 |
Разнообразие компьютерных вирусов
|
|
|
|
Подобно комарам, компьютерные вирусы, кажется, будут досаждать нам вечно. Поэтому стоит познакомиться с ними поближе и научиться отличать настоящий вирус от неполадок в системе. Запомните одну несложную истину: с вирусами можно и нужно бороться. Большая часть литературы, посвященной антивирусному программному обеспечению, запугивает простых пользователей «десятками тысяч» компьютерных вирусов, странствующих по Internet. На самом деле их количество не превышает тысячи. Дело в том, что разработчики считают каждую модификацию одного и того же вируса новым вирусом. Благодаря этому наша тысяча разрастается до «десятков тысяч». Дополним все вышесказанное одним небольшим примером. Компьютерный; -вирус Marijuana первоначально выводил на экране слово «legalise». (В английском языке это узаконивать, легализировать.) Затем автор вируса исправил свою ошибку, и вирус начал выводить на экран слово «legalize». При этом текст вируса абсолютно не изменялся. Однако разработчики антивирусов посчитали исправленный вирус за абсолютно новый. Благодаря этому они могут смело говорить о «тысячах и тысячах» существующих вирусов.
В Web расположено несколько сайтов с прекрасной информацией о компьютерных вирусах. Одним из них является сайт Joe Wells’ WildLists, расположенный по адресу http://www.virusbtn.com/WildLists/. Бывший работник корпорации Symantec Джо Уэллс (сейчас он работает консультантом в компании IBM) включил в эти списки Все наиболее распространенные в настоящее время вирусы. Ассоциация NCSA (National Computer Security Association) использует списки Уэллса для оценки качества антивирусных программ. Чтобы удовлетворить запросам NCSA, программа должна обнаруживать все перечисленные в этом списке вирусы. Отметим, что этот список обновляется каждый месяц.
|
|
|
При разработке антивирусной стратегии компании следует помнить, что большинство вирусов не распространяется с помощью Internet. Наоборот, основными путями распространения вирусов являются продаваемое программное обеспечение, системы электронной почты в изолированных и университетских локальных сетях, а также дискеты, используемые служащими в их домашних компьютерах. Многие компании, предоставляющие пробные версии своих программ, тщательно проверяют копии на наличие вирусов. Мне редко приходилось встречаться со случаями заражения компьютеров через загруженные пробные версии программ или другое профессиональное программное обеспечение. С другой стороны, известны сотни случаев, когда продавцы-посредники поставляли своим клиентам зараженные диски. Если учесть все типы программ, которые могут быть заражены вирусами, то количество пострадавших таким образом покупателей составляет сотни тысяч. Кроме того, существует опасность заражения машины через программное обеспечение, поставляемое вашим местным продавцом ПО. Такие продавцы обычно не проверяют дискеты на наличие вирусов. Вся их работа заключается в перемещении дискет основного поставщика в свои фирменные упаковки. Если же кто-то уже использовал эти дискеты на зараженном компьютере, то с большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы избежать подобных проблем, многие компании (включая и Microsoft) начали запаковывать отдельные дискеты и только затем помещать их в коробки.
Хозяева сайтов, электронных досок объявлений, а также авторы программного обеспечения не желают потерять свое место под солнцем из-за каких-то вирусов. Поэтому любой разработчик Web-сайта (Web-master), желающий и дальше иметь прибыль от своей работы, должен тщательно проверять каждый файл на наличие троянских коней, стелс-вирусов и т. д. Конечно же, это ни в коей мере не освобождает вас от проверки программ, загружаемых с помощью Internet. Однако еще раз напомним, что большинство вирусов поступает через дискеты, поэтому вы должны уделять основное внимание их проверке. Стоит все же отметить, что в последнее время возросло количество вирусов, распространяемых с помощью Internet. Немалую роль в этом сыграло и открытие макровирусов.
|
|
|
Корпоративные системы электронной почты доставляют много хлопот системным администраторам. Приведу следующий пример. Не так давно появился один из самых известных «мнимых» вирусов - вирус Good Times. Предполагалось, что он распространяется с помощью сообщений электронной почты. Вирусу приписывались самые невероятные способности. В частности, указывалось, что он «…разрушает центральный процессор с помощью использования бесконечного цикла n-ой степени сложности». Так как многие пользователи не понимают, как распространяются вирусы, то вирус Good Times довольно скоро стал известен во всем мире. На самом деле обычные текстовые сообщения электронной почты не могут содержать никаких вирусов. Дело в том, что текстовые сообщения относятся к файлам данных, которые не являются программами и не могут выполняться на машине. Как мы помним, вирусы могут заражать только исполняемые программы (не считая макровирусов). То же самое можно сказать практически обо всех сообщениях электронной почты. Однако у вас, наверное, уже случались такие ситуации, когда файл с данными на самом деле оказывался исполняемым файлом. Некоторые Web-броузеры и диалоговые служебные программы (вроде America Online) выполняют программы сразу после их загрузки.
Гораздо чаще пользователям приходится иметь дело с пересылкой файлов данных текстовых процессоров (например, документы Microsoft Word). Однако благодаря недавним разработкам в области текстовых процессоров эти файлы перестали быть просто файлами данных. В большинстве случаев такие файлы содержат внедренные макрокоманды, с помощью которых можно существенно ускорить работу. На самом деле макрокоманда является некоторой разновидностью программ. Благодаря этому стало возможным создание макровирусов. Макровирус -это макрокоманда, которая воспроизводит себя в каждом новом документе. Большинство современных макровирусов не представляют собой большой опасности. Однако потенциально они обладают огромными возможностями. Дело в том, что макрокоманды обладают доступом к набору операций, с помощью которых можно производить различные (в том числе и разрушительные) действия в системе. Например, с помощью макрокоманды можно удалить с жесткого диска системные файлы.
|
|
|
Примерная схема заражения пользователей сайта:
Вирус - эксплойт внедряется в браузер пользователя(находит уязвимость).
На компьютер «жертвы» (компьютер пользователя на который происходит атака) устанавливается троянская программа-загрузчик.
Троянская программа-загрузчик подгружает основное вредоносное ПО (может состоять из нескольких троянских программ разных классов).
При заражении сайта, вирус наносит серьёзнейший ущерб репутации сайта и его владельцам.
Как избежать заражения сайта:
- Существенно снизить риск заражения вирусами можно, соблюдая простые правила безопасности;
- Не передавайте пароли посторонним лицам;
- Если Вы по необходимости передали пароль постороннему лицу (например, разработчику сайта), немедленно после окончания работ измените пароль;
- Меняйте пароли на ftp и к панели управления, даже если не было признаков компрометации пароля и каждый раз в случае компрометации пароля (то есть в ситуации, когда пароль стал известен или мог стать, известен посторонним лицам, в том числе - при увольнении работника);
- Никогда не вводите пароль с чужих компьютеров, особенно - с компьютеров в Интернет-кафе и в других публичных местах доступа;
- Установите на своих компьютерах антивирусное программное обеспечение (Антивирус), регулярно обновляйте его, ограничьте число компьютеров, с которых осуществляется работа с сайтом;
- Ограничьте права доступа к файлам Вашего сайта: нормальный режим доступа к файлам - в обозначениях unix, то есть полный доступ только для владельца, всем остальным - только чтение;
|
|
|
- Установка таких прав снизит опасность заражения через уязвимости.
. Схема заражения пользователей сайта
Наилучшим методом защиты от вирусов, передаваемых с помощью электронной почты, является установка на каждом компьютере надежного антивирусного программного обеспечения. Для защиты от макровирусов вам, возможно, понадобится пересмотреть свою стратегию защиты. В частности, вы должны будете рассказать всем своим пользователям о том, что такое макровирус, и попросить их проверять все приходящие документы.
Практически у каждого создателя вирусов есть свой собственный, оригинальный метод заражения ЕХЕ-файлов. Здесь я расскажу о наиболее простом методе. Прежде всего вирус создает в памяти дополнительную область для своего размещения. После этого он прочитывает заголовок ЕХЕ-файла и переделывает его так, чтобы он содержал информацию и о месте в памяти, занимаемом вирусом. С этого момента и начинается процесс заражения программы.
Далее приводятся действия вируса, проникшего в ЕХЕ-файл:
. Вирус считывает текущий заголовок файла и сохраняет его для дальнейшего использования. В этом заголовке хранится информация о длине файла, значении контрольной суммы и т.д.
. После этого вирус определяет, какое количество памяти он должен прибавить к текущему размеру файла, чтобы разместить там свое тело.
. Вирус копирует свое тело в файл. Размер вируса и внесенных им изменений в заголовок файла составляют сигнатуру вируса.
. Вирус снова записывает информацию заголовка в программу. Теперь заголовок содержит информацию о месте, занимаемом вирусом.
. Вирус сохраняет измененную программу на диске,
Описанный выше тип вирусов называется вирусом-паразитом. Вирус-паразит добавляет свое тело к программе и после этого продолжает свою жизнь наравне с программой. Если же вы удалите инфицированный файл, то вместе с ним исчезнет и вирус. Кроме вирусов-паразитов существуют так называемые загрузочные вирусы, размещающие свое тело в подпрограмме загрузки операционной системы. Этот тип вирусов совершенно отличен от вирусов-паразитов. Дело в том, что загрузочные вирусы паразитируют не на исполняемых программах, а на самой операционной системе.
|
|
|
