Лекция № 9
Компьютерные вирусы
Вторым по своим масштабам бедствием после пользователей (крэкеров) являются вирусы. Однако ущерб, наносимый вирусами, будет зависеть от предпринятых вами мер предосторожности.
Точно так же, как страдали от эпидемий древние египтяне (что хорошо известно каждому, кто читал Библию), так страдают от них и компьютерные системы. Им приходится выдерживать нашествия вирусов, червей и даже троянских коней.
Тайны вирусов
Угрозу для вашего ПК представляет так называемый компьютерный вирус. Итак, что же такое "вирус"? С точки зрения биолога, вирус представляет собой фрагмент генетического материала, для выживания и воспроизводства которого требуется, чтобы он инфицировал какой-нибудь организм-носитель. Чтобы вирус передавался от одного организма к другому, он, как правило, содержит в себе команды, заставляющие организм-носитель производить определенные патологические действия (например, чихание или кашель), распространяющие инфекцию на другие организмы.
С точки зрения программиста, вирус представляет собой компьютерный код, который для своего распространения должен инфицировать ту или иную программу-носитель. Чтобы компьютерный вирус мог передаваться от одной программы к другой, он, как правило, заставляет программу-носитель производить определенные патологические действия, распространяющие инфекцию на другие программы. Например, вирус модифицирует программы, вставляя в них команды для других компьютеров, которые вызывают размножение этого вируса и распространение на еще большее число компьютеров.
Обычно компьютерный вирус - это программа, которая может инфицировать другие программы путем включения в них копии программы-вируса. Вирус проектируется таким образом, чтобы он мог с течением времени изменять свою форму или цель. Более того, он размножается и присоединяется либо к программе, либо к файлу; "упрятавшись" там, он кочует с одного компьютера на другой. Вирусы программируются на стирание информации с жесткого диска, удаление определенных важных файлов или предотвращение открытия сеанса работы пользователями, имеющими право на такую работу. Их характерной особенностью является размножение и присоединение к другим частям вашей системы. Разрушительный вирус может быстро распространяться в вашей системе и по сетям, инфицируя незащищенные программы и данные.
Дать исчерпывающий список вирусов не представляется возможным, поскольку новые вирусы создаются буквально каждый день. В зависимости от конкретного подхода, в мире сейчас насчитывается от 50 до 6500 различных вирусов.
Опасность, таящаяся в вирусах, возрастает пропорционально объему использования микрокомпьютеров и "подкованности" пользователей, а шумиха вокруг них вдохновляет людей на создание новых вирусов. Любой грамотный, с компьютерной точки зрения, человек, располагающий комплектом для написания вирусов, может написать такое, что это потом будет расхлебывать не одна сотня специалистов.
Сегодня самый большой риск для персональных компьютеров связан с загрузкой в систему новых программ с гибких дисков. Совершенно непреднамеренно вы можете инсталлировать программу, которая вам кажется полезной, а на деле является ничем иным как компьютерным вирусом.
Как передаются вирусы
Вирус, по определению, не может существовать сам по себе. Он должен инфицировать какую-либо выполняемую программу. Для активизации вируса вы должны загрузить, а затем выполнить инфицированную программу.
Следует, разумеется, остерегаться присоединенных файлов, которые вам присылают незнакомые люди. По крайней мере, прежде чем запускать такой файл на выполнение, его следует проверить на наличие вирусов. Не открывайте файлы, полученные от незнакомых людей!
Некоторые плохие привычки, такие как использование бесплатных и условно-бесплатных программ и игр, также повышают риск подхватить вирус. Однако можно привести и немало примеров, когда поставщики с достаточно высокой репутацией продавали коммерческие программы, содержащие вирусы (разумеется, совершенно не ведая об этом). Тем не менее, если вы будете избегать использования бесплатных и условно-бесплатных программ и игр, вы оградите себя от самого богатого источника потенциально опасных программ.
Гораздо важнее не избегать определенного типа программного обеспечения, а обращать особое внимание на все вновь приобретаемые программные продукты. Простое сканирование всех вновь приобретаемых программ на наличие в них известных вирусов может оказаться весьма эффективным средством предотвращения вирусных инфекций, особенно в сочетании с некоторыми другими стратегиями предотвращения и обнаружения вирусных инфекций (например, управлением целостностью программ).
Классы и типы вирусов
Вирусы бывают либо доброкачественные (т.е. такие, которые вызывают сбои в работе, но не приводят к серьезному ущербу), либо злокачественные (т.е. такие, которые разрушают данные или целостность системы).
Вообще говоря, имеется два основных класса вирусов. К первому классу относятся инфекторы файлов, которые присоединяются к обычным программным файлам. Эти вирусы обычно инфицируют.СОМ- и.ЕХЕ-программы, хотя некоторые из них могут инфицировать.SYS-,.OVL-,.PRG- и.MNU-файлы.
Инфекторы файлов могут быть прямого действия или резидентными. Вирус прямого действия выбирает для инфицирования одну или несколько программ, когда вы выполняете программу, содержащую этот вирус. Резидентный вирус прячется где-то в оперативной памяти, когда в впервые выполняете инфицированную программу; впоследствии, когда вы выполняете другие программы, он инициирует и эти программы. Большинство известных вирусов является резидентными.
Вторая категория - системные инфекторы или инфекторы записи начальной загрузки, которые инфицируют исполняемый код, находящийся в определенных системных областях на диске.
Наконец, ряд вирусов может инфицировать и файлы, и загрузочные сектора. Они часто называются многоцелевыми или загрузочно-файловыми вирусами. Вирусы файловой системы или кластерные вирусы модифицируют строки таблицы размещения файлов, в результате чего вирус загружается и выполняется раньше требуемой программы. Сама по себе программа не претерпевает физических изменений. Некоторые специалисты по вирусам считают эти инфекторы третьей категорией вирусов, а другие - подкатегорией инфекторов файлов.
Типичный инфектор файла копирует себя в память, когда выполняется инфицированная им программа; затем инфицируются другие программы (в момент своего выполнения).
Быстрый инфектор представляет собой вирус, который, будучи активным в памяти, инфицирует не только выполняющиеся программы, но даже и те программы, которые только открываются. Результатом этого является следующее: если такой вирус активен в памяти, то запуск сканера или программы проверки целостности может привести к инфицированию всех (или, по крайней мере, многих) программ.
Термин медленный инфектор иногда относится к вирусу, который, будучи активным в памяти, инфицирует файлы только тогда, когда вы создаете или модифицируете их. Его цель заключается в том, чтобы обмануть людей, использующих программы проверки целостности, заставляя их думать, будто модификация, на которую вызывает программа проверки целостности, является совершенно законной.
Новые поколения вирусов
Создатели компьютерных вирусов становятся все более квалифицированными и изощренными. Они разрабатывают вирусы, которые все труднее обнаружить. Например, вирус-невидимка скрывает созданные им изменения в файле или загрузочных записях с помощью изменения системных функций, используемых программами для чтения файлов или физических блоков с информационного носителя, чтобы программы, пытающиеся прочитать эти области, "видели" исходную, неинфицированную форму соответствующего файла, а не фактическую, инфицированную форму. В результате, вирусные модификации оказываются невидимыми для антивирусных программ. Для этого, однако, требуется, чтобы вирус находился в памяти, когда выполняется ваша антивирусная программа.
Кроме того, создатели вирусов разрабатывают полиморфные вирусы, которые продуцируют непохожие друг на друга (хотя и полностью работоспособные) копии самих себя, в расчете на то, что программы-сканеры не смогут обнаружить все разновидности этого вируса. Один из методов изготовления полиморфного вируса заключается в использовании различных схем шифрования, требующих разных программ дешифровки. Для надежного обнаружения вируса такого типа вирусному сканеру придется использовать несколько сигнатур (по одной для каждого возможного метода шифрования). Более сложный полиморфный вирус изменяет в этих копиях последовательность команд, чередуя их с "шумовыми командами", переставляя взаимно-независимые команды или даже используя разные последовательности команд, приводящие к одинаковому результату. Вирусный сканер, основанный на использовании сигнатур не позволяет надежно обнаруживать этот тип вируса.
Самой сложной на сегодня формой полиморфизма является вирус MtE "Mutation Engine", разработанный одним болгарским специалистом по прозвищу Dark Avenger. Этот вирус имеет форму объектного модуля.
Появление полиморфных вирусов еще больше усложнило и без того трудную и дорогостоящую задачу сканирования вирусов; добавление все новых строк поиска в простые сканеры не является адекватным ответом на появление этих вирусов.
Неисполняемые вирусы
Не всегда оказывается возможным провести четкое разграничение между исполняемыми и неисполняемыми файлами. Некоторые файлы, не являющиеся непосредственно исполняемыми, содержат код или данные, которые могут - при определенных условиях - выполняться или интерпретироваться.
В настоящее время вирусы могут инфицировать загрузочные сектора, главные загрузочные записи, СОМ-файлы, ЕХЕ-файлы, ВАТ-файлы и драйверы устройств. PostScript-файлы также могут быть носителями вируса (правда, этого нельзя сказать ни об одном из известных в данный момент вирусов).
В тоже время некоторые компьютерные вирусы являются просто плодом человеческой фантазии.
Черви
Черви похожи на вирусы. Правда, их цель заключается в простом бесконечном размножении - до захвата всей памяти компьютера или сети, т.е. до полной невозможности продолжения работы. Первое использование этого термина связано с описанием программы, которая копировала себя в сети, задействуя при этом никем не используемые ресурсы и, не принося никакого вреда пользователям.
Для понимания сущности вирусов-червей полезно почитать научно- фантастическую литературу. Джон Браннер в своей книге описывает программу-червь, действующую в сети. Он пишет: "Эта программа работает постоянно, пока существует сеть. Даже если один ее сегмент прекращает функционировать, на какой-то другой станции начинает действовать ее дублер. Происходит автоматическое деление червя, и из резервных элементов в нужном месте создается нужная структура.
Некоторые поставщики программного обеспечения пользуются технологией червя для инсталляции и модернизации сетевого программного обеспечения. Самый одиозный червь был создан Робертом Моррисом и получил название Internet Worm. Моррис, используя известные (и весьма серьезные) бреши Internet, запустил в сеть вирус, который заполонил сотни компьютеров в Internet. Не исключено, что свои идеи Моррис черпал именно из научно-фантастической литературы.
Троянские кони
Троянский конь - это программа, выполняющая какую-то недокументированную функцию, задуманную ее разработчиком, о которой даже не подозревают пользователи этой программы (а если бы знали, то наверняка не одобрили бы). Некоторые специалисты считают вирусы той или иной разновидностью троянских коней, особенно, если такой вирус может переходить на другие программы (превращая их, таким образом, также в троянских коней). Другие специалисты полагают, что вирус, который не причиняет никакого преднамеренного ущерба (например, просто размножается), не является троянским конем. Невзирая на эти тонкости, многие пользуются термином "троянский конь" для обозначения только не размножающейся "злокачественной" программы. Таким образом, совокупность троянских коней и совокупность вирусов не пересекаются друг с другом.
Троянский конь может быть просто "черным ходом" к какому-то приложению, о существовании которого вы даже не подозреваете. Примером "доброкачественного" троянского коня являются хорошо известные Easter egg (Пасхальные яйца), которые разработчики помещают в коммерческое программное обеспечение. Easter egg - это небольшие программы, активируемые нажатием некоторой секретной комбинации клавиш. Эти программы могут отображать на экране фамилию автора, выполнять клип, демонстрирующий бригаду разработчиков, или сыграть увертюру "1812-й год".
Вирус может существовать только внутри какой-то другой программы, которая затем автоматически инфицирует другие программы. Троянский конь - это программа, которая делает вид, будто выполняет что-то полезное, а на самом деле занимается вредительством. Троянские кони не инфицируют другие программы; они не путешествуют с одного компьютера на другой, поэтому встречаются значительно реже, чем вирусы. Троянские кони обычно инсталлируются на вашей системе как вполне "законные" программы. Если, например, вы позаимствуете у кого-нибудь "копию" Microsoft Word, то это может действительно быть Microsoft Word, но, кроме этого, он может делать и кое-что другое - например, сохранять скрытую копию каждого создаваемого вами документа. Троянского коня очень непросто обнаружить. Если вы хотите избежать загрузки троянского коня, приобретайте программы только у надежных поставщиков.
Другие вредные программы
Для описания электронной почты, которая саморассылается всем пользователям в момент ее прочтения, системные аналитики из IBM ввели термин бактерия. Самой известной на сегодня бактерией является Chistmas Tree (Новогодняя елка), которая распространялась до тех пор, пока IBM не прекратила деятельность своей глобальной почтовой системы. Другие предпочитают называть это явление трибблом, кроликом или письмом цепочкой.
Бомба с часовым механизмом или логическая бомба представляет собой вирус, инициирующий в определенный день и час или при наступлении определенного события (событий).
Эти программы-вредители, независимо от того, как они называются, могут нанести колоссальный ущерб, если не предпринять соответствующих мер предосторожности.