операційної системи, програм і документів, а сумно знаменитий вірус WIN95.CIH, що отримав назву «Чорнобиль», міг навіть знищувати інформацію, записану в мікросхему BIOS материнської плати!
Особлива група вірусів - це так звані «троянські коні». або «троян». Вони ніякого видимого дії на заражений комп'ютер не надають, навпаки, вони намагаються «сховатися» якомога краще. Їх завдання - пересилати «хазяїну» інформацію, що зберігається на зараженому комп'ютері, наприклад паролі доступу, номери кредитних карт тощо.
Ознаки зараження комп'ютера вірусами
Потрібно розуміти, що, якщо ваш комп'ютер раптом почав поводитися якось дивно, це не обов'язково означає, що на ньому завівся злісний вірус. Причини можуть бути якими завгодно - від нестабільної напруги в електричній мережі і відмов жорстких дисків до ваших власних помилкових дій. Але у випадку появи таких дивацтв жорсткі диски зовсім не заважає просканувати антивірусною програмою з оновленою вірусною базою.
Отже, ось як виглядають типові симптоми вірусної атаки:
· Комп'ютер зовсім не завантажується або завантаження не завершується.
· Комп'ютер несподівано перезавантажується.
· Деякі програми раптово перестають працювати.
· На екран виводяться несподівані повідомлення або зображення.
· Комп'ютер подає незрозумілі звукові сигнали.
· Під час простою комп'ютер постійно звертається до жорсткого диску (на системному блоці постійно горить або мигає його світлодіод).
· У роботі комп'ютера відбуваються часті зависання і збої.
· Комп'ютер працює помітно повільніше звичайного.
· Мимовільно запускаються програми.
· Зависання або незвичайна поведінка інтернет-браузера, наприклад підміна одного сайту іншим, мимовільна підміна домашньої сторінки та / або пошукового сайту, неможливість закрити вікно браузера.
· Некерована робота підключених до комп'ютера пристроїв (раптове відкриття або закриття лотка CD-ROM або DVD-ROM, модем мимовільно намагається кудись додзвонитися, сам собою рухається курсор миші).
· Різко збільшується інтернет-трафік.
· Попередження Фаєрвол і антивірусного монітора про атаку.
Що робити?
Для того щоб ефективно протистояти загрозам з Інтернету, потрібно чітко собі уявляти, звідки вони виходять, або, як кажуть фахівці, визначити канали поширення загроз. Можна, звичайно, взагалі відмовитися від користування Інтернетом і жити спокійно, але ж ми з вами не відмовляємося від спілкування з протилежною статтю через те, що хтось десь ... Набагато розумніше взяти собі за правило неухильно дотримуватися кількох нескладних правил, і всі багатства Інтернету будуть належати вам.
Перший і, мабуть, найпоширеніший канал, через який проникають на комп'ютер віруси, це електронна пошта. Для того щоб не занести на комп'ютер вірус, присланий електронкою яких-небудь доброю людиною, необхідно:
1. По можливості відмовитися від програм Outlook і Outlook Exdivss, що містять надто вже багато дірок в безпеці, і перейти на більш зручний, а головне, більш захищений поштовий клієнт, наприклад The Bat!.
2. Встановити антивірусну програму, що має резидентний модуль перевірки вхідної пошти, наприклад програму DrWeb, що має модуль SpiderMail.
3. Ніколи не відкривати прикріплені до отриманих листів файли, якщо ви не впевнені, що лист прийшов від надійного адресата. Але навіть якщо ви впевнені в безневинність вкладення, все одно береженого бог береже. Спочатку збережіть цей файл на жорсткий диск, перевірте антивірусним сканером і, якщо все в порядку, відкривайте його.
4. Не залишати адреси своєї електронної пошти в загальнодоступних місцях, наприклад на форумах, в інтернет-конференціях, чатах і тому подібне. Якщо все-таки без цього ніяк не обійтися, заведіть собі окрему поштову скриньку на безкоштовному хостингу, наприклад на Mail.ru, і викладайте тільки його адресу, а інші адреси електронної пошти повідомляйте тільки вашим діловим партнерам або тим людям, з якими Ви зустрічаєтесь листуванні.
5. Взагалі, намагайтеся повідомляти в Мережі про себе як можна менше інформації, скрізь, де можна, замість справжніх імені та прізвища користуйтеся псевдонімами, ніками.
Другий канал проникнення вірусів пов'язаний з інтернет-сайтами. В деякі сайти їх господарі навмисно вбудовують віруси, і, переглядаючи такий сайт, можна занести вірус на свій комп'ютер. Найбільшу потенційну небезпеку в цьому сенсі представляють так звані сайти для дорослих, а простіше кажучи - порносайти, і сайти з «варез» - паролями і серійними номерами до платних програм, генераторами серійних номерів, програмами-зломщиками і іншим хакерським інвентарем. Взагалі кажучи, краще такі сайти не відвідувати, а вже якщо вирішили ризикнути, то не користуйтеся Internet Explorer, ні в якому разі не відключайте на своєму комп'ютері фаєрвол і резидентний антивірусний монітор, а після закінчення перегляду сумнівних сайтів обов'язково перевірте жорсткий диск свого комп'ютера програмою AdAware.
Третій канал поширення вірусів - це змінні носії інформації - дискети, флеш-накопичувачі, CD, CD-RW і DVD-диски.
Тут рецепт єдиний і дуже простий: всі носії, перед тим як ви відкриєте їх на своєму комп'ютері для читання, повинні бути перевірені антивірусною програмою.
Все і завжди. І не звертайте уваги на образи колег і приятелів, які принесли вам ці носії. Автору цієї книги доводилося знаходити віруси на дисках, які вважалися цілком безпечними і довго кочували по офісу від комп'ютера до комп'ютера.
В останні роки, щоправда, ситуація з вірусами на змінних дисках значно покращилася, і на дисках фабричного виробництва віруси вже давно не зустрічаються, але ось диски, записані в домашніх умовах або в умовах офісу, вимагають до себе максимального і пильної уваги.
Четвертий канал поширення вірусів - це локальні мережі. Якщо ви працюєте в офісі, де комп'ютери об'єднані в мережу, відповідальність за її безпеку лежить на системному адміністраторові, але от якщо ви підключені до домашньої мережі, що об'єднує комп'ютери житлового будинку, за мережевою безпекою необхідно стежити самому, бо в такій мережі повним-повнісінько нудьгуючих підлітків, які уявляють себе крутими хакерами і здатні неабияк нашкодити.
Тут ваш порятунок в правильно налаштованому межсетевом екрані.
Потрібно вміти правильно оцінювати ризики атак на ваш комп'ютер. Наприклад, якщо ви підключаєтеся до Мережі за допомогою модему, то ризик хакерської атаки на ваш комп'ютер мінімальний і цілком можна обійтися простеньким міжмережевим екраном, вбудованим в Windows XP Service Ра c до 2, але якщо у вас постійне підключення - небезпека різко зростає.
Якщо ви мало користуєтесь електронною поштою і ніде не публікуєте адреси своїх поштових скриньок, ризик отримати вірус у листі не дуже великий, але як тільки адресу e-mail стає загальнодоступною, ситуація міняється в корені.
Захист комп'ютера від атак лежить на трьох китах:
· Антивірусної програми;
· Програмі, що видаляє з вашого комп'ютера «троянських коней» та інші шпигунські програми;
· Програмі - межсетевом екрані, іноді званої фаєрвол або брандмауером.
Антивірусні програми
Всі хороші антивірусні програми (а таких небагато) влаштовані приблизно однаково і вміють робити, загалом, одне й те саме:
· Виявляти, що вірус тим чи іншим способом проник на комп'ютер.
· Якщо зараження відбулося, лікувати заражені файли, не ушкоджуючи їх, тобто як би викусивать програмний код вірусу і видаляти його.
· Не допускати руйнівних дій вірусу, що проник на комп'ютер. Наприклад, якщо вірус влаштований так, що при своїй активізації він форматує диск, антивірусна програма повинна блокувати таку дію.
Оскільки перед всіма антивірусними програмами стоять одні й ті ж завдання, то і влаштовані (на погляд користувача) антивірусні програми приблизно однаково, відрізняючись в основному фірмовими алгоритмами розпізнавання вірусів.
Розпізнавання вірусів здійснюється двома способами.
Антивірусна програма має так звану антивірусну базу, в якій містяться відомості про відомих віруси. Пошук вірусів полягає в тому, що в кожному перевіряється файлі програма шукає відомі їй віруси. Саме тому недостатньо встановити антивірусну програму, її потрібно періодично оновлювати, і чим частіше, тим краще. Багато антивірусні програми вміють автоматично оновлювати свої антивірусні бази через Інтернет.
Ви можете запитати: а як часто потрібно оновлювати ці бази? Відповідь проста: чим частіше, тим краще. У деяких програм антивірусні бази оновлюються кожні кілька годин, інші випускають оновлення рідше - раз на добу. Мабуть, правильним і необтяжливим рішенням буде щодобове оновлення антивірусних баз.
У разі вірусних епідемій, коли який-небудь особливо злісний вірус починає подорожувати з комп'ютера на комп'ютер, потрібно встановлювати оновлення відразу ж, як тільки воно з'явиться на сайті розробника антівірусніка.
Але як бути, якщо на комп'ютер просочився вірус, який антивірусна програма «не знає» - його немає в антивірусної базі? На цей випадок у антивірусної програми є так званий евристичний аналізатор. Його завдання - шукати в перевіряються файлах ділянки коду, схожі на віруси.
Складність тут полягає в тому, щоб аналізатор вмів, з одного боку, не пропускати невідомі віруси, а з іншого - не набридати користувачеві параноїдальними криками про можливу небезпеку, сахаючися кожного другого файлу. Але це вже проблема розробників програм-антивірусів, а не наша з вами.
Оскільки віруси можуть заражати далеко не всі типи файлів, антивірус і перевіряє не всі файли поспіль, а тільки потенційно небезпечні. Це називається перевірка по масці. Якщо у файлі виявлений вірус, то програма спробує його видалити. На жаль, з різних причин це виходить не завжди, і тоді заражений файл доведеться видаляти. Це може призвести до того, що перестануть працювати деякі програми або навіть сама операційна система.
У цьому випадку єдиний спосіб лікування - переустановка програмного забезпечення або відновлення його з образу диска (програма Norton Ghost).
Перевіркою файлів на віруси та їх лікуванням займається частина антивірусної програми, звана сканером. Це головна частина програми, і у випадку вибіркової установки антивіруса від неї відмовитися не можна. Сканер запускається тільки за командою користувача, і якщо він не запущений, то ніяк не впливає на роботу комп'ютера.
Друга частина антивірусної програми - це резидентний модуль, антивірусний сторож. Він стартує при запуску операційної системи і весь час знаходиться в оперативній пам'яті комп'ютера, займаючись перевіркою файлів «на льоту» і відстежуючи прояви вірусної активності. Якщо якісь дії програм здаються монітора підозрілими, він негайно їх блокує і доповідає про це користувачеві - нехай господар сам розбирається.
Третій обов'язковий компонент гарною антивірусної програми - це програма для перевірки вхідних повідомлень електронної пошти. Так само як і антивірусний сторож, цей модуль запускається разом з операційною системою і залишається активним до вимикання комп'ютера. Причому поштової сторожу все одно, який поштовий клієнт встановлений на комп'ютері.
Поштовий сторож як 'втискується між поштовим сервером і поштовим клієнтом, перехоплюючи, як царський жандарм, всю пошту і уважним чином її перевіряючи. Якщо в прикріпленому до листі файлу програма знайде вірус, ви цей лист не отримаєте, а замість нього прийде повідомлення, створене антивірусною програмою, в якому буде написано щось на кшталт: «Лист, який прийшов з такого-то адресу не доставлено, так як в ньому виявлений вірус ».
Крім вхідної пошти поштовий сторож перевіряє і вихідну. Здавалося б, навіщо? Логіка тут проста, але залізна: якщо ваш комп'ютер заражений вірусом, то цей вірус обов'язково спробує розіслати себе на інші комп'ютери, вивудивши адреси ваших кореспондентів з Адресної книги поштового клієнта. Ось тут-то поштовий сторож і дасть нахабному вірусу по лапам, не давши йому поширитися по інших комп'ютерів.
Бібліографічний список
1. А. Зубов, М. Шахов - Комп'ютер, Windows, Програми, ОЛМА-ПРЕСС, 2006 рік.
2. Віталій Леонтьєв - Новітній самовчитель роботи на комп'ютері, ОЛМА-ПРЕСС, Москва 2007 рік.
3. Віталій Леонтьєв - 1000 Кращих програм. Настільна книга користувача, ОЛМА-ПРЕСС, Москва 2005 рік.
4. Михайло Крюков - Інтернет на всі 100 pro, Ріпол класик, Москва 2007 рік.