1. главе

 

Глава 18. Компьютерные вирусы

 

1. Понятие компьютерного вируса

 

Понятие компьютерного вируса

Компьютерный вирус — это фрагмент исполняемого кода, который копирует себя в другую программу, модифицируя ее при этом.

Здесь стоит отметить, что, в первую очередь, это обычная программа, прав да, предназначенная не для удовлетворения потребностей пользователя, а наоборот, призванная уничтожить ценную информацию, испортить "досуг" различными сбоями операционной системы и программного обеспечения, нанести материальный ущерб и т. п.

Наиболее характерные черты компьютерных вирусов:

  • самостоятельное копирование из каталога в каталог или из файла в файл, что обычно называется "самовоспроизведением". Это позволяет вирусам выживать в условиях постоянной смены программного обеспечения (за раженную программу пользователь может удалить и на этом "жизнь" ви руса закончится). Тем более, что наличие копии вируса в каждой папке повышает шанс его копирования на другой компьютер;
  • маскировка под полезные программы или режим невидимости, при кото ром вы даже не подозреваете, что компьютер заражен (при нажатии ком бинации клавиш < CTRL >+< ALT >+< DEL > запущенные вирусом файлы не отображаются).

Естественно, что не все программы, которые самостоятельно копируют некоторые файлы в различные каталоги и создают видимость, что ничего не происходит, можно считать компьютерными вирусами.

Существует несколько критериев, позволяющих классифицировать компью терные вирусы, — это поддерживаемая операционная система, способ зара жения, алгоритмы работы, деструктивные возможности.

По операционным системам компьютерные вирусы можно подразделить на:

  • вирусы, работающие в среде MS - DOS , — весьма устаревшая категория вирусов, которая еще может в отдельных случаях быть опасной, напри мер для Windows 9 x или MS - DOS , но в операционных системах Windows NT они просто не могут быть запущены по вполне естествен ным причинам;
  • вирусы, работающие в среде Windows 9 x , — наиболее широко распро страненная категория вирусов, по сей день представляющая большую опасность;
  • вирусы, работающие в среде Windows NT , — наиболее "продвинутые" ви русы, т. к. некоторые особенности работы операционных систем данного семейства по своей сути сами по себе защищают компьютер от воздейст вия вирусов, например блокируется прямой доступ к управлению аппа ратными ресурсами.

По алгоритму заражения все многообразие компьютерных вирусов разделя ют на следующие категории:

  • файловые вирусы заражают программные файлы с такими расширениями, как COM , EXE , DLL , SYS , DRV , VXD . Файловые вирусы могут заражать файлы практически любой операционной системы независимо от ее версии. Отдельной категорией стоят вирусы, которые заражают документы, соз данные при помощи пакета программ Microsoft Office , это так называе мые макровирусы;
  • загрузочные вирусы, или как их еще называют boot -вирусы (бутовые), ко торые заражают загрузочные области дискет и жестких дисков, точнее ту их часть, что не используется системными файлами. Такие вирусы зара жают практически все дискеты, которые используются на зараженном компьютере.
  • Особенность загрузочных вирусов состоит в том, что они загружаются в память компьютера еще до запуска операционной системы, а значит, до запуска антивируса, что несколько затрудняет своевременное их обна ружение, особенно, если программа для "ловли вирусов" при запуске компьютера не проверяет оперативную память. Еще одним нюансом загрузочных вирусов является то, что в операционных системах типа Windows многие из них не способны к заражению других дисков;
  • загрузочно-файловые вирусы обладают возможностью заражения как раз личных файлов, так и загрузочной области дисков. При этом заражение может произойти даже при простом обращении к зараженному диску или при запуске зараженного файла;
  • сетевые вирусы — эта категория вирусов способна самостоятельно пере давать свой программный код всем компьютерам, подключенным к ло кальной сети. Часто эту категорию вирусов называют червями;
  • "троянские кони" — эта категория вирусов, как правило, никогда не за ражает файлы или загрузочную область диска, а просто прописывает себя в автозагрузку и ждет, когда же вы введете некий пароль, чтобы отправить его создателю вируса. Такие программы предназначены, в основном, для кражи ценной информации.

Способы заражения могут быть совершенно разными. Например, вирус ак тивируется при запуске операционной системы и остается в оперативной памяти до завершения работы компьютера, при этом заражаются все файлы и диски, к которым обращается система во время своей работы. Или другой вариант — после первого запуска вирус "прописывает" себя в автозагрузку и после каждой загрузки операционной системы в память компьютера копи руется программный код вируса. Вариантов может быть великое множество, поэтому все их мы рассматривать не будем.

В принципе, если в подробностях изучать разновидности компьютерных вирусов, то можно посвятить этому целую книгу, но в данном случае нас интересует в первую очередь то, как можно от них избавиться.

 

2. Понятие антивирусной программы

 

Понятие антивирусной программы

Антивирусная программа — это программа, которая предотвращает зараже ние ПК компьютерными вирусами и позволяет устранить последствия зара жения.

Вполне естественно, что раз существуют компьютерные вирусы, то сущест вуют и антивирусные программы, позволяющие эти самые вирусы удалять с компьютера, а иногда даже спасать поврежденную информацию. Чтобы предотвратить возможность "заражения" компьютера, обычно используются антивирусные программы, которые можно подразделить на два основных вида:

  • антивирусный сканер — эта категория позволяет проверять файлы и ката логи, содержащиеся на жестком диске или на любом сменном носителе, на наличие в них программного кода, характерного для того или иного компьютерного вируса (не секрет, что вирусы "прикрепляют" себя к ис полняемым файлам других программ). При этом вы можете запустить проверку в любое удобное для вас время;
  • антивирусный монитор — данная категория предназначена для постоян ного контроля всех запускаемых программ и копируемых (перемещае мых, удаляемых, открываемых) файлов. Как правило, антивирусный мо нитор запускается вместе с операционной системой и контролирует все процессы, выполняемые в оперативной памяти. В качестве дополнитель ной услуги монитор может проверять файлы на жестком диске, если на компьютере в течение определенного времени не осуществляется ника ких работ. При этом работа компьютера несколько замедляется, а то и вообще становится очень медленной. Здесь все зависит от того, какие по размеру файлы используются. Особенно замедление работы заметно на играх.

На сегодняшний день наиболее популярными являются антивирусные про граммы:

  • AVP или Антивирус Касперского, официальный сайт http :// www . kaspersky . ru /;
  • Dr . Web , созданная специалистами компании "Диалог-Наука" http :// www . dials . ru /;
  • Symantec Norton Antivirus, http://www.symantec.com/.

Каждый вирус (без исключения) имеет в своем "теле" характерный только для него программный код, который, как правило, не похож ни на одну "полезную" программу или утилиту. Именно эта часть кода содержится в специальном файле антивирусной программы, который обычно называет ся антивирусной базой.

Помимо антивирусных программ, в лечении компьютерных вирусов могут помочь такие программы, как Process Viewer , позволяющие не только уви деть абсолютно все программы, запущенные на данном компьютере, но и удалить любую программу из оперативной памяти, принудительно прервав ее выполнение. Этим самым вы можете остановить выполнение компьютер ного вируса, позволив антивирусной программе вылечить или удалить все зараженные файлы (обычно один или несколько файлов не доступны для лечения из-за того, что они используются запущенными программами).

 

3. Как происходит заражение компьютера вирусом?

 

Как происходит заражение компьютера вирусом ?

На этот вопрос можно дать очень простой ответ: "Всему виной Интернет". Так или иначе компьютерные вирусы попадают на компьютер пользователя посредством так называемой глобальной сети — либо вместе с электронным письмом, либо когда сам пользователь скачивает некоторый файл, содер жащий вирус, и потом запускает его на своем компьютере или несет на дискете на компьютер друга, коллеги.

Давайте разберемся подробнее, как же на самом деле все происходит и чего следует в первую очередь опасаться.

Вариант первый — зараженная дискета. При этом заражение может проис ходить как при открытии содержимого дискеты (например, вирус VBS . Redlof ), так и при открытии файла, например, зараженного макровирусом. Дискеты все реже используются в качестве загрузочных, но вариант заражения в момент загрузки с дискеты нельзя полностью исключить, т. к. забытая дискета в дисководе в момент запуска компьютера несет в себе потенциальную опасность. Если на ней имеется загрузочный вирус, тогда он загружается в память компьютера при первом же обращении к ней, при этом он может успеть заразить зафузочную область жесткого диска. То же самое относится и к жестким дискам, подключаемым к компьютеру, а также компакт-дискам. Наиболее полную защиту от подобной ситуации дают анти вирусные мониторы, блокирующие доступ к зараженному диску или файлу. Вариант второй — электронная почта. При этом заражение может происхо дить либо при запуске файла, вложенного в письмо и содержащего про- фаммный код вируса, либо при просмотре письма, когда вирус запускается автоматически, используя так называемые "дыры" (ошибки в программе), позволяющие подобный запуск. Самую большую гарантию безопасности при этом могут дать антивирусные мониторы или специальные модули, специализирующиеся на проверке поступающей почты.

Вариант третий — скачивание файлов. При этом практически любой скаченный вами файл может быть заражен компьютерным вирусом, поэтому прежде чем любой из них использовать (распаковывать, запускать), следует проверить их антивирусным сканером, хотя в большинстве случаев можно положиться на программу-монитор.

 

4. Настолько ли страшны компьютерные вирусы?

 

Настолько ли страшны компьютерные вирусы ?

Вирусы запускаются сами по себе

Нет, это не совсем верно. Для активизации вируса требуется запустить ту или иную программу. В операционных системах семейства Windows , незави симо от версии, для всех файлов назначена строго определенная программа или действие, выполняемое одним из служебных модулей самой операци онной системы. При просмотре того или иного файла автоматически запус кается назначенная программа, но для пользователя это происходит как бы незаметно (он ведь просто хочет почитать текст), поэтому для него создается впечатление, что вирус можно запустить самостоятельно, тогда, когда он сам запускает его вместе с программой-просмотрщиком.

Вирусы позволяют выкрасть ценную информацию

Да, действительно, существует категория компьютерных вирусов, предна значенных для кражи ценной информации. Обычно этим занимаются "тро янские кони". Наиболее часто воруют различные пароли, например, доступа к сети Интернет, pin -коды и др., т. е. все то, что может причинить вам ма териальный ущерб.

"Троянские кони", ворующие ценную информацию, могут либо отправлять ее на чей-нибудь электронный ящик — это становится возможным в случае подключения вашего компьютера к сети Интернет, либо сохранять всю информацию в текстовый или иного формата файл. Следует иметь в виду, что второй вариант говорит о том, что человеку, заразившему ваш компью тер "троянским конем", обязательно нужно будет получить доступ к вашему компьютеру, чтобы скопировать этот файл. Доступ к компьютеру возможен либо локальный (например, в ваше отсутствие), либо по локальной сети, если таковая имеется.

Отдельной категорией стоят так называемые клавиатурные шпионы. Они не только могут привести к утечке паролей и кодов, но и вообще всей инфор мации, которую вы вводите в компьютер при помощи клавиатуры.

Вирусы способны испортить компоненты компьютера

Да, действительно, существует категория вирусов, способных привести в негодность один или сразу несколько компонентов компьютера, напри мер, материнскую плату. Такое стало возможным после того, как стали применять так называемую FLASH -память, которая позволяет при помощи обычных программ изменять ее содержимое. При этом запись в микросхему FLASH -памяти не программного кода, а случайного "мусора", приводит к невозможности использования данного оборудования. Наиболее ярким примером подобных вирусов является WinCIH или его бблее опасный пото мок I . Worm . Magistr .

Вирусы приводят к потере информации

Да, действительно, существует ряд вирусов, приводящих в негодность, на пример, все файлы с расширением DOC , TXT (вирус под названием KLEZ . H ). Также существует ряд вирусов, уничтожающих файловую систему, что приводит к потере абсолютно всех файлов на диске. Правда, следует иметь в виду, что в большинстве случаев все-таки имеется возможность вос становления информации. Дело в том, что физически стереть информацию с целого жесткого диска объемом хотя бы 1 Гбайт довольно не просто, по этому большая часть вирусов уничтожает ссылки на всю информацию, а не сами данные. Иногда вполне достаточно воспользоваться программой UNERASE или UNDELETE , чтобы восстановить большую часть данных.

 

5. Борьба с компьютерными вирусами на практике

 
 

Борьба с компьютерными вирусами на практике

Самое главное правило — как только компьютер начал выдавать не появ ляющиеся ранее ошибки, обязательно проверьте все файлы на жестком диске антивирусным сканером. Возможно, проблема связана с повреждением какого-нибудь системного файла, но в любом случае нельзя пренебрегать определенными мерами безопасности.

Если вы регулярно и особенно подолгу работаете в сети Интернет, тогда вам следует установить на свой компьютер антивирусный монитор, который будет "фильтровать" все поступающие на ваш компьютер данные.

Если у вас нет доступа ни к сети Интернет, ни к какой-либо локальной се ти, тогда вам будет вполне достаточно регулярно пользоваться антивирус ным сканером, а самое главное, проверять им все поступающие на компью тер данные с дискет или же компакт-дисков и других носителей.

Если вы обнаружили или подозреваете, что ваш компьютер заражен компь ютерным вирусом, ваши действия должны быть следующими:

  • сохраните наиболее важную информацию на сменных носителях. Даже если эти файлы также окажутся зараженными, можно будет потом, не торопясь, "вылечить" их, а пока что вас должна волновать операционная система. Лучше всего все это делать после загрузки компьютера с загру зочного диска, обязательно созданного на незараженном компьютере;
  • проверьте жесткий диск антивирусной программой, при этом антивирус ные базы должны быть как можно более новыми;
  • при обнаружении зараженного файла попытайтесь "вылечить" его, если же это не удается, тогда смело удаляйте зараженный файл — лучше зано во установить ту программу, к которой он принадлежит, чем впоследст вии потерять информацию;
  • после удаления компьютерного вируса иногда приходится переустанавли вать операционную систему или некоторые программы;
  • сменные носители после "лечения" или вместо него можно отформати ровать;
  • жесткий диск можно избавить от загрузочного вируса командой fdisk / mbr . При этом предварительно следует загрузиться с "чистого" загрузоч ного диска, на котором имеется программа FDISK . Обратите внимание, что не все вирусы вы сможете удалить с жесткого диска путем формати рования, т. к. при этом совсем не затрагиваются некоторые служебные области, создаваемые при создании на нем разделов.

Для того чтобы убедиться в отсутствии или наличии на своем компьютере "троянских коней", можно запустить редактор системного реестра (команда REGEDIT ) и открыть по очереди следующие ветви:

HKEY_CUKRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\RunServices HKEY_USERS\.DEFAULT\Software\ Microsoft\Windows\CurrentVersion\Run

Если в одной из низ имеется подозрительный ключ, не относящийся к программам, которые вы устанавливали или которые использует операционная система, тогда вам следует срочно воспользоваться антивирусной программой.

Теперь о практическом использовании антивирусных программ. Самое главное правило — следует использовать только новые антивирусные базы. После установки программы с компакт-диска обязательно проверьте, какого числа было произведено последнее обновление. Например, для программы Kaspersky Anti - Virus это можно сделать, выбрав пункт меню Справка | О Программе. Дата последнего обновления должна быть не позже, чем 30 дней назад, потому что за этот период обычно успевает появиться немалое количество новых вирусов, против которых "старый" антивирус бесси лен. Обновление базы для описываемой программы можно найти на интер нет-сайте http :// www . kaspersky . ru . Обратите внимание на то, что антивирус с устаревшей базой может даже способствовать распространению вирусов, т. к. у пользователя в таком случае создается ложное представление о безо пасности. Нельзя забывать и о возможности защиты от макровирусов, встроенных в программы пакета Microsoft Office .

При установке антивирусной программы, как правило, предлагается уста навливать как сканер, так и монитор, поэтому отдельно остановимся на особенностях работы антивирусного монитора. Дело в том, что до того мо мента как, например, открываемый файл будет проверен на наличие в нем вирусов, доступ к нему блокируется. Зачастую создается впечатление, что компьютер завис, но это не так. К сожалению, одновременное использова ние антивирусного монитора и сложных игровых программ, использующих большое количество графических текстур, приводит к снижению произво дительности компьютера из-за периодической блокировки файлов. Такова плата за антивирусную безопасность. В этом случае следует перед запуском игры завершать работу монитора.

Единственно, что остается добавить, если на вашем компьютере установлен модем, то наличие установленного антивирусного монитора обязательно. В остальных же случаях можно ограничиться установкой антивирусного сканера и периодической профилактической проверкой жесткого диска. И главное, помните, что антивирусная программа с устаревшей базой не способна обнаружить и удалить новые виды вирусов.