Компьютерные вирусы

С момента возникновения персональных компьютеров начала собственный отсчет и история компьютерных вирусов. К несчастью, иногда даже довольно опытные системные администраторы, профессионалы в IT(не говоря уж об рядовых пользователях) не во всех случаях ясно представляют себе, что же это за компьютерные вирусы, а также как они попадают в компьютеры и сети. Хотя, не понимая механизма работы и распространения вирусов, нереально организовать правильную антивирусную защиту, даже имея в собственном распоряжении наилучшие антивирусные утилиты.

Краткий курс истории

Максимально общее определение компьютерного вируса следующее - распространяющийся в информационной среде программный код. Этот код может внедряться в командные и исполняемые файлы программ, размножаться через загрузочные секторы дискет либо жестких дисков, через офисные приложения, через электронную почту, веб-соединения, по иным электронным каналам.
Попав в компьютерную систему, вирь может ограничиться относительно безобидными внешними или звуковыми эффектами, однако может также вызвать потерю или искажение информации, утечку конфиденциальной и личной информации. В худшем случае система, которая поражена вирусом, может оказаться под полным контролем мошенника.

Сейчас компьютерам доверяют решение массы важных задач. Потому поломка компьютерных систем может иметь вполне драматичные последствия, доходя до человеческих жертв.

На сегодня известны несколько десятков тысяч разных вирусов. Невзирая на такое изобилие, количество типов вирусов, отличных друг от друга способом распространения и принципом действия, очень ограниченно. Существуют и комбинированные вирусы, которые возможно отнести сразу к нескольким типам. Мы поведаем о разных типах вирусов, выстроив их приблизительно по хронологии их возникновения.

Типы вирусов

Файловые вирусы

Попадая в тело файлов программ с расширением COM и EXE, файловые вирусы изменяют их так., что во время запуска управление передается не самой программе, а вирусу. Вирь может записать собственный код в конце, начале или середине файла.

После того как вирус получит управление, он может заразить иные утилиты, попасть в оперативную память ПК и т. д. Дальше вирь передает управление собственно программе, и та начинает работать обычным образом.
Кроме расширений COM и EXE файловые вирусы, как правило, заражают программные файлы иных типов - файлы MS-DOS с расширениями OVL, OVI, OVR и иные), драйверы с расширением.SYS, библиотеки .DLL, и любые другие файлы имеющие программный код. Известны файловые вирусы для разных ОС - MS-DOS, Windows, Линукс, IBM OS/2 и другие.

Загрузочные вирусы

Загрузочные вирусы начинают управлять в момент инициализации компьютера, то есть до начала загрузки операционной системы. При заражении дискеты или винчестера загрузочный вирус меняет загрузочную запись BR. Реже меняет главную загрузочную запись MBR. Начальные записи BR или MBR при этом как правило не пропадают (впрочем бывает и по-другому): вирус копирует их в 1 из свободных секторов диска.

Во время начальной загрузки компьютера BIOS читает загрузочную запись с носителя, после чего вирус начинает управлять еще до загрузки ОС. После он перемещает сам себя в конец оперативки и захватывает несколько функций BIOS. В итоге процедуры заражения компьютерный вирус загружает в оперативную память компьютера реальный загрузочный сектор и отдает ему управление. Дальше все случается, как всегда, однако вирус уже располагается в памяти и обычно управляет работой любых программ и утилит.

Комбинированные вирусы

Часто попадаются комбинированные вирусы, которые объединят свойства файловых и загрузочных вирусов. В качестве примера возможно привести широко распространенный компьютерный вирус ONEHALF. После проникновения в компьютер с системой MS-DOS, этот компьютерный вирус проникает в главную загрузочную запись. В ходе загрузки вирус постепенно шифрует секторы винчестера, начиная с наиболее конечных секторов.
Вирус ONEHALF использует разные механизмы маскировки. Он представляет собою стелс-вирус и при размножении применяет передовые алгоритмы.

Вирусы-спутники

Как видно, в MS-DOS и в Майкрософт Виндовс разных версий есть 3 типа файлов, которые юзер может запустить на исполнение. Это пакетные или командные файлы BAT, и исполняемые файлы с расширением COM и EXE.
После того как вирус-спутник заражает файл с расширением EXE или BAT, он делает в этом каталоге еще 1 файл с подобным же именем, однако с расширением COM. Вирус записывается в данный COM-файл, запускающийся до EXE-файла. При запуске утилиты первым приобретет управление вирус-спутник, который после может запустить данную программу, однако уже под собственным контролем.

Вирусы в пакетных файлах

Есть несколько компьютерных вирусов, которые могут заражать пакетные файлы с расширением BAT. Они записывают собственный двоичный код в тело файла за оператором комментария REM.

Во время запуска данный пакетный файл перемещает вирусный код в обыкновенный исполняемый файл. После файл с вирусом запускается и удаляется. Когда исполняемый файл получает управление вирус осуществляет вредоносные действия и заражает иные пакетные файлы.
Кое-какие вирусы шифруют свой код, чтоб затруднить их обнаружение. Всегда, заражая новую программу, компьютерный вирус использует для шифровки новый ключ. В итоге 2 экземпляра подобного вируса могут существенно отличаться друг от друга, могут иметь различную длину.

Для шифровки используются не только лишь различные ключи, но еще и различные процедуры шифровки. 2 экземпляра подобного вируса не имеют ни одной одинаковой последовательности кода. Компьютерные вирусы, способные целиком изменять собственный код, получили имя полиморфных.

Стелс-вирусы стремятся скрыть свое появление в компьютере. Они имеют резидентный модуль, всегда находящийся в оперативной памяти компьютера. Данный модуль захватывает обращения к дисковой подсистеме ПК. Если система или иная прога считывают файл зараженной утилиты, то вирус подставляет реальный, незараженный, файл утилиты. Для этого резидентный модуль на время удаляет вирус из зараженного файла. После завершения работы с файлом он заражается вновь.

Загрузочные стелс-вирусы действуют примерно так же. Когда какая-или прога считывает данные из загрузочного сектора, работает реальный загрузочный сектор.

Макрокомандные вирусы

Различные файлы документов Майкрософт могут содержать в себе мелкие утилиты для обработки таких документов, созданных на языке Visual Basic. Это также относится и к программе с базами данных Access, и к файлам презентаций Power Point. Подобные утилиты создаются с использованием макрокоманд, потому вирусы, которые живут в документах, именуют макрокомандными.
Макрокомандные вирусы размножаются совместно с файлами документов. Чтоб заразить компьютер подобным вирусом, довольно просто открыть документ в определенном приложении.

Макрокомандные вирусы весьма распространены, чему в большой степени способствует популярность Майкрософт Офис. Они могут изменять зараженные бумаги, оставаясь при этом незамеченными долгое время.
Вредоносные утилиты иных типов
За исключением компьютерных вирусов принято выделять также, по крайней мере, 3 вида вредоносных программ: троянские утилиты, логические бомбы и утилиты-черви. Четкого разделения между ними нету: троянские утилиты могут иметь вирусы, в вирусы могут быть внедрены логические бомбы.

Троянские утилиты

По основному назначению троянские утилиты абсолютно безобидны или иногда даже полезны. Однако когда юзер запишет программу в собственный компьютер и запустит ее, программа может незаметно исполнять вредоносные функции.
Чаще в общей сложности троянские утилиты применяются для первоначального размножения вирусов, для приобретения удаленного доступа к компьютеру посредством Интернета, кражи личных данных или их повреждения.

Логические бомбы

Логической бомбой именуется утилита или ее некоторые модули, которые при конкретных условиях совершают вредоносные действия. Логическая бомба может, к примеру, сработать по достижении конкретной даты или когда в данных возникнет или пропадет запись. Такая бомба может оказаться интегрирована в вирусы, троянские утилиты и даже в обычные утилиты.

Утилиты-черви

Утилиты-черви нацелены на исполнение определенной функции, к примеру, на попадание в систему и модификацию информации. Возможно, скажем, сделать программу-червь, которая будет искать пароли для доступа к банковской базе данных и изменяющую базу данных.
Всем известная прога-червь была создана студентом Корнельского университета Р. Моррисом. Данный червь запустили в Интернет в 1988 г. и за 5 часов сумел попасть более чем на шесть тысяч компьютеров.
Кое-какие вирусы-черви (к примеру, Code Red) живут не внутри файлов, а в памяти системы зараженного компа. Это не позволяет обнаружить их антивирусам, проверяющим файлы и оставляющими без должного внимания оперативную память ПК.

Вирусы в документах

Документы, которые хранятся в базах данных систем, например, Lotus Notes и Exchange, также могут включать вирусы, т.е., вредоносные макрокоманды. Они, как правило, активизируются при выполнении любых действий над документом (к примеру, когда юзер щелкает кнопку мышью).
Так как подобные вирусы находятся не в файлах, а в записях БД, для защиты от них нужны специализированные антивирусные утилиты.

Трудно ли сделать компьютерный вирь?

Чтоб сделать вирь, вовсе не нужно быть гением. Только написание шифрующегося полиморфного вируса доступно не любому, хотя большинство вирусов сейчас пишут посредственные программисты, видимо, не способные отыскать себе более достойное дело. Современные антивирусные утилиты без особого усилий расправляются с их "изысками".

Помимо того, возможно делать вирусы, не вникая в элементы их внутреннего кода и даже без программирования. Бывают десятки специальных программ, представляющих собою лаборатории компьютерных вирусов. Наделенные визуальным пользовательским интерфейсом , подобные утилиты позволяют мошеннику задать любые атрибуты создаваемого вируса - его тип, метод размножения и маскировки, вредоносное действие. Дальше прога автоматически генерирует зараженный файл, и распространяет его.

В итоге ежедневно возникает существенное число новых вирусов, часть из них может представлять серьезную опасность. К тому же, даже простенькие вирусы, написанные новичками или полученные автоматическими генераторами вирусов, способны вызвать потерю данных и доставить немало иных неприятностей.

Основные каналы распространения

Чтоб разработать отличную систему антивирусной защиты компьютеров и компьютерных сетей, требуется четко представлять себе, откуда может прийти опасность. Вирусы находят наиболее различные каналы распространения, при этом к старым способам всегда добавляются новые.

Традиционные способы

Как мы уже отмечали, файловые вирусы размножаются вместе с файлами программ в итоге обмена дискетами и утилитами, загрузки утилит из сетевых каталогов, с веб- или фтп-серверов.

Загрузочные вирусы проникают на компьютер, когда юзер забывает зараженную дискету в дисководе, а после перезагружает систему. Загрузочный вирус к тому же может оказаться занесен на компьютер вирусами иных типов.
Макрокомандные компьютерные вирусы распространяются таким же образом: в итоге обмена зараженными файлами компьютерных документов, такими, как файлы Word, Excel, Access.

Когда зараженный ПК подключен к локальной сети, вирус без труда может быть на дисках файл-сервера, а оттуда попасть в каталоги, доступные для записи, а далее на все иные компьютеры сети. Так зарождается вирусная эпидемия.
Системный администратор обязан помнить, что вирус имеет в сети подобные же права, что и юзер, на компьютер которого этот вирус попал. Потому он может пробраться во все сетевые каталоги, которые доступны пользователю. Если же компьютерный вирус завелся на служебной станции администратора сети, последствия будут весьма тяжелыми.

По почте

Совместно с вложенным файлом мошенник может прислать по email исполняемый модуль троянской или вирусной утилиты, вредоносный программный сценарий написанный на Visual Basic Script, зараженную или троянскую утилиту сохранения дисплея монитора, словом - каждый опасный программный код. Конечно же, email служит и каналом размножения макрокомандных компьютерных вирусов, так что вместе с сообщениями нередко отправляются офисные файлы.

Для маскировки распространители вирусов нередко пользуются тем фактом, что изначально диалоговая оболочка Майкрософт Виндовс не показывает расширения зарегистрированных файлов. В итоге файл с именем, к примеру, FILE.txt.exe, будет показан вам как FILE.txt. Если юзер попытается открыть подобный файл, будет запущена вредоносная прога. Кроме того, из-за разных ошибок, присутствующих в программном обеспечении почтовых клиентов, вложенный файл, как правило, запускается автоматически.

Для примера вредоносной утилиты, вызвавшей раньше целую эпидемию и размножающуюся по почте, возможно привести вирус-червь W32/Klez. Чтоб проникнуть на компьютер, он применял ошибку в Интернет браузере Internet Explorer с версией 5 или 5.5. Данный компьютерный вирус подставляет в место сообщения From иную запись, найденную на зараженном компьютере. Дальше он пробует деактивировать антивирусные утилиты, запущенные на компьютере. Данный вирус может распространяться по локальной сети сквозь сетевые каталоги общего доступа, копировать себя в архивы типа WinRAR. Червь W32/Klez рассылает по Интернету файлы, хранящиеся на дисках компьютера, и поэтому может создать утечку важной информации.

Сообщения электронной почты нередко приходят в виде файлов HTML, включающие в себя элементы управления ACTIVEX и иные активные данные. Из-за ошибок в почтовых службах мошенники могут воспользоваться похожими активными компонентами для введения вирусов и троянских программ на ПК пользователей.

Во время получения сообщения в формате HTML почтовик показывает его содержание в собственном окошке. Если сообщение содержит в себе вредоносные активные данные, они немедленно запускаются и делают свое грязное дело. Чаще в общей сложности подобным способом распространяются троянские утилиты и черви.

Троянские Веб-сайты

Даже в ходе простого серфинга сайтов Интернета юзеры могут "подцепить" компьютерный вирус или троян. Ошибки в браузерах чаще всего приводят к тому, что активные данные троянских веб-сайтов (элементы управления ACTIVEX вводят на компьютеры вредоносные утилиты.

Тут применяется тот же механизм, что и при получении данных электронной почты в виде HTML. Однако заражение случается незаметно: активные данные Веб-страниц могут с виду никак себя не проявлять.
Возможно, получить приглашение зайти на троянский сайт в обыкновенном электронном письме.

Новые и необычные компьютерные вирусы

По мере развития IT технологий совершенствуются и компьютерные вирусы, которые приспосабливаются к новым для себя местам обитания. Так, новейший вирус W32/Perrun, может распространяться через графические файлы изображений формата JPEG. Немедленно после запуска W32/Perrun разыскивает файлы с расширением JPG и приписывает к ним собственный код. Нужно заявить, что данный компьютерный вирус не опасен и требует для собственного распространения отдельной утилиты.

Посреди иных "достижений" создателей вирусов заслуживает внимания компьютерный вирус Palm.Phage. Он заражает приложения карманных компьютеров PALMPILOT, перезаписывая файлы таких приложений собственным кодом.

Появление подобных вирусов, как W32/Perrun и Palm.Phage, говорит о том, что в каждый миг может родиться компьютерный вирус, троян или червь нового, неизвестного раньше типа, или известного типа, однако нацеленного на новое компьютерное оснащение. Новые вирусы могут применять неизвестные или не существовавшие раньше каналы распространения, и новые технологии введения в компьютерные системы.

Чтоб исключить угрозу заражения вирусами, администратор компьютерной сети или администратор защиты от вирусов должен не только лишь разработать и ввести методики антивирусной защиты, но еще и всегда быть в курсе дела, отслеживая вести в мире компьютерных вирусов.