Немного вирологии или Вирусный Ликбез

в 7:43, , рубрики: безопасность в сети, вирусы, Вирусы (и антивирусы), информационная безопасность, метки: , ,

Вирус легко подхватить, но избавиться от него очень трудно. Это одинаково справедливо и для биологического вируса, пробравшегося к вам в горло, и для зловредного ПО, разбойничающего в вашей операционной системе. Откуда берутся компьютерные вирусы, как их перехитрить и как надежно защитить от них ваш ПК? Начнем с азов.

Что такое компьютерный вирус?

Компьютерный вирус – разновидность компьютерных программ или вредоносный код, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. Как правило, вирус небольшого размера (так легче маскироваться в системе). Раньше вирусы попадали в компьютер через зараженные дискеты, сегодня наиболее популярные пути доставки – это Интернет, локальные сети и электронная почта. Диапазон «применения» вирусов очень широк: от нехитрых шуток, таких как переворот экрана на 180 градусов, до опасных действий, приводящих к уничтожению данных иди нарушению функционирования системы как на програмном, так и на аппаратном уровнях. В большинстве случаев для начала вирусы обычно стремятся попасть на жесткие диски, а потом и в оперативную память, где уже из этого удобного «командного пункта» перехватывают управление другими запущенными приложениями или модулями операционной системы, препятствуя их нормальной работе. Особо агрессивные экземпляры приступают к методичному уничтожению отдельных файлов или даже целиком всей информации, записанной на жестком диске.

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:

 по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);

 по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);

 по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);

 по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);

 по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

Приведенная выше классификация не может считаться полной, так как прогресс не стоит на месте, появляются всё новые и новые интеллектуальные устройства и соответственно вирусы, работающие на них, например уже появились вирусы поражающие мобильные телефоны.

Откуда берутся вирусы?

Программисты — вирусописатели создают и распространяют свои творения по самым разным причинам. Одни хотят таким необычным способом подшутить над своими друзьями. Другие пишут вирусы по заданию преподавателя (в рамках курса обучения языку программирования) – и в результате оказывается зараженной вся институтская локальная сеть, а зачастую вирусы вырываются в «большой» Интернет. Непризнанные гении создания кода стремятся показать свои таланты всему миру. Однако в последнее время вирусописание превратилось в бизнес. Самые опасные вирусы создаются хакерами для разных целей: для обогащения, помощи в получении незаконного доступа к информации и даже промышленного шпионажа. Особой любовью профессиональных хакеров пользуются трояны которые, попав в систему, шпионят за компьютером ничего не подозревающего пользователя, передавая собранные данные о паролях или ПИН-кодах своим хозяевам, либо выполняют другие вредоносные действия.

Как вирусы попадают в компьютер?

Для того, чтобы начать исполнение дьявольского плана, вирусу нужно попасть в компьютер жертвы. Топ 6 самых распространенных способов заражения машины вирусом:

1. Дискеты. Самый распространённый канал заражения в 1980—1990-е годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.

2. Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, портативные цифровые плееры, а с 2000-х годов всё большую роль играют мобильные телефоны, особенно смартфоны (появились мобильные вирусы). Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В Windows 7 возможность автозапуска файлов с переносных носителей была отключена.

3. Электронная почта. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

4. Системы обмена мгновенными сообщениями. Здесь также распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.

5. Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов,ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.

6. Интернет и локальные сети (черви). Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную систему и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Как понять, что ПК заражен вирусом?

Есть ряд симптомов, типичных для заражения компьютера той или иной вирусной «инфекцией». Обращайте внимание на непривычное поведение вашего ПК:

1. На экране неожиданно появляются странные сообщения или картинки;

2. ПК вдруг начинает издавать посторонние звуки или проигрывать музыку в том момент, когда медиапроигрыватель отключен;

3. Дисковод для чтения оптических дисков начинает открываться-закрываться;

4. Самопроизвольно запускаются программы;

5. Операционная система не загружается;

6. Целиком исчезают файлы и папки;

7. Содержание файлов и папок изменяется;

8. Выполняется более частое, чем обычно, обращение к жесткому диску – индикатор записи/чтения данных мигает без остановки;

9. Интернет траффика расходуется больше, чем обычно;

10. Браузер не загружает веб-страницы, а в некоторых случаях не удается закрыть окно программы;

11. Друзья и знакомые получают от вас сообщения, которые вы не посылали – типичное поведения почтового червя, выполняющего несанкционированную рассылку самого себя по всем адресам, обнаруженным им в адресной книге.
Будьте осторожны с сообщениями, не имеющим адреса отправителя или даты отправления/получения. Не открывайте файлы, вложенные в подобные письма.

Мой компьютер заражен! Что делать?

Для начала успокойтесь и заварите себе чай/кофе. Если вы заметили, что компьютер ведет себя подозрительно, есть несколько вариантов обнаружить вирус. Начнем с самого простого.

Способ первый.

1. Отключите ПК от Интернета и локальной сети, чтобы вредоносная программа не могла распространяться дальше.

2. Сохраните важные документы на внешнем накопителе (винчестере, оптическом или флэш-диске) и пометьте носитель информации как зараженный.

3. Запустите антивирусную программу, дабы она проверила жесткие диски вашего компьютера, обнаружила и уничтожила вредителей.

4. После прохождения «курса лечения» просканируйте носитель, созданный в шаге 2, чтобы не занести вирус в систему повторно. Если избавиться от вируса не удалось, перешлите зараженный файл разработчикам антивируса. Как правило, создание «противоядия» занимает несколько часов.

Способ второй (Advanced Treatment)

Этот способ сложнее и опасней первого, но он имеет свои преимущества. Я его называю «убить голыми руками». Если у вас есть подозрение на то, что в вашем ПК поселился вирус, первым делом нужно зайти в поисковую программу самой операционной системы или же воспользоваться другим аналогичным софтом. Если с того момента как компьютер стал вести себя подозрительно вы не устанавливали никаких программ и ничего не скачивали из сети, то задача упрощается в разы. В параметрах поиска указываем какие именно файлы нужно найти, а точнее: все файлы, которые были созданы/изменены за определенный период времени (желательно за день до того как компьютер начал шалить). Запускаем поиск и после завершения начинаем анализировать список на наличие «подозрительных субъектов». Как правило, вирусы прячутся в системных папках, таких как /windows, /system32 и т.п. Реже — /program files, /documents and settings, /temp и т.п.

Рассмотрим для наглядности пример.

По завершению поиска в списке вы обнаружили совершенно незнакомый вам файл. Ищем откуда он родом— находиться в /program files/XSpider/drv/netAPIinst.exe. И тут вы вспоминаете, что вчера в процессе работы с Xspider вам пришлось установить некоторые драйвера для корректной работы приложения. Следовательно, этот файл вы можете считать доверенным и оставить бедолагу в покое. Смотрим список дальше. Приблизительно в то же время, когда компьютер стал вести себя странно был создан/изменен файл /system32/mscrystal.exe. Файл вам совершенно незнаком и вы понятия не имеете, откуда он здесь взялся. К большому счастью человечество подарило нам великолепный ресурс www.virustotal.com — сайт проверки файлов на вирусы и определения степени их опасности. Загружаем наш mscrystal.exe и смотрим результаты проверки.

В заключение к этому способу хочу дать несколько дополнительных советов по ручному удалению нежелательных гостей из системы. Очевидно, что хитрость компьютерных вирусов напрямую зависит от хитрости и гениальности их создателя, а этого у них, поверьте мне, хоть отбавляй. Поэтому нужно всегда брать в расчет даже самые незначительные мелочи, ибо одна ошибка может полностью нарушить работу системы и компьютера в целом.

1. Если даже проверка показывает, что файл возможно заражен с высокой степенью опасности — убедитесь что этот файл, который вы уже хотите удалить не системный, что можно легко сделать в интернете.

2. Вирусы не всегда существуют только в виде файлов. Вместе с ними зачастую в «вирусный комплект поставки» входят записи в системный реестр, последствия чего могут быть намного серьезней. Это нужно учитывать и не забывать при поиске заглядывать в реестр. Для работы с реестром существует множество программ, которые вы также можете найти в интернете. От вас лишь требуется определиться, какая из предложенных программ кажется вам наиболее привлекательной.

3. Немножечко о технике безопасности. Перед «выходом на ринг» всегда нужно сохранять важные данные на внешних носителях и несомненно заботиться о их безопасности. После сохранения проверьте ваш носитель на наличие вирусов с помощью антивирусного ПО. Удалите все файлы с носителя, которые вам не принадлежат (зачастую это файл autorun.inf, папки System Volume Information и Recycle. Эти папки скрытые, поэтому перед удалением включите видимость скрытых файлов.

4. Скрытыми могут быть не только системные папки, но и сами вирусы, поэтому нужно обязательно ставить галочку «показывать скрытые файлы и папки» и снимать галочку с «скрывать системные и защищенные файлы». Вы должны видеть все и вся.

5. Ни в коем случае не запускать подозрительные файлы на компьютере! Если вы случайно попадете на червя, то есть вероятность того, что он заполнит собой всю вашу систему и, несправляясь с нагрузкой, она откажет.

6. При удалении желательно работать в безопасном режиме. Тем самым вы ограничите себя от лишних файлов и перекроете вирусу кислород.

7. Вибирайте надежные антивирусы. «Бесплатно» не всегда дружит со словом «качественно». Но, без сомнений, самым лучшим антивирусом всегда считался и будет считаться пользователь, то есть вы сами. Безопасность данных и самой системы зависит только от вас и ваших действий.

Как защититься от вирусной «инфекции»?

С помощью антивирусной программы. Это программное обеспечение не только находит и удаляет вирусы, но и препятствует их проникновению на ПК. Если антивирусное ПО не установлено, пользователь может обратить внимание на деятельность вирусов слишком поздно, когда они натворят порядочно бед в системе. Если на компьютере установлено антивирусное программное обеспечение, оно запускается вместе с операционной системой и функционирует в фоновом режиме во время всего сеанса работы пользователя. Рекомендация: пользователь должен через определенные промежутки времени полностью проверять жесткие диски своего ПК с помощью антивирусного сканера (этот модуль есть во всех антивирусных программах). Кроме того, необходимо настроить «защитника» так, чтобы он выполнял проверку всех вложений в сообщениях, которые приходят по электронной почте.

Как антивирусные программы распознают вирусы?

Для этого используются три методики:

1. Выявление по сигнатуре вируса. Все вирусы имеют свой оригинальный программный код, с помощью которого их можно идентифицировать – как, например, людей по отпечаткам пальцев или по генетическому коду. Антивирусная программа сравнивает подозрительные файлы с сигнатурами известных вирусов, которые она берет из постоянно обновляемой базы данных. Этот классический метод распознавания вредоносных объектов используют практически все антивирусные программы. Недостаток данной методики заключается в том, что она позволяет обнаружить только известные вирусы. Здесь можно провести аналогию с прививкой от гриппа: в новом сезоне она теряет свою эффективность, потому что появляются новые штаммы вируса. Разработчики антивирусных программ должны как можно быстрее добавлять в базы новые сигнатуры появляющихся каждый день вирусов и вырабатывать «противоядие».

2. Эвристический метод позволяет современным антивирусным программам распознавать вредителей, не зная их сигнатуры. Такой метод позволяет обнаруживать новые вирусы на основании их поведения – причем еще до того, как они нанесут вред компьютеру. Программа, выполняющая характерные для вируса подозрительные действия, проверяется, среди прочего, на структуру и логику программирования. Особое внимание уделяется командам, которые она отдает компьютеру: например, изменить другие программные файлы, создать или откорректировать записи в системном реестре, модифицировать или удалить системные файлы.

3. Антивирусная программа помещает «подозрительные» программы в безопасную область – в так называемый «карантин». Даже если вредитель активизируется, выйти за пределы карантина он не сможет, и все данные на компьютере останутся в целости и сохранности. Вирус будет находиться в «тюрьме» до тех пор, пока антивирусная программа не дождется поступления новых сигнатур и не сможет приступить к лечению изолированных объектов.

Что еще нужно сделать для защиты от вирусов?

Антивирусная программа не гарантирует абсолютной защиты, поэтому следует предпринять дополнительные меры безопасности:

1. Установите сетевой экран (брандмауэр). Эта программа наблюдает за поступающими из Интернета и отправляемыми в него данными. В белом списке содержится перечень программ, которым доступ в Сеть разрешен. Если какое-либо приложение, не внесенное в этот список, попытается тайно установить соединение с Сетью, брандмауэр забьет тревогу. Доступ к Интернету на вашем ПК осуществляется через маршрутизатор? Это неплохо, поскольку подобные устройства оснащены аппаратными брандмауэрами, контролирующими поток поступающих из Сети данных. Однако оптимально для повышения безопасности установить программный брандмауэр.

2. Установите программу, специализирующуюся на поиске шпионов. Этот компонент входит в состав многих профессиональных решений для защиты от интернет-угроз.

3. Установите программу для обнаружения руткитов.

4. Следите за тем, чтобы базы антивирусных программ всегда были в актуальном состоянии. Операционная система Windows, веб-браузеры и прикладные программы должны регулярно обновляться с целью ликвидации лазеек, через которые может проникнуть вредоносное ПО. Самый лучший способ – использование функции автоматического обновления, которой оснащены практически все современные программы – ее обязательно следует активировать. В Windows этот компонент так и называется – «Автоматическое обновление» (запускается из Панели управления).

5. Создайте для интернет-серфинга виртуальную машину – компьютер в компьютере. Воспользуйтесь для этого бесплатной программой Virtual PC. Однако такую защиту тоже нельзя считать абсолютно надежной: существуют вредоносные программы, которые наловчились распознавать и выключать виртуальные ПК.
Но вне сомнений самый лучший способ борьбы с вирусами – думать головой. Уже много лет самым продуктивным и широким в применении, на мой взгляд, инструментом для взлома какого-либо ресурса или же для помещения вируса в машину жертвы, является так называемая социальная инженерия. Социальная инженерия — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Следует различать социальную инженерию как способ манипуляции от социальной инженерии как области социального проектирования. Метод основан на использовании слабостей человеческого фактора и считается крайне разрушительным, так как злоумышленник получает информацию, например, путем сбора данных о служащих объекта атаки, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Ключевой особенностью социальной инженерии является то, что в роли объекта атаки выбирается не машина, а ее оператор. Процесс получения информации злоумышленниками основан на различных способах психологического воздействия на человека. Никто не заразит ваш ПК вирусом, пока вы сами не разрешите злоумышленнику это сделать. Открыв вложение, перейдя в браузере по рекламной ссылке и т.д. вы каждый раз подвергаете свой компьютер опасности заражения. Как бы убедительно не выглядело рекламное объявление или установочный файл драйвера, знайте, что в каждом из них может содержаться опасный паразит, который может причинить непоправимый вред вашему железному другу.

Можно ли установить на один ПК несколько антивирусных программ?

Нет! Ни в коем случае не инсталлируйте больше одной антивирусной программы. Если запустить их одновременно, они будут мешать работе друг друга, лишая ПК всякой защиты. Возможно ложное срабатывание, когда одна антивирусная программа проверяет список сигнатур другой программы и находит там вирусы.

Под конец, пройдемся по классификации вирусных программ:

1. Backdoor (англ. – «черный ход») – вредоносная программа обходит систему защиты ПК, используя уязвимости в коде программ, установленных в вашей системе. Получив контроль над компьютером, агрессор инсталлирует вредоносные программы или совершает другие действия, для выполнения которых он изначально создавался.

2. Бот-неты – эти вирусы изменяют содержимое загрузочного сектора жесткого диска, чтобы помешать запуску операционной системы.

3. Номеронабиратели – они умеют самостоятельно дозваниваться по заданным разработчиком вируса телефонным номерам, незаметно для пользователи «накручивая» плату за международные или междугородние переговоры. Впрочем, этот вид вредоносного ПО работает, только если ваш компьютер подключается к Сети через телефонный модем, что сейчас не так популярно по сравнению с былыми временами.

4. Фишинг – это мошеннические сообщения, распространяемые через электронную почту, цель которых – вымогание денег («помогите собрать деньги на операцию больному ребенку») либо распространение клеветы.

5. Кейлогеры – это перехватчики произведенных пользователем нажатий клавиш на клавиатуре. Собранная информация – пароли или ПИН-коды для выполнения онлайновых банковских операций – пересылается владельцу вируса.

6. Макровирусы – представляют собой выполняющие запрограммированную последовательность действий макросы, которые встраиваются в документы – например, Microsoft Office. Макрос, автоматически вставляющий адреса в список рассылки, можно модифицировать таким образом, чтобы он стирал или изменял текст рассылаемого сообщения.

7. Полиморфные вирусы умеют самостоятельно изменять собственный программный код, маскируясь от обнаружения антивирусными программами.

8. Руткиты проникнув на ваш ПК, они тщательно скрывают следы своего присутствия, открывая лазейки для проникновения других вредоносных программ. Они настолько сильны, что в состоянии захватить управление всей операционной системой.

9. Червь – тип вредоносного ПО, способный самостоятельно распространяется по компьютерным сетям, прикрепляясь к сообщениям электронной почты.

10. Шпион, попав на ПК, отыскивает личные данные пользователя, например историю посещения веб-страниц, и отсылает их своему хозяину.

11. Adware – вид программного обеспечения, при использовании которого пользователю принудительно показывается реклама. Вирусом не является, так как вреда компьютеру причинить не может.

12. Трояны – эти программы стремятся убедить пользователя в том, что выполняют очень полезные и нужные функции – но на самом деле у них совершенно другие задачи. Троянские программы загружают на ПК вредоносный софт или шпионят за действиями пользователя. Трояны не могут самостоятельно распространяться, в этом их отличие от вирусов и червей.

Источники:

1) Журнал ComputerBild
2) Журнал Хакер
3) ru.wikipedia.org
4) Энциклопедия компьютерных вирусов Д. А. Козлов, А. А. Парандовский, А. К.
5) Личный опыт работы с созданием и обнаружением вирусов.

Автор: dumplock

Поделиться

* - обязательные к заполнению поля