Компьютерные вирусы и черви

Из всех вирусов известных человечеству самый заразный - свобода.

🕛 11.09.2009, 17:49

Наибольшую опасность для любого компьютера представляют вирусы и черви, являющиеся не чем иным, как компьютерными программами, написанными кем-то то ли ради "развлечения", то ли из любопытства или желания доказать, что ему по плечу создание самого разрушительного вируса или червя из всех существующих на сегодняшний день. Хотя и встречаются совершенно безвредные вирусы и черни, большинство из них приводят к самым различным неприятным последствиям: от вывода на экран бессмысленных сообщений или перевода клавиатуры в хаотический режим работы до уничтожения отдельных файлов или всего содержимого жестких дисков.
Несмотря на то что вирусы и черви не обязательно наносят какой-либо ущерб, их присутствие всегда является нежелательным для любого компьютера. Хронологический список некоторых из завоевавших печальную славу вирусов, червей и "троянских коней" приведен в таблице 7.1.

Таблица 7.1 История вирусов, червей и "троянских коней"
1986 Вирус Brain: Самый первый из компьютерных вирусов, родиной которого является
Пакистан.
1986 "Троянский конь" PC-Write: Первый "троянский конь", маскирующийся под
известную условно бесплатную программу (в данном случае - текстовый процессор PC-Write).
1988 Вирус МасМад: Первый из вирусов, атакующих компьютеры Macintosh.
1988 Вирус Scores: Первый серьезный вирус, приведший к возникновению вирусной
эпидемии среди компьютеров Macintosh.
1988 Червь Internet: Первый червь, вызвавший большой переполох в сати Internet, поскольку привел к массовому отключению компьютеров по всей стране, о чем кричали заголовки газет по всему миру.
1989 "Троянский конь" AIDS: Первый "троянский конь", который путем шифрования записанных на жестком диске пользовательских данных "захватывал" их в качестве заложника и требовал от попьзователя платы за предоставление ключа шифрования, угрожая в случае отказа уничтожением данных.
1990 Первая из электронных досок объявлений по обмену вирусами (Virus Exchange Bulletin Board System - VX BBS), появившаяся в Болгарии, с помощью которой осуществлялась торговля активными вирусами и исходными кодами вирусных программ.
1990 Выход книги Марка Людвига (Mark Ludwig) The Little Black Book of Computer. Это была одна из первых книг, предлагавшая подробные инструкции и необходимые исходные коды, с помощью которых можно было научиться писать собственные компьютерные вирусы.
1991 Вирус Tequilla: Первый полиморфный вирус, способный изменять саой анашний вид с целью помешать антивирусным программ обнаружить его.
1992 Вирус Michelangelo: Первый компьютерный вирус, серьезно напугавший средства массовой информации. Несмотря на заявления о том, что под угрозой находятся миллионы компьютеров, действительный ущерб, нанесенный этим вирусом, оказался сравнительно небольшим.
1992 Dark Avenger Mutation Engine (DAME): Первый набор инструментальных средств,
позволяющий превратить любой компьютерный вирус в полиморфный вирус. Несмотря на угрозу, таившуюся за его появлением, массовому распространению этого средства препятствовали его сложность и наличие ошибок в программном коде.
1992 Virus Creation Laboratory (VCL): Первый набор инструментальных средств,
предназначенный для создания вирусов с помощью выпадающих меню.
1996 Вирус Boza: Первый из вирусов для Windows 95.
1996 Вирус Concept: Первый из макровирусов, поражающих документы Word.
1996 Вирус Laroux: Первый из макровирусов, поражающих файлы электронных таблиц
Excel.
1996 Вирус Staog: Первый из вирусов, атакующих Unix.
199В Вирус Strange Brew: Первый из вирусов, написанных на Java.
1998 Back Orifice: Первый из "троянских коней" удаленного доступа (Remote access Trojan horse - RAT), который позвопяет устанавливать полный контроль над другими компьютерами через internet.
1999 Вирус Melissa: Парвый из вирусов, распространяющихся по электронной почте через адресные книги Microsoft Outlook и Outlook Express.

Таблица 7.1 Продолжение_
1999 Вирус Tristate: Первый макровирус, способный поражать файлы Word, Excel и Power Point.
2000 Первая крупномасштабная атака серверов с целью вызвать отказ в обслуживании на крупных Web-узпах, включая узлы Ykhoo!, Amazon.com, CNN и еВау.
2000 Червь Love Bug: Самый быстрый по скорости распространения червь за всю
историю; нанесенный им ущерб по различным оценкам составил от 2 до 15 миллиардов долларов США.
2000 Червь Timofonica: Первый из червей, атакующих мобильнее телефоны путем
генерации вызовов с зараженного компьютера.
2000 Червь Life Stages: Первый из червей, которые распространялись под видом файлов
SHS (Microsoft Scrap Object), кажущихся вполне безобидными текстовыми файлами.
2000 Phage: Первый из вирусов, предназначенных для заражения операционной системы
Palm.
2000 Liberty: Первый из "троянских коней", предназначенных для операционной системы
РаЗт. Заявлен как средство взлома для программы-эмулятора Liberty Gameboy.
2000 Web/TV Flood: Первый из вирусов, поражающих пользователей телевизионной сети
WebTV путем распространения инфекции через сообщения групп новостей Usenet.
2000 Hybris: Первый червь, способный к автоматическому самообновлению путем подключения к группе новостей alt.comp.virus и поиска новых подключаемых модулей (надстроек) для инсталляции.
2001 Klez: Быстро распространяющийся червь, который путем массовой рассылки самою себя по электронной почте заражает компьютеры полиморфным вирусом под названием ElKern даже в том случае, если сообщение читают лишь в режиме предварительного просмотра с помощью программ Microsoft Outlook и Outlook Express.
2001 Hans: Первый из вирусов, способных заражать файлы Perl.
2001 Peachy: Первый из червей, заражающих файлы Adobe Acrobat PDF.
2001 МТХ: Первая из комбинаций червь/вирус/"троянский конь". Компонент, играющий роль червя, заражает другие компьютеры путем массовой рассылки самого себя по электронной почте. Вирусный компонент пытается заблокировать доступ зараженного компьютера к популярным антивирусным Web-узлам. Компонент, который выполняет функции "троянского коня", пытается открыть "черный ход", позволяющий проникнуть в зараженный компьютер.
2002 SWF.LFM: Первый из вирусов, поражающих анимационные файлы Shockwave Flash.
2002 Myparty: Почтовый червь, который устанавливает "троянского коня" для создания
"черного хода" и связывается с автором червя, чтобы тот мог незаконно проникать в зараженные компьютеры.
2002 Scalper: Первый из червей, заражающих серверы Apache.
Каким образом различные вирусы заражают компьютер
Для заражения компьютера вирусы используют один или одновременно несколько способов:
> Заражение программных файлов
> Заражение загрузочных секторов (boot-секторов) гибких дисков
> Заражение документов с помощью макросов текстового процессора или электронной таблицы
Распространение вирусов, заражающих файлы
Вирусы, инфицирующие файлы, поражают только программы, такие, например, как WordPerefct или Microsoft Excel. Вирусы этого типа распространяются при запуске инфицированной программы. Распространение таких пирусов чаще всего происходит через съемные диски (дискеты, ZIP и даже CD) или по электронной почте.

Паразитические вирусы

При заражении файлов вирус может использовать одну из трех возможностей: присоединиться к началу или концу файла, или внедриться внутри него. (Вирусы, удаляющие часть инфицируемого файла, называются перезаписывающими (overwriting) вирусами.)
Если вирус присоединяется к началу или концу файла, то он изменяет размер файла, «о сам инфицируемый файл при этом обычно не повреждается. Вирусы такого типа называют паразитическими (parasitic) и их легко обнаружить по изменению размера файла (см. рис. 7.1). Хотя путем простого просмотра и можно заметить изменение размеров файлов, не следует использовать эту возможность в качестве систематического метода обнаружения вирусной инфекции, поскольку для этого лучше всего подходят специальные антивирусные программы.

Паразитический вирус присоединяется в начале или конце программы

Принцип работы паразитического вируса

Перезаписывающие вирусы
Более опасны перезаписывающие вирусы. Поскольку они физически изменяют любой инфицируемый ими файл путем внедрения своего тела вместо части программного кода, они могут повреждать или разрушать файлы. При запуске программ, файлы которых заражены вирусами этого типа, их нормальная работа, как правило, оказывается невозможной. Перезаписывающим вирусам часто удается избежать обнаружения, поскольку они заражают файл, не изменяя его размера.

Принцип работы перезаписывающего вируса

Вирус "Чернобыль"

Атаковавший Корею 26 апреля 1999 года вирус инфицировал ни много ни мало один миллион компьютеров, нанеся ущерб на сумму свыше 250 миллионов долларов США, Получивший название "Чернобыль" ("Chernobyl") (используется также аббревиатура С1И), этот вирус, написанный двадцатичетырехлетним Чен Инг-Хау (Chen Ing-hau), считается наиболее разрушительным из когда-либо созданных компьютер! г ых вирусов.
Вирус CIH поражает исполняемые файлы 32-битовой ОС Windows 95 и последу ющих выпусков операционной системы Windows, но может выполняться только пол управлением ОС Windows 95/98/ME. После запуска инфицированной программы вирус остается в памяти компьютера и заражает каждый файл, к которому происходит обращение.
Чтобы избежать обнаружения, вирус С1Н никогда не изменяет размеров заражаемых файлов. Вместо этого он ищет свободное место, разбивает себя на более мелкие части и встраивает их в неиспользованное пространство.
Известны три разновидности вируса CIH. Версии 1.2 и 1.3 атакуют компьютеры 26 апреля (день, когда произошла авария на Чернобыльской АЭС), а версия 1.4 - 26-го числа каждого месяца.
При срабатывании вируса CIH он начинает атаковать сразу в двух направлениях. Во-первых, он затирает жесткий диск случайными данными, записывая их поверх существующих данных до тех, пока не наступит крах системы, в результате которого запуск компьютера с гибкого или жесткого диска в конечном счете становится практически невозможным, а данные удается восстановить лишь в самых редких случаях. Мишенью второй атаки являются данные BIOS, хранящиеся во флэш-памяти компьютера (BIOS - это базовая система ввода-вывода (Basic Input/Output System), являющаяся той частью компьютера, которая управляет всеми системными устройствами, в том числе жестким диском, последовательными и параллельными портами, а также клавиатурой). Устранение этой проблемы требует замены или перепрограммирования BIOS.

Несмотря на то что от вируса CIH можно защититься с помощью любой антивирусной программы, 26-го числа каждого месяца обязательно находятся компании, которые обнаруживают у себя внезапную утерю данных.
Распространение вирусов, заражающих загрузочный сектор
Существуют вирусы, которые заражают загрузочные секторы дисков. Загрузочный сектор имеется на любом диске, причем записанные в нем данные информируют компьютер о том, каким образом следует использовать данный диск. Вирусы, поражающие загрузочные секторы, распространяются при каждой загрузке с зараженного жесткого или съемного (гибкого, ZIP, CD и др.) диска. Поскольку загрузочный сектор с инструкциями компьютеру относительно порядка использования данного диска имеется на каждом диске, то вирусы этого типа могут инфицировать любые съемные носители данных.
При включении компьютера сначала осуществляется проверка того, находится ли в соответствующем приводе гибкий диск. При наличии гибкого диска в приводе компьютер считывает его загрузочный сектор. Если гибкий диск инфицирован вирусом, поразившим загрузочный сектор, то зараженным окажется и жесткий диск, и начиная с этого момента вируссможет переходить на каждый последующий гибкий диск, встаиляемый в привод (см. рис. 7.3). В случае отсутствия гибкого диска в приводе компьютер использует загрузочный сектор жесткого диска, называемый главной загрузочной записью (Master Boot Record - MBR).
Загрузка компьютера может осуществляться также с помощью компакт-диска (CD), откуда следует, что если вирусу удастся заразить ваш CD при его создании в качестве загрузочного, то вирус будет распространяться при каждой загрузке с этого CD.
Переход по адресу: сектор 7, головка 0 Вирус, поражающий
(для копировании МВк.)П /загрузочный сектор
Как происходит заражение загрузочного сектора
1. Вирус переносит Master Boo! Record (MBR) в другое место на жестком диске.
2. Вирус копирует себя на то место, где раньше находилась MBR
3. При поиске компьютером MBR вирус указывает ему местоположение настоящей MBR,
4. Компьютер, как ни в чем не бывало, загружает сначала вирус, и лишь затем MBR, в результате чего становится зараженным,
|_/_
принцип действия вируса, заражающего загрузочный сектор диска

Вирус Michelangelo

Вирус Michelangelo, появившийся в 1992 году, был первым вирусом, о котором заговорили все средства массовой информации по всему миру. Виновником вирусной эпидемии оказалась компания Leading Edge (ведущий производитель компьютерного оборулонания), непреднамеренно поставившая на рынок несколько сотен компьютеров, зараженных вирусом Michelangelo, который поражает загрузочные секторы дисков. К тому же, месяц спустя двумя производителями программного обеспечения, компаниями DaVinci Systems и Access Software, на рынок были поставлены диски, которые также оказались инфицированными этим же вирусом.
По неясным причинам средства массовой информации быстро подхватили историю с Michelangelo и раздули широкомасштабную истерию, предупреждая пользователей, что 6 марта (день рождения вируса) вирус уничтожит все данные, хранящиеся на жестких дисках. Газета Houston Chronicle назвала вирус "сущей катастрофой ', a USA Today предрекала, что "...в пятницу крах постигнет тысячи ПК". Масла в oroEib добавила газета Washington Post, которая вышла с таким заголовком; "В ожидании завтрашнего опустошительного нападения смертельного вируса!".
Приводились самые разные оценки количества зараженных компьютеров - от пяти тысяч до пяти миллионов. За это время производители антивирусного программного обеспечения сбыли наэлектризованной публике тысячи экземпляров своих программ. Когда наступило 6 марта, пользователи всего мира обнялись, как перед смертью, в ожидании неотвратимой атаки, и ...ничего не произошло!
Хотя вирус Michelangelo не был выдумкой и действительно атаковал некоторые компьютеры, последствия его действий не составили и малой толики того, о чем во весь голос трубили средства массовой информации. Некоторые эксперты утверждали, что не будь публика заранее предупреждена об опасности, результаты действий вируса Michelangelo были бы гораздо более разрушительными. По заявлениям же других, вирус, если говорить честно, не разошелся так широко, как об этом трубили все газеты, и шумиха в прессе лишь привела к моментальному обогащению производителей антивирусных программ.
Как бы там ни было на самом деле, великий переполох, поднятый вирусом Michelangelo в 1992 году, впервые заставил задуматься о вирусной угрозе широкую публику. С тех пор каждый год в преддверии 6 марта производители программного обеспечения отмечают резкий всплеск объема продаж своих продуктов, что не может не согревать сердца их акционеров.
Распространение комбинированных вирусов
Как у вирусов, поражающих файлы, так и у вирусов, поражающих загрузочные секторы дисков, есть свои сильные и слабые стороны. Вирусы первого типа получают возможность распространяться лишь при запуске зараженной программы. Если инфицированный вирусом файл используется редко, то программа может оставаться зараженной, но вирус распространяться не будет и не сможет принести никакого вреда. Некоторые компьютеры годами остаются зараженными, но, тем не менее, никаких проблем из-за этого не возникает.

Аналогичным образом, вирусы второго типа распространяются лишь в том случае, если загрузка осуществляется с зараженного гибкого или жесткого диска. Если же вы не используете эти диски для загрузки или вообще ими не пользуетесь, то вирус распространяться не сможет.
Чтобы проще было распространяться, некоторые вирусы объединяют в себе возможности вирусов обоих типов. Получившие название комбинированных (multipartite), такие вирусы могут поражать как файлы, так и загрузочные секторы дисков, причем возможно и то, и другое одновременно. Хотя тем самым шансы заражения компьютера увеличиваются, обнаружить такой вирус гораздо легче, поскольку количество различных мест, в которых антивирусная программа может его найти, в данном случае увеличивается. Кроме того, написать подобный вирус сложнее, и поэтому на воле их гуляет не так уж много, чтобы об этом надо было беспокоиться.

Вирус Nates

Вирус Natas (слово Satan, т.е. Сатана, написанное наоборот) является одним из распространенных комбинированных вирусов, впервые заявившим о себе буйством в Мексике. Natas может инфицировать как файлы, так и загрузочные секторы жестких и гибких дисков, пытаясь при этом скрыться от антивирусных программ путем изменения своего внешнего вида.
Не считая того что он относится к числу наиболее распространенных и разрушительных вирусов, Natas примечателен также тем, что его написал хакер по имени Прист (Priest - священник), который позже перешел работать консультантом в компанию Norman Data Defense Systems, занимавшуюся разработкой антивирусных программ. Впоследствии компания решила, что не может доверять известному автору вирусов, и уволила его, успев к тому времени выслушать в свой адрес слова упрека и негодования от всего сообщества разработчиков антивирусного программного обеспечения, заявивших, что они никогда не опустились бы до того, чтобы нанимать для написания антивирусных программ человека, лично занимавшегося разработкой вирусов.

Распространение макровирусов

Макровирусы (macro viruses) заражают лишь файлы, созданные вполне определенными программами, такими как Microsoft Word или Microsoft Excel. Макровирусы распространяются при загрузке инфицированного файла, например, инфицированного документа Word.
В отличие от других типов вирусов, для написания которых используются языки ассемблера, C/C++, BASIC или Pascal, макровирусы пишутся с использованием языка программирования макросов, используемого конкретной программой. В большинстве случаев для написания макровирусов используется разработанный фирмой Microsoft язык Visual Basic для приложений (VBA), хотя некоторые из старых макровирусов написаны на языке WordBasic, который был первоначальным языком программирования макросов для Microsoft Ward.
Макровирусы заражают шаблоны, с помощью которых определяются поля, шрифты и другие параметры форматирования документов. Каждый раз, когда на основе инфицированного макровирусом шаблона создается новый документ, макровирус пытается инфицировать другой шаблон и новый документ.
Поскольку чаще всего люди обмениваются не шаблонами, а документами, то мак-ронирусы предусмотрительно придают зараженным шаблонам вид обычных документов. Поэтому может случиться так, что файл, который вы открываете для редактирования как документ, в действительности является шаблоном.
Несмотря на распространенность макровирусов, их действия (по крайней мере, во время написания данной книги) ограничиваются инфицированием документов, созданных с использованием программных продуктов фирмы Microsoft, таких как Word, Excel или PowerPoint. Хотя и делались попытки написания макровирусов для инфицирования документов V»brdPro или WordPerfect, они не увенчались особым успехом, поскольку в документах этого типа макросы сохраняются в отдельном файле. В случае же копирования документов Word или Excel на гибкий диск, через кабельную сеть или Internet в одном файле автоматически копируются как сам документ, так и связанные с ним макросы, что повышает вероятность распространения вируса.

Макровирус Concept

Первым макровирусом был вирус Concept, инфицирующий документы Microsoft Word как на платформе Windows, так и на платформе Macintosh. Хотя этот вирус написан на языке программирования макросов для документов Microsoft Word 6.0, он способен заражать документы Word, созданные и в других версиях этой программы.
По-видимому, макровирус Concept был написан исключительно для того, чтобы доказать принципиальную возможность создания вирусов с помощью языка макросов. Как следствие, вирус Concept всего лишь отображает диалоговое окно, в котором оповещает о своем существовании, не портя при этом на диске ни одного файла.

Melissa

Из других макровирусов следует отметить вирус Melissa, продемонстрировавший самую высокую скорость распространения за всю историю существования вирусов, о чем в начале 1999 писали все газеты. Этот вирус сначала инфицирует документы Word, а затем с помощью макрокоманд VBA читает адресную книгу Microsoft Outlook, популярной почтовой программы, поставляемой вместе с Microsoft Office.
После этого Melissa создает сообщение электронной почты и рассылает его по первым 50 адресам, указанным в адресной книге, помещая в поле темы фразу: "Важное сообщение от" (далее следует имя владельца компьютера), а в область тела письма следующий текст: "Высылаем запрошенный вами документ ...Просим никого не знакомить с его содержанием". К тексту электронного сообщения вирус присоединяет инфицированный документ.
Как только получатель открывает инфицированный документ Word, вирус переходит в компьютер и повторяет процесс саморассылки по первым 50 адресам, обнаруженным теперь уже в этой адресной книге Microsoft Outlook.

Если заглянуть в исходный код макровируса, то можно найти там следующее сообщение:
'WOKD/Mellssa written by Kwyjibo
'Works in both Word 2000 and Word 97
'Worm? Macro virus? Word 97 Virus? Word 2000 Virus? You Decide!
'Word -> Email I Word 97 <-> Word 2000 . . . it'в a new age!
[ервоначальная версия вируса Melissa не предпринимает никаких разрушитель-действий, но его разновидности наносят ущерб, уничтожая файлы,
Как вирусы избегают обнаружения
tupyc сможет выжить, если он останется незамеченным в течение достаточно гельного времени, которого ему хватит, чтобы перейти на другие компьютеры. бы увеличить шансы вирусов на выживание, те, кто их программирует, приме-г целый ряд тактических ходов.
Методы инфицирования
антивирусные программы могут "засекать" вирусы одним из двух способов. Во-,!ых, антивирусная программа может распознать сигнатуру (signature) вируса, ко-|я представляет собой не что иное, как характерный для данного вируса набор грукпий, указывающих ему, как именно необходимо себя вести и действовать. натуры вирусов сродни отпечаткам пальцев преступников - каждая из них уни-ьна и неповторима.
Ио-вторых, антивирусные программы стараются определить наличие вируса при i влении первых признаков его активности. Во многих случаях антивирусные про-\!мы могут обнаружить ранее неизвестный вирус, застигнув его на месте преступ-!ия при попытке инфицировать другой файл или диск.
чтобы оставаться незамеченными антивирусными программами, вирусы исполь-г для своего распространения ряд различных методов:
Непосредственное инфицирование
Быстрое инфицирование
Медленное инфицирование
Выборочное инфицирование
Резидентное встраивание в ОЗУ

Быстрое инфицирование (fast infection) - инфицирование любого файла, к кото>му обращается инфицированная программа. Если, например, вирусу удалось заразить вашу антивирусную программу - берегитесь! Всякий раз, когда инфицированная антивирусная программа проверяет файл, она на самом деле заражает его сразу же после того, как удостоверится, что он "чистый".
Медленное инфицирование (slow infection) - инфицирование лишь вновь создаваемых файлов или файлов, изменяемых легальной программой. Действуя таким спо собом, вирус пытается дополнительно скрыть свое присутствие от антивирусной программы.
Выборочное инфицирование (sparse infection) - вирус инфицирует файлы лишь спустя некоторое время после попадания в компьютер. Некоторые файлы вирус инфицирует, а некоторые - нет. Задерживая процесс инфицирования компьютера, вирус уменьшает вероятность того, что он будет обнаружен.
Резидентное встраивание в ОЗУ (RAM-resident infection) - вирус "зарывается" в память компьютера и инфицирует программу или диск каждый раз, когда вы запускаете программу или вставляете гибкий диск в привод. Инфицирование из резидентного состояния - это единственно возможный способ распространения вирусов, поражающих загрузочный сектор. Такие вирусы передаются исключительно при вставке инфицированного гибкого диска в привод и не могут распространяться по кабельной сети или через Internet, хотя при этом сохраняют способность заражать отдельные компьютеры, подключенные к сети.

Вирусы-невидимки

Обычно вирусы обнаруживают свое присутствие в процессе заражения объекта. Например, типичный вирус, заражающий файл, изменяет его размер, а также значения полей даты и времени, хранящиеся в описании файла. Однако вирусы-невидимки, использующие stealth-технологию, способны заразить программу без изменения значений параметров в описании ее файла, и, таким образом, остаются скрытыми.
Эта методика всегда используется в вирусах, инфицирующих загрузочные секторы. Когда компьютер читает загрузочный сектор, вирус сразу же загружает настоящий boot-сектор (который до этого уже был припрятан в другом месте на диске) и укрывается за ним. Это напоминает ситуацию, когда родители звонят домой с целью убедиться, что с вами все в порядке, и вы действительно отвечаете им по телефону, но не из дому, а из расположенной неподалеку биллиардной, воспользовавшись возможностями перенаправления телефонных звонков с одного номера на другой. С точки зрения ваших родителей все нормально: они сделали звонок, и вы ответили им. Однако на самом деле их звонок, поступивший на ваш домашний телефон, был перенаправлен на телефон в биллиардной. Этот пример хорошо объясняет, каким образом вирусы могут становиться "невидимыми", чтобы скрыть свое присутствие в компьютере.
В большинстве случаев вирусам, использующим эту методику, удается скрываться от пользователей, но от антивирусных программ - не всегда. Чтобы дополнительно защитить себя от антивирусных программ, вирусы могут использовать полиморфизм.

Полиморфизм

Чтобы избежать ненужного многократного заражения одного и того же файла или boot-сектора (что увеличивает вероятность обнаружения вируса), вирусы должны проверять, не успели ли они уже заразить их до этого. С этой целью вирусы осуществляют поиск собственной сигнатуры - характерного набора инструкций, входящих в тело данного вируса. Разумеется, антивирусные программы также могут найти сигнатуру вируса, коль скоро этот вирус ранее уже был пойман и изучен; в противном случае сигнатура вируса будет неизвестна программе.
Закоренелых преступников было бы очень трудно поймать, если бы каждый раз перед совершением очередного преступления они могли изменять отпечатки свои пальцев. Примерно такая же идея лежит в основе полиморфизма.
С теоретической точки зрения полиморфный вирус (polymorphic virus) должен бьы бы менять свою сигнатуру при каждом заражении файла, и тогда антивирусные программы никогда не смогли бы его обнаружить. Однако на практике, поскольку полиморфные вирусы всегда должны проверять, что не инфицируют файл повторно, они должны оставлять неизменной небольшую хорошо различимую часть сигнатуры, чтобы суметь самим определить свое присутствие в файле (тем самым оставляя также возможность их распознавания антивирусными программами).

Наступательные вирусы

Лучшая защита - это нападение. Вместо того чтобы пассивно прятаться от антивирусных программ, многие вирусы активно ищут их и атакуют. Когда вы используете свою любимую антивирусную программу, эти наступательные вирусы (retaliating viruses) либо изменяют ее таким образом, чтобы она не смогла их обнаружить, либо инфицируют ее, фактически превращая в носителя вирусов. В обоих случаях атакованная антивирусная программа отобразит на экране жизнерадостное сообщение: "Вирусов не обнаружено!", в то время как вирус благополучно перейдет в ваш компьютер.

Инфицирование с помощью червей

В отличие от вирусов (viruses), возможность распространения которых связана с зараженными ими файлами, загрузочными секторами дисков или документами, черви (worms) способны распространяться самостоятельно. Двумя наиболее часто используемыми способами распространения червей являются электронная почта и бреши в системах безопасности компьютеров, подключенных к локальным сетям или Internet.
Черви, распространяющиеся вместе с сообщениями электронной почты, называются почтовыми червями (mass-mailing worms). Типичные черви написаны на языке Visual Basic и распространяются через почтовые Windows-программы Microsoft Outlook и Outlook Express. Обычно червь обращается к адресной книге пользователя, в которой хранятся адреса электронной почты, и рассылает свою копию по всем обнаруженным адресам.

Почтовые черви распространяются особенно быстро, поскольку они попадают к жертве от имени того, кто ей, как правило, известен. Получатель, вероятнее всего, прочтет такое сообщение, и, сам того не ведая, занесет червя в свою адресную книгу, предоставляя в распоряжение червя очередной набор адресов.
Мишенью червей чаще всего становятся пользователи Microsoft Windows, работающие с программами Microsoft Outlook и Outlook Express, поскольку большинство электронных сообщений пересылается при работе именно с этой операционной системой и этими почтовых программ. Следовательно, одним из способов защиты от почтовых черней является использование других операционных систем (таких как Linux или Mac OS) или других почтовых программ (таких как Eudora или Pegasus).
В отличие от этого Inlemet-черви (Internet worms) распространяются после того, как им удастся найти в Internet компьютер, работающий под управлением определенной операционной системы, или Web-сервер с известной брешью. Найдя уязвимый компьютер, червь переносит в него свою копию, используя указанную брешь, и приступает к поиску других подходящих мишеней для атаки.
Иногда уже одно присутствие червя, рассылающего себя по электронной почте или передающего свою копию через Internet, способно замедлять работу компьютера и приводить к краху системы без совершения червем каких-либо дополнительных злоумышленных действий. В некоторых случаях вместе с червем пересылается и "полезная" нагрузка (payload), которая уничтожает данные, инфицирует компьютер вирусом или случайным образом извлекает документы, хранящиеся на жестком диске (которые, между прочим, могут содержать конфиденциальные данные личного или делового характера), и высылает их электронной почтой каждому, кто числится в адресной книге Microsoft Outlook или Outlook Express.
Как и в случае почтовых червей, излюбленной мишенью Internet-червей являются наиболее популярные операционные системы (например, Microsoft Windows или Unix) и серверные программы (например, Apache или Microsoft IIS). Чтобы уменьшить риск того, что ваш компьютер будет атакован Internet-червем, вы можете либо перейти на использование менее популярной операционной системы или сервера, либо не забывать устанавливать самые последние пакеты исправлений к программному обеспечению, закрывающие известные бреши, которые используются Internet-червями для своего распространения.
В настоящее время многие антивирусные программы способны обнаруживать также и червей, поэтому регулярно обновляйте свое антивирусное программное обеспечение, что послужит гарантией надежной защиты компьютера не только от вирусов, но и от червей.
Розыгрыши и мистификации, связанные с вирусами
Даже не создавая реальных вирусов и лишь рассылая фиктивные сообщения, можно добиться примерно такого же переполоха, к которому приводят сообщения о новых иирусах, каждое появление которых вызывает среди компьютерных пользователей вспышку паники и истерии. Самые свежие новости о подобного рода розыгрышах и мистификациях можно получить, посетив страницу Vmythsxom (www.Yinythsxom). Некоторые примеры наиболее типичных розыгрышей и выдуманных историй о вирусах приводятся ниже.

Запуск лавинной переписки

Суть одного из розыгрышей, которые особенно раздражают, состоит в том, что вы получаете по электронной почте письмо, автор которого побуждает вас переслать копию этого письма всем своим друзьям и знакомым. Благодаря такому методу рассылки сообщение не только получает возможность распространяться подобно вирусу, но и может вызвать ничем не оправданную панику и переполох.
Чтобы побудить людей принять активное участие в распространении таких сообщений, они зачастую содержат правдоподобную информацию или предупреждение о грозящей опасности. Ниже в качестве примера приводится текст сообщения, которое рассылалось в розыгрыше, получившем название "Дисней":
Приветствуем всех почитателей Диснея,
и заранее благодарим за участие в проекте Билла Гейтса, носящем название "Бета-почта ". Меня зовут Уолт Дисней, мл. В настоящее время мы, обитатели Дисней-яэнда, сотрудничаем с фирмой Microsoft, разработавшей недавно специальную программу для отслеживания электронной почты, которая будет использована для учета тех, кому направлено это сообщение. Делается все это с использованием уникальной базы данных IP-адресов. Мы проводим с этой базой эксперименты и в связи с этим нуждаемся в вашей помощи. Направьте это сообщение всем, кого вы знаете, и если общее количество пересланных сообщений достигнет 13000, то 1300 человек из общего списка корреспондентов получат по 5000 долларов каждый, а остальным летом 1999 года будет предоставлена бесплатная поездка вдвоем вДиснейлэнд и недельное пребывание там за наш счет. Желаем приятно отдохнуть!
Примечание: Дублированные сообщения не засчитываются. Дальнейшие инструкции будут сообщены вам, когда общее число участников данной переписки достигнет 13000.
Ваши друзья:
Уолт Дисней, мл., Билл Гейтс и
группа разработчиков фирмы Microsoft

Мифы о вирусах, рассчитанные на публику

Поскольку любое предупреждение о появлении нового вируса обязательно привлекает к себе внимание, известно много случаев, когда слухи о вирусах сознательно распространялись для оказания определенного воздействия на широкую публику. Как-то один порнографический узел распространил ложное сообщение с адресом отправителя: "Dave Norton, VirusCenter@CNNxom", в котором говорилось следующее: "Агентство CNN предупреждает о появлении нового разрушительного компьютерного вируса под названием "Lions Den". Согласно предварительным оценкам отток пользователей, вызванный этой вирусной угрозой, обернется для таких Internet-провайлеров, как AOL, MSN, Yahoo и Earthlink, убытками, исчисляемыми миллионами долларов". В конце сообщения предоставлялась ссылка, воспользовавшись которой читатель якобы должен был получить более подробные указания о защите компьютера, однако на самом деле попадал непосредственно на порноузел.
Испытывающая финансовые трудности рок-группа "Disturbing The Piece" сфабриковала ложное сообщение о вирусе под названием New Асе Age, с помощью которого она пыталась разрекламировать свой последний компакт-диск. В сообщении говорилось о том, что этот вирус, разработанный в рамках строго засекреченной правительственной программы ведения информационной войны, в настоящее время выкраден террористами. Сообщение сопровождалось ссылкой, которая в действительности приводила на Web-узел группы.

Источники дополнительных сведений о вирусах и червях

Всякий раз, когда вы услышите новости о возможном появлении очередного вируса, загляните на один из перечисленных ниже узлов для получения дополнительной информации:
AVP Virus Encyclopedia http://www.avp.ch/avpve
F-Seeure Security Informafion Center http://www.europe.f-secure.com/vir-info
Soph os http://www.sophos.com
Symantec http://www.symarttec.com/avcenter
McAfee Security
Trend Micro http://www.trendm icro.com/vinfo
На этих узлах содержатся списки всех известных вирусов (и псевдо-вирусов) и приводятся их характеристики, а также сведения о поражаемых ими объектах (если таковые имеются) и методиках их обнаружения. Чтобы обменяться сообщениями о компьютерных вирусах с другими людьми, посетите узлы групп новостей Usenet с адресами: comp.virus и alt.сотр.virus.
Независимо от тою, кто вы - новичок вы или опытный пользователь, будьте готовы к тому, что в любой момент ваш компьютер может быть атакован вирусом или червем. Лучший способ защитить свой компьютер - это приобрести антивирусную программу и регулярно ее обновлять. Затем позаботьтесь о том, чтобы ограничить вероятность заражения компьютера вирусами или червями, выполнив следующие рекомендации:
> Никогда не открывайте подозрительные электронные сообщения (позволяет избежать попадания в компьютер макровирусов и почтовых червей)
у Установите брандмауэр (препятствует попаданию Internet-червей)
> Никогда не запускайте новую программу, предварительно не проверив ее с помощью антивирусной программы (препятствует попаданию вирусов, поражающих исполняемые файлы)
> Никогда не используйте для загрузки системы гибкие диски {позволяет избежать попадания в компьютер вирусов, поражающих загрузочные секторы)
> Приобретите антивирусную программу и регулярно обновляйте ее (помогает обнаруживать и удалять вирусы и черви всех типов)
> Регулярно загружайте любые доступные пакеты исправлений для операционной системы, браузера и почтовой программы (позволяет избежать попадания в компьютер вирусов и червей, проникающих через известные бреши в программах)
Имейте в виду, что приступить к защите своего компьютера от проникновения в него вирусов и червей вы должны прямо сейчас, пока не успели потерять свои данные. Уже завтра эта мера может оказаться запоздалой!