Файл: MethodFull.doc

Загрузочные вирусы

Загрузочные («бутовые» от англ. «boot» – зашрузка) вирусы – это исчезающая ныне разновидность вирусов, которая, однако, была весьма популярно в эпоху господства операционной системы MS-DOSи ей подобных. Представители данного семейства «обитают» в загрузочных секторах дискет (дисков). Загрузочные дискеты применяются и сегодня, однако некогда они были чрезвычайно популярны. Часто, однако, при включении компьютера в дисководе бывает не та дискета. Происходит это как правило по забывчивости. В каждой дискете присутствует загрузочный код. Как правило, этот код выдает сообщение о том, что дискета не является системной и предлагает вынуть ее из дисковода. Однако правило гласит: «где есть исполняемый код там может быть и вирус». Немудрено, что и в этот небольшой фрагмент кода умудрились пролезть хитроумный вирусы. Таким образом, порой, для того, чтобы заразится вирусом достаточно забыть вынуть дискету из дисковода перед включением компьютера!

Мобильные («встроенные») вирусы

Самое молодое семейство вирусов. Представители данного семейства поражают сотовые телефоны, смартфоны и другую аналогичную технику, распространяясь использую современные технологии связи такие как GSM,GPRS,Bluetoothи т.п. Вирусы данного класса только начинают появляться, однако, стремительное развитие мобильной связи делает перспективу всемирного распространения подобных вирусов весьма вероятной

Полиморфизм вирусов

Собственно говоря, это не отдельный класс вирусов, а одно из свойств, присущее компьютерным вирусам других классов.

Как известно, процесс размножения вируса состоит в том, что вирус создает точную свою копию. Однако существуют такие вирусы, копии которых сильно отличаются от оригиналов (впрочем, что считать в этом случае оригиналом тоже большой вопрос). Достигается это всевозможными хитроумными методами написания самомодифицирующегося, самошифрующегося кода. «Хороший» полиморфный вирус отличается от своей копии в каждом байте! Все это весьма затрудняет обнаружение подобных вирусов.

Противодействие вирусам

Народная мудрость гласит: «если хочешь быть здоров – закаляйся». Говоря другими словам: лечись не новомодными лекарствами, а просто не доводи себя до болезни вообще, заблаговременно повышая свой иммунитет. К сожалению, в мире компьютеров эту поговорку практически никогда не вспоминают, ну а руководствуются ею вообще считанные единицы. Несколько утрируя, можно сказать, что мы имеем дело с синдромом врожденного иммунодефицита. А ведь вирусы – не спят! И день ото дня становятся все коварнее, изощреннее и… сильнее! Рост пропускной способности каналов Интернет позволяет злоумышленникам поражать воистину астрономическое число компьютеров за рекордно короткое время. Единственный способ противостоять вирусам – увеличить защищенность своего узла (системы). Все, что для этого необходимо – это заботится о безопасности своего компьютера и не ждать, пока вирусы нанесут смертельный удар.

Самый простой (но далеко не самый надежный) метод обнаружения вирусов сводится к приобретению, установке и периодическому запуску одному или нескольких антивирусов. Если не лениться и хотя бы эпизодически обновлять антивирусные базы, то более 80% всех вирусных атак будут успешно отбиты. Домашним пользователям, не имеющим на своих компьютере ничего ценного, такая надежность может покажется вполне удовлетворительной, но в отношении корпоративных пользователей это не так. Стоит ли говорить, что может натворить даже один-единственный вирус, пробравшийся в корпоративную сеть и своевременно не разоблаченный? Тем более, что компаниям (особенно большим) приходится сталкиваться не только со «слепыми», но и с целенаправленными атаками. Другими словами, – вирусами, написанными специально для атаки на данную конкретную компанию и потому никакими антивирусами не распознаваемыми. Никакие универсальные, эвристические алгоритмы обнаружения вирусов здесь не помогут.

Одним из эффективных методов обнаружения вирусов является мониторинг изменения файлов. Внедрившись в систему, вирус начинает в ней размножаться и вот тут-то его можно и «подсечь», – достаточно лишь периодически контролировать целостность существующих файлов и отслеживать появление новых. Существует большое количество утилит, выполняющих такую операцию (на пример Adinf от «Диалог Науки» и DiskInspector от «Лаборатории Касперского»), однако в Windows 98 и Windows 2000/XP для решения поставленной задачи можно обойтись и штатными средствами, – достаточно запустить утилиту SFC.EXE. Несмотря на то, что хитрые вирусы могут эту программу и обмануть, степень достоверности результатов проверки весьма высока и на этом ловится подавляющее большинство вирусов, включая и тех, что в силу своей новизны еще не детектируются антивирусами AVP (Антивирус Касперского) и Dr. Web. Разумеется, качество проверки уже упомянутых выше AdInf и DiskInspector много выше, и обмануть их практически невозможно (во всяком случае вирусов, способных похвастаться этим, до сих пор нет). Правда, некоторые вирусы, стремясь замаскировать свое присутствие, просто удаляют базы с информацией о проверяемых файлах, но эффект от этой «хитрости» получается совершенно обратный, – самим фактом такого удаления вирусы демаскируют свое присутствие! Какие конкретно файлы были заражены – это уже другой вопрос (если не можете ответить на него сами, – поручите эту работу специалистам, главное только, чтобы вирус был вовремя обнаружен). Стоит отметить, что операционные системы класса NT (к которым принадлежат и Windows 2000/XP) запрещают обычным пользователям модифицировать системные файлы, равно как и вносить потенциально опасные изменения в конфигурацию системы, а потому выжить в такой среде вирусу окажется очень и очень трудно. С некоторой натяжкой можно даже сказать, что вообще невозможно.

Хорошим средством обнаружения вторжений (как вирусных, так и хакерских) служит щедро разбросанная приманка, – файлы, к которым легальные пользователи в силу своих потребностей не обращаются, но которые с высокой степенью вероятности будет заражены вирусом или затребованы хакером. В первом случае в роли наживки могут выступить любые исполняемые файлы вообще, а во втором – любые файлы с интригующими именами (например, «номера кредитных карточек менеджеров фирмы.doc»).

Как обнаружить сам факт обращения к файлам? Ну, во-первых, операционная система сама отслеживает дату последнего обращения к документу (не путать с датой его создания), узнать которую можно через пункт «Свойства» контекстного меню выбранного файла. Опытные пользователи могут получить ту же самую информацию через популярную оболочку FAR Manager – просто нажмите <Ctrl-5> для отображения полной информации о диске. И, если дата последнего открытия файла вдруг неожиданно изменилась, – знайте, к вам пришла беда и надо устраивать серьезные разборки с привлечением специалистов, если, конечно, вы не можете справится с заразой собственными силами. Конечно, опытные хакеры и тщательно продуманные вирусы такую примитивную меру могут обойти, но… практика показывает, что в подавляющем большинстве случаев они об этом забывают.

В самых ответственных случаях можно воспользоваться файловым монитором Марка Русиновича, свободно распространяющимся через сервер http://www.sysinternals.com. Ни один существующий вирус не пройдет незамеченным мимо этой замечательной утилиты, кстати, в упакованном виде занимающей чуть более полусотни килобайт и контролирующий доступ к диску на уровне дискового драйвера. К тому же она выгодно отличается тем, что сообщает имя программы, обратившийся к файлу-приманке, тем самым позволяя точно дислоцировать источник заразы и отсеять ложные срабатывания (ведь и сам пользователь мог по ошибке обратится к «подсадному» файлу, также не следует забывать и об антивирусных сканерах, открывающих все файлы без разбора).

Не все вирусы, однако, внедряют свой код в чужие исполняемые файлы. Спрятавшись в дальнем уголке жесткого диска (как правило, это Windows\System, содержимое которой никто из пользователей не знает и не проверяет), они изменяют конфигурацию системы так, чтобы получать управление при каждой загрузке (или, на худой конец, – эпизодически). Самые «тупые» вирусы прописывают себя в «Автозагрузку» (см. Пуск -> Программы -> Автозагрузка), а подавляющее большинство остальных – в следующую ветку системного реестра: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]. Конечно, существуют и более экзотические способы (вроде файлов config.sys/autoexec.bat в Windows 98/Me и config.nt/autoexec.nt в Windows 2000/XP), но они практически не находят себе применения.

Также богатую информацию несет и количество оперативной памяти, выделенной на момент загрузки системы (узнать его можно через «Диспетчер задач»). Просто запомните его (или запишите где-нибудь на бумажке), а затем – при каждой загрузке системы – сверяйте. На всякий случай, запустив тот же «Диспетчер задач», перейдите ко вкладке «Процессы», в меню «Вид» выберите «Все столбцы» и взведите галочки напротив всех характеристик, которые вы хотите контролировать (как правило – это все характеристики процесса и есть), далее поступайте аналогично: запомните начальное состояние каждого запускаемого процесса на заведомо «чистой» машине, а при всех очередных запусках – сверяйте с этим эталоном.

Часто вирусы (и внедренные хакерами троянцы) выдают себя тем, что проявляют ненормальную сетевую активность (обращение по нетипичным для данного пользователя сетевым адресам и/или портам, резко возросший трафик или подозрительное время). Начнем с того, что практически ни один вирус не анализирует учетные записи распространенных почтовых клиентов и, стало быть, самостоятельно определить адрес вашего почтового сервера не может. Как же тогда черви ухитряются распространятся? Да очень просто: часть из них использует жестко прошитые внутри себя адреса бесплатных SMTP-серверов, другие же связываются с получателями писем напрямую, т. е. обращаются непосредственно к их почтовому серверу. И то, и другое демаскирует вирус, исключая конечно тот случай, когда по иронии судьбы и вирус, и зараженная им жертва используют один и тот же сервер исходящей почты. Учитывая, что подавляющее большинство корпоративных пользователей использует свой собственный сервер для рассылки почты, вероятностью случайного совпадения адресов можно пренебречь.

Для протоколирования сетевого трафика существует огромное множество разнообразных программ, самая доступная из которых (хотя и не самая лучшая) – netstat, входящая в штатный пакет поставки операционных систем Windows 98/Me и Windows 2000/XP.

Также имеет смысл приобрести любой сканер портов и периодически осматривать все порты своего компьютера, – не открылись ли среди них новые. Некоторые сетевые черви устанавливают на заражаемые компьютеры компоненты для удаленного администрирования, которые чаще всего работают через TCP- и реже – через UDP-протоколы. Утилита netstat позволяет контролировать на предмет открытых портов и те, и другие.

Подавляющее большинство почтовых червей распространяет свое тело через вложения (также называемые аттачментами) и, хотя существует принципиальная возможность создания вирусов, целиком умещающихся в заголовке или основном теле письма, на практике с такими приходится сталкиваться крайне редко, да и живут они все больше в лабораторных условиях. Таким образом, задача выявления почтовый червей сводится к анализу корреспонденции, содержащей подозрительные вложения.

И наконец рассмотрим удаление вирусов из системы. Удаление вирусов из системы, вероятно, самая простая операция из всех, рассмотренных выше. Очень хорошо зарекомендовала себя следующая методика: после установки операционной системы и всех сопутствующих ей приложений, просто скопируйте содержимое диска на резервный носитель и затем, – когда будет зафиксирован факт вторжения в систему (вирусного или хакерского – не важно), – просто восстановите все файлы с резервной копии обратно. Главное преимущество данного способа – его быстрота и непривередливость к квалификации администратора, (или, в общем случае, лица, осуществляющего удаление вирусов). Конечно, следует помнить о то, что: а) достаточно многие программы, тот же Outlook Express, например, сохраняют свои данные в одном из подкаталогов папки Windows и, если почтовую базу не зарезервировать отдельно, то после восстановления системы она просто исчезнет, что не есть хорошо; б) некоторые вирусы внедряются не только в файлы, но так же и в boot- и/или MBR-сектора, и для удаления их оттуда одной лишь перезаписи файлов недостаточно; в) вирус может перехватить системные вызовы и отслеживать попытки замещения исполняемых файлов, имитируя свою перезапись, но не выполняя ее в действительности.

Поэтому, более надежен следующий путь: загрузившись с заведомо «стерильного» CD-диска (или, на худой конец, дискеты), вы удаляете папки Windows (WINNT) и Program Files, а затем начисто переустанавливаете операционную систему вместе со всеми приложениями. Конечно, это медленно, но… ничего более лучшего предложить, по-видимому, просто невозможно.

Естественно, в случае заражения известными вирусами, можно прибегнуть и к помощи антивирусов, однако существует весьма высокая вероятность столкнуться с некорректным удалением вируса из файлов, в результате чего система либо полностью теряет свою работоспособность, либо вирус остается не долеченным и «выживает», и зачастую после этого уже не детектируется антивирусом. Уж лучше просто удалить зараженный файл, восстановив его с резервной копии! Конечно, это не гарантирует того, что в системе не осталось компонентов, скрыто внедренных вирусом, однако такие компоненты (если они вообще есть) могут быть обнаружены по одной из описанных выше методик. Правда это требует определенного времени и не факт, что оно окажется меньшим, чем требуется для полной переустановки операционной системы.