Компьютерные вирусы. Признаки заражения компьютера вирусом

07.09.2019

13.03.2011

Каждый пользователь знает о компьютерных вирусах. Многие сталкивались с ними воочию и успешно занимались лечением своего компьютера от вирусов. Но у многих сообщение о том, что их компьютер заражен вирусами, вызывает реакцию «Все пропало!». Противника нужно знать в лицо. В этой статье мы расскажем о том, что такое компьютерные вирусы, как они попадают на компьютер, кто их создает, какими они бывают, и как максимально эффективно противостоять заражению вашего компьютера вирусами.

Компьютерным вирусом называется разновидность компьютерных программ, отличительной особенностью которой является способность к самостоятельному размножению. Попадая на компьютер, вирус может создавать свои копии, распространяться, внедряя себя в другие программы, или заменять их.

Компьютерные вирусы могут привести к порче или удалению информации, передаче конфиденциальных или персональных данных злоумышленникам по сети Интернет. Возможны сбои в работе программ или самой операционной системы (вплоть до приведения операционной системы в полную неработоспособность).

Пути попадания вирусов на компьютер

Дискеты

Именно так распространялись первые вирусы. Самый популярный канал заражения в 1980-90 годы. В настоящее время практически полностью исчез из-за все меньшего распространения дискет (на многих современных компьютерах уже отсутствует флоппи-дисковод).

Флеш-накопители (флешки)

Флешки являются одним из основных источников заражения компьютеров (особенно тех, которые не подключены к сети Интернет). Также вирусы могут распространяться и через другие накопители информации, использующиеся в цифровых фотоаппаратах, плеерах, телефонах.

Электронная почта

Также один из наиболее популярных источников заражения вирусами. Вирусы могут маскироваться под безобидные вложения: картинки, документы, ссылки на другие сайты. Не открывайте письма с интригующими заголовками от неизвестных отправителей. Вероятность присутствия вируса, или ссылки на сайт с вирусом в таких письмах очень велика. Однако письмо с вирусом может прийти и от хорошо известного вам адресата, если его компьютер был заражен. Вирус сам найдет адресную книгу и осуществит рассылку по всем существующим в ней контактам без ведома пользователя.

Системы обмена мгновенными сообщениями (ICQ)

Тут также действует золотое правило - не открывайте завлекающих ссылок от неизвестных контактов.

Веб-страницы

На некоторых Интернет-страницах может находиться «активное» вредоносное содержимое. Возможно даже заражение добропорядочных сайтов из-за уязвимости программного обеспечения владельца сайта. Пользователь, зайдя на такой сайт, рискует подвергнуть свой компьютер заражению вирусом.

Локальные сети, сеть Интернет

В сети Интернет и в локальных сетях велика вероятность заражения вредоносными программами категории сетевых червей. Компьютерный червь - подвид вирусов, которые проникают на компьютер жертвы без участия пользователя. Они сканируют сеть на предмет выявления компьютеров с наличием определенной уязвимости, и при нахождении таковых - атакуют их.

Кто и зачем создает вирусы

Создателей вредоносных программ можно разделить на несколько категорий: компьютерные хулиганы, профессионалы-злоумышленники и исследователи.

К первой категории относятся излишне любопытные школьники и студенты, которые, зная азы программирования, создают вредоносные программы ради самоутверждения или же ради шутки. Обычно эти программы не используют особо хитрых методов распространения и не представляют большой угрозы. Вирусы, созданные этой категорией авторов вредоносных программ составляют малую часть из общей массы.

Большинство вирусов создается профессионалами-злоумышленниками, которые обычно являются высококвалифицированными программистами. Эти вирусы создаются ради получения выгоды. Во вредоносных программах подобного рода используются оригинальные и хитроумные методы распространения и проникновения на конечный компьютер. С их помощью злоумышленники воруют персональную или конфиденциальную информацию, которую в дальнейшем могут использовать либо ради обогащения, либо для рассылки спама. В последнее время прокатилась волна вирусов-вымагателей. Они блокируют работу операционной системы и для получения кода разблокировки требуют перечисления денежных средств создателю вируса.

Последняя категория создателей вирусов - исследователи. В основном это талантливые программисты. Изобретение новых вирусных методик для них забава. Принципы работы созданных ими вирусов обычно оглашаются на специализированных ресурсах для обсуждения в среде таких же фанатов-программистов. Исследователи очень редко нацелены на приобретение прибыли. Однако когда их труды попадают в руки профессионалов-злоумышленников, эти «исследования» могут принести огромный вред.

Классификация вредоносных программ

На данный момент нет единой общепринятой классификации вредоносных программ. Каждая компания - разработчик антивирусного ПО использует свою классификацию и наименования для определения типа вредоносного ПО. Тем более, учитывая современные тенденции развития вирусных программ, бывает сложно отнести какую-то угрозу к определенному виду. Вредоносная программа может использовать несколько механизмов распространения, которые характерны для разных категорий. Также она может выполнять различные по своей направленности деструктивные действия.

Рискнем предоставить самую общую классификацию по способу распространения, проникновения и заложенному функционалу.

Вирусы

Характерной чертой вирусов является способность самостоятельно размножаться на компьютере без ведома пользователя. Вирус может либо встраиваться в код других программ «заражая» их, или полностью заменять их. Вирусы выполняют деструктивные действия: удаляют или искажают данные, парализуют работу системы, ограничивают доступ к файлам, системным функциям, пр. Для того, чтобы вирус не был обнаружен антивирусной программой, создатели вирусов используют специализированные алгоритмы шифрования кода, полиморфизма, стелс-технологии и т.п. Как правило, заражение вирусами происходит через переносные накопители информации - флешки, карты памяти, внешние жесткие диски, оптические диски, т.п.

Сетевые черви

Главной особенностью сетевых червей является способность самостоятельного распространения по локальной сети или по сети Интернет. Они используют уязвимости в ОС и других программах и проникают на компьютер. Главными каналами распространения сетевых червей являются: электронная почта, сети обмена мгновенными сообщениями, сетевые ресурсы с общим доступом, т.п. Сетевой червь может просканировать компьютер на предмет выявления адресов для рассылки другим компьютерам своей копии. Он может от имени пользователя посылать сообщения завлекающего содержания с просьбой перейти на указанную ссылку и т.п.

Троянские программы

Вредоносное ПО после попадания на компьютер не обязательно должно осуществлять какие-то деструктивные и разрушительные действия. Вредоносная программа может затаиться на компьютере и заниматься сбором и пересылкой конфиденциальной информации злоумышленникам. Именно такие вредоносные программы называются троянскими, или попросту троянами. Некоторые из ни не просто просматривают хранящуюся на жестком диске информацию, но следят за тем, какие клавиши пользователь набирает на клавиатуре. Такие вредоносные программы называются кейлоггерами или клавиатурными шпионами. Еще один вид - бэкдоры (от англ. backdoor - черный вход). Они предоставляют злоумышленнику удаленный доступ к компьютеру.

Adware - вредоносное программное обеспечение, принудительно показывающее пользователю рекламу. Устанавливаются на компьютер без согласия пользователя. Могут проявляться в виде перехода на сайты на которые пользователь заходить и не собирался. Также возможно проявление в виде постоянно всплывающих рекламных окон, баннеров, т.п.

Совместно с рекламными программами могут использоваться и шпионские приложения (spyware), собирающие досье на пользователя и его компьютер. Эти данные могут потом использоваться в целевых рекламных компаниях без согласия человека.

Как обезопасить свой компьютер от вирусов

Установка лицензионной Windows с регулярным автоматическим обновлением поможет вашему компьютеру иметь максимально защищенную операционную систему.
Установка лицензионного антивирусного ПО от надежного и авторитетного производителя даст вашему компьютеру надежную защиту от вирусов. А регулярное обновление антивирусных баз поможет антивирусу противостоять против самых новейших разработок злоумышленников.
Соблюдение элементарных правил безопасности при работе в Интернете убережет вас от возможности заражения (не открывайте письма от неизвестных адресатов с непонятными вложениями, не переходите по присланным неизвестными интригующим ссылкам, т.п.). Каким бы хорошим и надежным не был ваш антивирус, вероятность того, что он пропустит вирус, есть всегда. Просто у одних антивирусов она больше, у других - меньше.
Возьмите за правило сразу же проверять принесенную кем-то флешку или иной носитель информации. А уже затем открывать ее и работать с ее содержимым.
Если ваш компьютер в локальной сети, то предпочтительно не давать без острой необходимости в общий доступ папки с полными правами на них. Туда очень легко могут проникнуть вирусы.
Проводите хотя бы раз в месяц полную проверку вашего компьютера антивирусом с актуальными базами.
Этих элементарных мер вполне хватит для того, чтобы ваше знакомство с компьютерными вирусами было максимально коротким и безболезненным для вашего компьютера.

О том, какие меры стоит предпринять и как организовать лечение вашего компьютера, если он уже заражен вирусами, мы расскажем в следующей статье.

Что такое компьютерные вирусы

Пути попадания вирусов на компьютер

Дискеты

Флеш-накопители (флешки)

Электронная почта

Системы обмена мгновенными сообщениями (ICQ)

Тут также действует золотое правило - не открывайте завлекающих ссылок от неизвестных контактов.

Веб-страницы

Локальные сети, сеть Интернет

Кто и зачем создает вирусы

Классификация вредоносных программ

Вирусы

Сетевые черви

Троянские программы

Как обезопасить свой компьютер от вирусов

ВИРУСЫ.

Решить задачу теоретического обнаружения вирусов невозможно, поэтому на практике приходится решать частные задачи относительно частных случаев вредоносных программ. В зависимости от свойств вирусов для их обнаружения и нейтрализации могут применяться различные методы. Необходимо отметить, что на практике классификации, принятые различными производителями антивирусных продуктов, отличаются, хотя и построены на близких принципах. Поэтому в ходе изложения будут формулироваться в первую очередь принципы, и уже потом примеры из классификации.
Практическое определение вируса Определение компьютерного вируса - исторически проблемный вопрос, поскольку достаточно сложно дать четкое определение вируса, очертив при этом свойства, присущие только вирусам и не касающиеся других программных систем. Наоборот, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.Приведу несколько формулировок определения:Хронологически наиболее раннее определение от Евгения Касперского (книга "Компьютерные вирусы"): Определение 1: ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению. Определение по ГОСТ Р 51188-98:
Определение 2: Вирус - программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам. Легко заметить, что определение в ГОСТ практически полностью повторяет определение Е. Касперского.

Определения 1 и 2 в большой степени повторяют определение Ф. Коэна или уточнение, предложенное Д. Чессом и С. Вайтом, что позволяет распространить на них (определения) вывод о невозможности создать алгоритм, обнаруживающий все такие программы или даже все "инкарнации" одного из вирусов. Тем не менее, на практике оказывается, что все известные вирусы могут быть обнаружены антивирусными программами. Результат достигается в частности еще и за счет того, что поврежденные или неудачные экземпляры вирусов, неспособные к созданию и внедрению своих копий, обнаруживаются и классифицируются наравне со всеми остальными "полноценными" вирусами. Следовательно, с практической точки зрения, т. е. с точки зрения алгоритмов поиска, способность к размножению вовсе не является обязательной для причисления программы к вирусам.Другая проблема, связанная с определением компьютерного вируса кроется в том, что сегодня под вирусом чаще всего понимается не "традиционный" вирус, а практически любая вредоносная программа. Это приводит к путанице в терминологии, осложненной еще и тем, что практически все современные антивирусы способны выявлять указанные типы вредоносных программ, таким образом ассоциация "вредоносная программа-вирус" становится все более устойчивой.Исходя из этого, а также из назначения антивирусных средств, в дальнейшем, если это не будет оговорено отдельно, под вирусами будут подразумеваться именно вредоносные программы. Определение 3: Вредоносная программа - компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. К вредоносным программам относятся компьютерные вирусы, трояны, сетевые черви и др. Компьютерные вирусы, трояны и черви являются основными типами вредоносных программ.
Вирусы

Классические определения компьютерного вируса приведены выше.

Жизненный цикл Поскольку отличительной особенностью вирусов в традиционном смысле является способность к размножению в рамках одного компьютера, деление вирусов на типы происходит в соответствии со способами размножения.Сам процесс размножения может быть условно разделен на несколько стадий: 1. Проникновение на компьютер 2. Активация вируса3. Поиск объектов для заражения4. Подготовка вирусных копий5. Внедрение вирусных копий

Особенности реализации каждой стадии порождают атрибуты, набор которых фактически и определяет класс вируса.

Проникновение

Вирусы проникают на компьютер вместе с зараженными файлами или другими объектами (загрузочными секторами дискет), никак, в отличие от червей, не влияя на процесс проникновения. Следовательно, возможности проникновения полностью определяются возможностями заражения и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла нет.

Активация

Для активации вируса необходимо, чтобы зараженный объект получил управление. На данной стадии деление вирусов происходит по типам объектов, которые могут быть заражены:

1.Загрузочные вирусы - вирусы, заражающие загрузочные сектора постоянных и сменных носителей. 2.Файловые вирусы -вирусы, заражающие файлы. Эта группа дополнительно делится на три, в зависимости от среды в которой выполняется код: · Собственно файловые вирусы - те, которые непосредственно работают с ресурсами операционной системы.Из последних вредоносных программ, обладающих вирусной функциональностью, можно отметить Email-Worm.Win32.Bagle.p (а также его модификации.q и.r). · Макровирусы - вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office.

Макро-вирусы способны заражать не только документы Microsoft Word и Excel. Существуют вредоносные программы ориентированные и на другие типы документов: Macro.Visio.Radiant заражает файлы известной программы для построения диаграмм -Visio, Virus.Acad.Pobresito - документы AutoCAD, Macro.AmiPro.Green - документы популярного раньше текстового процессора Ami Pro.

· Скрипт-вирусы - вирусы, исполняемые в среде определенной командной оболочки: раньше - bat-файлы в командной оболочке DOS, сейчас чаще VBS и JS - скрипты в командной оболочке Windows Scripting Host (WSH).Отдельно стоит отметить тот факт, что вирусы, рассчитанные для работы в среде определенной ОС или приложения, оказываются неработоспособными в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это DOS, Windows, Linux, MacOS, OS/2. Для макровирусов - Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97. Поиск жертв На стадии поиска объектов для заражения встречается два способа поведения вирусов.1.Получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту).2.Получив управление, вирус так или иначе остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняетсяВирусы второго типа во времена однозадачной DOS было принято называть резидентными. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений MS Office, являются вирусами второго типа. И напротив, скрипт-вирусы являются вирусами первого типа. Соответственно, атрибут резидентный применим только к файловым DOS вирусам. Существование нерезидентных Windows вирусов возможно, но на практике они являются редким исключением.Отдельно имеет смысл рассмотреть так называемые stealth-вирусы - вирусы, которые находясь постоянно в памяти, перехватывают обращения к зараженному файлу и на ходу удаляют из него вирусный код, передавая в ответ на запрос неизмененную версию файла. Таким образом эти вирусы маскируют свое присутствие в системе. Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску в обход средств операционной системы. Наибольшее распространение Stealth-вирусы получили во времена DOS. Подготовка вирусных копий Определение 4: Сигнатура вируса - в широком смысле, информация, позволяющая однозначно определить наличие данного вируса в файле или ином коде. Примерами сигнатур являются: уникальная последовательность байт, присутствующая в данном вирусе и не встречающаяся в других программах; контрольная сумма такой последовательности. Процесс подготовки копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стараются сделать разные копии максимально непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено либо вовсе невозможно. Внедрение

Внедрение вирусных копий может осуществляться двумя принципиально разными методами:

· Внедрение вирусного кода непосредственно в заражаемый объект · Замена объекта на вирусную копию. Замещаемый объект, как правило, переименовывается

Для вирусов характерным является преимущественно первый метод. Второй метод намного чаще используется червями и троянами, а точнее троянскими компонентами червей, поскольку трояны сами по себе не распространяются.

Ущерб от вредоносных программ

Черви и вирусы могут осуществлять все те же действия, что и трояны. На уровне реализации это могут быть как отдельные троянские компоненты, так и встроенные функции. Кроме этого, за счет массовости, для вирусов и червей характерны также другие формы вредоносных действий:

· Перегрузка каналов связи - свойственный червям вид ущерба, связанный с тем, что во время масштабных эпидемий по Интернет-каналам передаются огромные количества запросов, зараженных писем или непосредственно копий червя. В ряде случаев, пользование услугами Интернет во время эпидемии становится затруднительным. Примеры: Net-Worm.Win32.Slammer · DDoS атаки - благодаря массовости, черви могут эффективно использоваться для реализации распределенных атак на отказ в обслуживании (DDoS атак). В разгар эпидемии, когда зараженными являются миллионы и даже десятки миллионов компьютеров, обращение всех инфицированных систем к определенному Интернет ресурсу приводит к полному блокированию этого ресурса. Так, во время атаки червя MyDoom сайт компании SCO был недоступен в течение месяца.· Потеря данных - более характерное для вирусов, чем для троянов и червей, поведение, связанное с намеренным уничтожением определенных данных на компьютере пользователя. Примеры: Virus.Win9x.CIH - удаление стартовых секторов дисков и содержимого Flash BIOS, Macro.Word97.Thus - удаление всех файлов на диске C:, Email-Worm.Win32.Mydoom.e - удаление файлов с определенными расширениями в зависимости от показателя счетчика случайных чисел· Нарушение работы ПО - также более свойственная вирусам черта. Из-за ошибок в коде вируса, зараженные приложения могут работать с ошибками или не работать вовсе. Примеры: Net-Worm.Win32.Sasser.a - перезагрузка зараженного компьютера· - интенсивное использование ресурсов компьютера вредоносными программами ведет к снижению производительности как системы в целом, так и отдельных приложений. Примеры: в разной степени - любые вредоносные программы

Наличие деструктивных действий вовсе не является обязательным критерием для классификации программного кода как вирусного. Следует также отметить, что одним только процессом саморазмножения вирус способен причинить колоссальный ущерб. Наиболее яркий пример - Net-Worm.Win32.Slammer.

Угрозы безопасности информации Рассмотрим угрозы безопасности информации с точки зрения вирусов. Учитывая тот факт, что общее число вирусов по состоянию на сегодня превосходит 100000, проанализировать угрозы со стороны каждого из них является слишком трудоемкой и бесполезной задачей, поскольку ежедневно возрастает количество вирусов, а значит, необходимо ежедневно модифицировать полученный список. Будем считать, что вирус способен реализовать любую из угроз безопасности информации.Существует множество способов классификации угроз безопасности информации, которая обрабатывается в автоматизированной системе. Наиболее часто используется классификация угроз по результату их влияния на информацию, а именно - нарушение конфиденциальности, целостности и доступности.Для каждой угрозы существует несколько способов ее реализации со стороны вирусов. Угроза нарушения конфиденциальности

· Кража информации и ее распространение с помощью штатных средств связи либо скрытых каналов передачи: Email-Worm.Win32.Sircam - рассылал вместе с вирусными копиями произвольные документы, найденные на зараженном компьютере

· Любая деятельность, результатом которой является невозможность доступа к информации; различные звуковые и визуальные эффекты: Email-Worm.Win32.Bagle.p - блокирование доступа к сайтам антивирусных компаний · Вывод компьютера из строя путем уничтожения либо порчи критических составляющих (уничтожение Flash BIOS): Virus.Win9x.CIH - порча Flash BIOSКак несложно было убедиться, для каждого из приведенных выше способов реализации угроз можно привести конкретный пример вируса, реализующего один или одновременно несколько способов. Заключение Вредоносные программы отличаются условиями существования, применяемыми технологиями на различных этапах жизненного цикла, собственно вредоносным воздействием - все эти факторы и являются основой для классификации. В результате по основному (с исторической точки зрения) признаку - размножению, вредоносные программы делятся на три типа: собственно вирусы, черви и трояны.Независимо от типа, вредоносные программы способны наносить значительный ущерб, реализуя любые угрозы информации - угрозы нарушения целостности, конфиденциальности, доступности. В связи с этим при проектировании комплексных систем антивирусной защиты, и даже в более общем случае - комплексных системы защиты информации, необходимо проводить градацию и классифицировать объекты сети по важности обрабатываемой на них информации и по вероятности заражения этих узлов вирусами.

Почти каждый владелец компьютера, если и не знаком еще с вирусами, то обязательно наслышан о них различных баек и историй. Большинство из которых, конечно, преувеличены другими начинающими пользователями.

Так что же такой вирус?

Вирус - это саморазмножающаяся программа. Многие вирусы вообще ничего разрушительного не делают с вашим ПК, часть вирусов, например, делает небольшую пакость: выводит на экран какую-нибудь картинку, запускает ненужные сервисы, открывает интернет-странички для взрослых и пр.. Но есть и те, которые могут вывести ваш компьютер из строя, отформатировав диск, или испортив Bios материнской платы.

Для начала, наверное, стоит разобраться с самыми популярными мифами о вирусах, гуляющими по сети.

1. Антивирус - защита от всех вирусов

К сожалению, это не так. Даже имея навороченный антивирус с последней базой - вы не застрахованы от вирусной атаки. Тем не менее, от известных вирусов вы будете боле-менее защищены, угрозу будут представлять только новые, неизвестные антивирусной базе.

2. Вирусы распространяются с любыми файлами

Это не так. Например, с музыкой, видео, картинками - вирусы не распространяются. Но часто бывает так, что вирус маскируется под эти файлы, заставляя неопытного пользователя ошибиться и запустить зловредную программу.

3. Если вы заразились вирусом - ПК под серьезной угрозой

Это тоже не так. Большинство вирусов вообще ничего не делают. Им достаточно того, что они просто заражают программы. Но в любом случае, обратить на это внимание стоит: по крайней мере, проверить весь компьютер антивирусом с последней базой. Если заразились одним - то почему не могли вторым?!

4. Не пользоваться почтой - гарантия безопасности

Боюсь, это не поможет. Бывает такое, что по почте вам приходят письма с незнакомых адресов. Лучше всего просто не открывать их, сразу удаляя и очищая корзину. Обычно вирус идет в письме в качестве вложения, запустив которое, ваш ПК будет заражен. Защитится достаточно легко: не открывать письма от незнакомцев… Так же не лишним будет настроить антиспам-фильтры.

5. Если вы скопировали зараженный файл - вы заразились

Вообще, пока вы не запустите исполняемый файл, вирус, как и обычный файл, просто будет лежать у вас на диске и ничего плохого вам не сделает.

Виды компьютерных вирусов

Самые первые вирусы (история)

История эта началась примерно в 60-70 годах в некоторых лабораториях США. На ЭВМ, помимо обычных программ, были еще и те, которые работали сами по себе, никем не управляемые. И все бы ничего, если бы они сильно не нагружали ЭВМ и не расходовали ресурсы попусту.

Через какой-то десяток лет, к 80-м годам, таких программ было уже несколько сотен. В 1984 году появился и сам термин «компьютерный вирус».

Такие вирусы, обычно никак свое присутствие от пользователя не скрывали. Чаще всего мешали ему работать, показывая какие-нибудь сообщения.

В 1985 году появился первый опасный (и главное быстро распространяемый) компьютерный вирус Brain. Хотя, написан он был из благих намерений - наказать пиратов, незаконно копирующих программы. Вирус срабатывал только на нелегальных копиях софта.

Наследники вируса Brain просуществовали еще около десятка лет и потом их поголовье стало резко снижаться. Действовали они не хитро: просто записывали свое тело в файл программы, тем самым он увеличивался в размерах. Антивирусы быстро научились определять размер и находить зараженные файлы.

Программные вирусы

Вслед за вирусами, прикреплявшимися в тело программы, стали появляться новые виды - в виде отдельной программы. Но, основная сложность в том, как заставить пользователя запустить такую зловредную программу? Оказывается, очень просто! Достаточно назвать ее какой-нибудь ломалкой для программы и выложить в сеть. Многие просто скачают, и несмотря на все предупреждения антивируса (если такой имеется) - все равно запустят…

В 1998-1999 г. мир содрогнулся от опаснейшего вируса - Win95.CIH. Он выводил из строя Bios материнской платы. Тысячи компьютеров по всему миру были выведены из строя.

Вирус, распространяемый через вложения к письмам.

В 2003 г. вирус SoBig смог заразить сотни тысяч компьютеров, благодаря тому, что сам прикреплялся к письмам, отправляемые пользователем.

Основная борьба с такими вирусами: регулярное обновление ОС Windows, установка антивируса. Так же отказаться от запуска любых программ, полученных из сомнительных источников.

Макровирусы

Многие пользователи, наверное, и не подозревают, что кроме исполняемых файлов exe или com, вполне реальную угрозу могут нести и обычные файлы из Microsoft Word или Excel. Как такое возможно? Просто в эти редакторы в свое время был встроен язык программирования VBA, для того, чтобы можно было дописывать макросы в качестве дополнения к документам. Тем самым, если заменить их на свой макрос - вполне может получиться вирус…

Сегодня, почти все версии офисных программ, перед запуском документа из незнакомого источника, обязательно вас переспросят, а точно ли хотите запустить макросы из этого документа, и если нажать на кнопку «нет» - то ничего не произойдет, если даже документ был с вирусом. Парадокс заключается в том, что большинство пользователей сами нажимают на кнопку «да»…

Одним из самых известных макровирусов, можно считать Mellis’y, пик которой пришелся на 1999г. Вирус заражал документы и через почту Outlook отправлял вашим друзьям письмо с зараженной начинкой. Таким образом, за небольшой срок им оказалось заражены десятки тысяч компьютеров по всему миру!

Скриптовые вирусы

Макровирусы, как определенный вид, входят в группу скриптовых вирусов. Суть здесь в том, что не только Microsoft Office использует в своих продуктах скрипты, но и другие программные пакеты их содержат. Например, Media Player, Internet Explorer.

Большая часть таких вирусов распространяется посредством вложения в письма, через электронную почту. Часто вложения маскируются под какую-нибудь новомодную картинку или музыкальную композицию. В любом случае, не запускайте и лучше даже не открывайте вложения с незнакомых адресов.

Часто пользователей вводит в заблуждение расширение файлов… Ведь, давно известно, что картинки безопасны, тогда почему нельзя открыть на почте картинку, которую прислали… По умолчанию проводник не показывает расширения файлов. И если вы видите название картинки, вроде «interesnoe.jpg» - это не означает, что у файла именно такое расширение.

Для того, чтобы видеть расширения, включите следующую опцию.

Покажем на примере Windows 7. Если зайти в любую папку и нажать «упорядочить/параметры папок и поиска» можно попасть в меню «вид». Там то и есть наша заветная галочка.

Убираем галочку на опции «скрывать расширения для зарегистрированных типов файлов», а так же еще включите функцию «показа скрытых файлов и папок».

Теперь, если взглянуть на присланную вам картинку, вполне может оказаться, что «interesnoe.jpg» вдруг стала «interesnoe.jpg.vbs». Вот, собственно и весь фокус. Многие начинающие пользователи не раз попадались на эту ловушку, да и будут попадаться еще…

Основная защита от скриптовых вирусов заключается в своевременном обновлении ОС и антивируса. Так же отказ от просмотра подозрительных писем, тем более, которые содержат непонятные файлы… Кстати, не лишним будет регулярно делать резервное сохранение важных данных. Тогда вы на 99,99% будете защищены от любых угроз.

Троянские программы

Этот вид хоть и был отнесен к вирусам, но непосредственно им не является. Их проникновение на ваш ПК во многом схожа с вирусами, только задачи у них разные. Если у вируса задача заразить как можно больше компьютеров и выполнить действие по удалению, открытию окон и пр. - то у троянской программы, как правило, одна цель - скопировать ваши пароли от различных сервисов, узнать какую-нибудь информацию. Часто бывает так, что троянской программой могут управлять через сеть, и по приказу хозяина она вмиг может перезагрузить ваш ПК, или, что еще хуже, удалить какие-нибудь файлы.

Так же стоит отметить и еще одну особенность. Если вирусы частенько заражают другие исполняемые файлы, троянцы этим не занимаются, это самодостаточная отдельная программа, которая работает сама по себе. Часто она маскируется под какой-нибудь системный процесс, чтобы начинающему пользователю было трудно ее выловить.

Чтобы не стать жертвой троянов, во-первых, не качайте никаких файлов, вроде взлом интернета, взлом каких то программ и т.д. Во-вторых, помимо антивируса, понадобиться еще специальная программа, например: The Cleaner, Trojan Remover, AntiViral Toolkit Pro и др. В-третьих, не лишним будет установка фаервола (программа, контролирующая доступ в интернет других приложений), с ручной настройкой, где все подозрительные и неизвестные процессы будут блокироваться вами. Если троянская программа не получит выхода в сеть - пол дела уже сделано, по крайней мере, ваши пароли никуда не уплывут…

Подводя итог, хочется сказать, что все принятые меры и рекомендации будут бесполезны, если пользователь сам из любопытства будет запускать файлы, отключать антивирусные программы и пр. Парадокс в том и состоит, что заражение вирусами происходит в 90% случаев по вине самого владельца ПК. Ну а чтобы не стать жертвой тех 10% - достаточно иногда производить . Тогда можно быть уверенным практически на все 100, что все будет ОК!

КОМПЬЮТЕРНЫЕ ВИРУСЫ, ИХ КЛАССИФИКАЦИЯ. АНТИВИРУСНЫЕ ПРОГРАММНЫЕ СРЕДСТВА

Компьютерный вирус - это специальная программа, Способная самопроизвольно присоединяться к другим программам и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов; искажение результатов вычислений; засорение или стирание памяти; создание помех в работе компьютера. Наличие вирусов проявляется в разных ситуациях.

Некоторые программы перестают работать или начинают работать некорректно.
На экран выводятся посторонние сообщения, сигналы и другие эффекты.
Работа компьютера существенно замедляется.
Структура некоторых файлов оказывается испорченной.

Имеются несколько признаков классификации существующих вирусов:

по среде обитания;
по области поражения;
по особенности алгоритма;
по способу заражения;
по деструктивным возможностям.

По среде обитания различают файловые, загрузочные, макро- и сетевые вирусы.

Файловые вирусы - наиболее распространенный тип вирусов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (companion-вирусы) или используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя в загрузочный сектор диска или в сектор системного загрузчика жесткого диска. Начинают работу при загрузке компьютера и обычно становятся резидентными.

Макровирусы заражают файлы широко используемых пакетов обработки данных. Эти вирусы представляют собой программы, написанные на встроенных в эти пакеты языках программирования. Наибольшее распространение получили макровирусы для приложений Microsoft Office.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение.

На практике существуют разнообразные сочетания вирусов - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков, или сетевые макровирусы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.

Как правило, каждый вирус заражает файлы одной или нескольких ОС. Многие загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. По особенностям алгоритма выделяют резидентные; вирусы, стелс-вирусы, полиморфные и др. Резидентные вирусы способны оставлять свои копии в ОП, перехватывать обработку событий (например, обращение к файлам или дискам) и вызывать при этом процедуры заражения объектов (файлов или секторов). Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки ОС, даже если на диске уничтожены все зараженные файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке ОС, то даже форматирование диска при наличии в памяти этого вируса его не удаляет.

К разновидности резидентных вирусов следует отнести также макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора.

Стелс-алгоритмы позволяют вирусам полностью или частично скрыть свое присутствие. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат эти объекты, либо подставляют вместо себя незараженные участки информации. Частично к стелс-вирусам относят небольшую группу макровирусов, хранящих свой основной код не в макросах, а в других областях документа - в его переменных или в Auto-text.

Полиморфность (самошифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы - это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

При создании вирусов часто используются нестандартные приемы. Их применение должно максимально затруднить обнаружение и удаление вируса.

По способу заражения различают троянские программы, утилиты скрытого администрирования, Intended-вирусы и т. д.

Троянские программы получили свое название по аналогии с троянским конем. Назначение этих программ - имитация каких-либо полезных программ, новых версий популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия.

Разновидностью троянских программ являются утилиты скрытого администрирования. По своей функциональности и интерфейсу они во многом напоминают системы администрирования компьютеров в сети, разрабатываемые и распространяемые различными фирмами - производителями программных продуктов. При инсталляции эти утилиты самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, Эрезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и ной конфиденциальной информации, запуска вирусов, ничтожения данных.

К Intended-вирусам относятся программы, которые не способны размножаться из-за существующих в них ошибок. К этому классу также можно отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к дальнейшему размножению через него.

По деструктивным возможностям вирусы разделяются на:

неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьютера, графическим и звуковыми эффектами;
опасные, которые потенциально могут привести к нарушениям в структуре файлов и сбоям в работе компьютера;
очень опасные, в алгоритм которых специально заложены процедуры уничтожения данных и возможность обеспечивать быстрый износ движущихся частей механизмов путем ввода в резонанс и разрушения головок чтения/записи некоторых НЖМД.

Для борьбы с вирусами существуют программы, которые можно разбить на основные группы: мониторы, детекторы, доктора, ревизоры и вакцины.

Программы-мониторы (программы-фильтры) располагаются резидентно в ОП компьютера, перехватывают и сообщают пользователю об обращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относится возможность обнаружения неизвестных вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера. Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций.

Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Недостаток - возможность защиты только от известных вирусов.

Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.

Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояние загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.

Программы-вакцины модифицируют программы и риски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже зараженными. Существующие антивирусные программы в основном относятся к классу гибридных (детекторы-доктора, доктора-ревизоры и пр.).

В России наибольшее распространение получили антивирусные программы Лаборатории Касперского (Anti-IViral Toolkit Pro) и ДиалогНаука (Adinf,Dr.Web). Антивирусный пакет AntiViral Toolkit Pro (AVP) включает AVP Сканер, резидентный сторож AVP Монитор, программу администрирования установленных компонентов. Центр управления и ряд других. AVP Сканер помимо традиционной проверки выполняемых файлов и файлов документов обрабатывает базы данных электронной почты. Использование сканера позволяет выявить вирусы в упакованных и архивированных файлах (не защищенных паролями). Обнаруживает к удаляет макровирусы, полиморфные, стеле, троянские, а также ранее неизвестные вирусы. Это достигается, например, за счет использования эвристических анализаторов. Такие анализаторы моделируют работу процессора и выполняют анализ действий диагностируемого файла. В зависимости от этих действий и принимается решение о наличии вируса.

Монитор контролирует типовые пути проникновения вируса, например операции обращения к файлам и секторам.

AVP Центр управления - сервисная оболочка, предназначенная для установки времени запуска сканера, автоматического обновления компонент пакета и др.

При заражении или при подозрении на заражение компьютера вирусом необходимо:

оценить ситуацию и не предпринимать действий, приводящих к.потере информации;
перезагрузить ОС компьютера. При этом использовать специальную, заранее созданную и защищенную от записи системную дискету. В результате будет предотвращена активизация загрузочных и резидентных вирусов с жесткого диска компьютера;
запустить имеющиеся антивирусные программы, пока не будут обнаружены и удалены все вирусы. В случае невозможности удалить вирус и при наличии в файле ценной информации произвести архивирование файла и подождать выхода новой версии антивируса. После окончания перезагрузить компьютер.