Віруси: наживка для дурня

1. Є тільки один спосіб захистити систему від шкідливих програм: бути завжди напоготові.
2. ЩО ТАКЕ ВІРУСИ?
3. ТИПИ ВІРУСІВ
4. НЕ БУЛО ПЕЧАЛІ ...
5. ЗАХИСНЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ
6. Будьте напоготові

Є тільки один спосіб захистити систему від шкідливих програм: бути завжди напоготові.

Уявіть, що ви фанат вітрильного спорту і тільки що завантажили відеокліп зі свого улюбленого вузла Web з 30-секундним фрагментом парусної регати на Кубок Америки 1995 року. Після перегляду файлу .avi в програмі відтворення Windows 95, ваш комп'ютер раптом починає себе дивно вести: на екрані з'являється запит DOS, а потім комп'ютер перевантажується сам по собі. Що далі, то гірше - файл win.ini зникає, і з'являється 305 нових каталогів. Коли ви намагаєтеся перезавантажити комп'ютер з системної дискети, екран висвічує слово "SUCKER" (молокосос, дурник - англ.). Що ж сталося? Ви завантажили вірус разом з відеокліпом, звідси і всі ваші біди.

ЩО ТАКЕ ВІРУСИ?

Комп'ютерний вірус - це спеціальний вид шкідливого програмного коду, він записується в файл, сектор диска або місце пам'яті в цілях відтворення самого себе і розігрування користувача або руйнування системи і файлів. Вірус може проникнути в систему одним з декількох можливих шляхів: дискета, CD-ROM виробника ПО, мережевий інтерфейс або модемне з'єднання (див. Малюнок 1). При виконанні вірусу він не тільки виробляє руйнівні дії, а й записує себе в інші файли, сподіваючись проникнути через них в інші системи і таким чином інфікувати і ці ПК.

Малюнок 1. Віруси проникають в комп'ютер з дискет, через модеми і по мережевим з'єднанням.

Історично дискета - це найбільш поширений носій вірусів, головним чином через те, що вони використовувалися для перенесення інформації з одного комп'ютера на інший - як чума передається від людини до людини. Вірус завантажувального сектора проникає в комп'ютер щоразу, як ви завантажуєтесь з інфікованого диска або запускаєте інфікований виконуваний файл .exe. Однак цим шляху проникнення вірусів в систему далеко не вичерпуються. Є ще файли, що передаються з мережі або Internet на локальний ПК, і навіть файли, що виконуються в мережі. Дорожать репутацією оператори дощок оголошень і системні оператори інтерактивних служб проводять сканування нових файлів на наявність вірусів, перш ніж зробити їх доступними публіці - проте ніколи не можна бути впевненим, що отримані файли перевірені.

Проникнення вірусу в корпоративну мережу може мати руйнівні наслідки. Деякі віруси розташовуються в пам'яті і інфікують всяку виконувану програму. Нові віруси можуть навіть атакувати деякі типи файлів даних, наприклад файли Microsoft Word і Excel. Якщо вірус інфікує файл на сервері, то він заразить всяку виконує цей файл робочу станцію і таким чином пошириться по мережі. На жаль, але якщо ви не зробите превентивних заходів, то рано чи пізно вся ваша система буде інфікована.

Як і у випадку звичайної застуди, комп'ютер, атакований вірусом, починає проявляти хворобливі симптоми. Зараження людини вірусом призводить до уповільнення реакції, зміни ваги, загальної слабкості, відчуття болю, часткової або повної амнезії і навіть смерті. При інфікуванні вірусом комп'ютери проявляють аналогічні симптоми: уповільнене виконання програм в порівнянні зі звичайним, незрозумілі зміни в розмірі файлів, незвичайні і часті повідомлення про помилки, втрата або зміни даних і повний крах системи. Деякі щодо нешкідливі комп'ютерні віруси тиражуються, але не роблять нічого жахливого. Ці віруси можуть, як в прикладі з відеокліпом про вітрильному спорті, видавати на екран помилкове повідомлення. Однак в деяких випадках вірус, який атакував, скажімо, лікарняну систему життєзабезпечення і видав некоректне повідомлення, може мати фатальні наслідки. Крім того, віруси здатні завдати серйозної шкоди системі, наприклад стерти всю інформацію з жорсткого диска.

ТИПИ ВІРУСІВ

На сьогоднішній день існують тисячі різновидів вірусів, і їх кількість продовжує зростати. Кожен день нові віруси проникають в мережу, так що для захисту від вірусів розробникам програмного забезпечення доводиться постійно оновлювати свої продукти. Всі існуючі віруси можна розділити на дві основні категорії: віруси, які заражають завантажувальний сектор, і віруси, які заражають файли.

Віруси, що інфікують завантажувальний сектор, спочатку зберігаються в завантажувальному секторі дискети і проникають в систему при спробі завантажити комп'ютер, коли заражена дискета знаходиться в флоппі-дисковод. Уявіть, що ви працюєте над звітом і зберігаєте його на дискеті саморозміщуваних вірусом. Ви виключаєте систему перед відходом додому і забуваєте дискету в дисководі, а на наступний ранок, прийшовши на роботу, включаєте комп'ютер, так і не вийнявши дискету. При завантаженні комп'ютера вам надходить звичне повідомлення "Non-system disk or disk error. Replace and press any key when ready" ( "Несистемний диск або помилка диска. Замініть його і натисніть будь-яку клавішу, коли готові"). Ви виймаєте диск і натискаєте на довільну клавішу для продовження завантаження. І все б нічого, якби не та обставина, що, коли комп'ютер читав завантажувальний сектор, він завантажив вірус, і цей вірус був у комп'ютері протягом всього процесу завантаження.

Ефективним способом позбутися від вірусів завантажувального сектора є блокування можливості завантаження користувача з дискети; ви можете також задати пароль утиліті, що дозволяє і забороняє завантаження з дискети. Це гарантує, що зловмисник не зможе зловмисно розблокувати завантаження з дискети і інфікувати ваш комп'ютер. Крім того, не лінуйтеся перевіряти всі дискети на наявність вірусів і не забувайте виставляти захист від запису, перш ніж помістити дискету в дисковод. Вірус повинен бути записаний на дискету, тому захист від запису запобігає можливість запису вірусу з чужого комп'ютера на вашу дискету. Однак пам'ятайте: система захисту від запису може бути зіпсована - це трапляється набагато частіше, ніж того хотілося б.

Віруси, що інфікують файли, записуються в виконувані файли і роблять атаку кожен раз при запуску цих файлів. Отже, такі віруси вражають зазвичай довільні програми .com і .exe. Однак деякі різновиди можуть інфікувати будь-які виконувані файли типу .dll, .sys, .ovl, .prg і .mnu. Віруси прямої дії вибирають одну або більше програм для інфікування при кожному запуску містить вірус програми. Резидентний вірус ховається в пам'яті при першому запуску інфікованої програми і вражає всі наступні запускаються програми.

НЕ БУЛО ПЕЧАЛІ ...

Сімейство макровірусів Word стало сьогодні вже звичним. Ці віруси використовують макромова WordBASIC для інфікування і тиражування докуметов і шаблонів Microsoft World. Це нове сімейство вірусів переносних незалежно - віруси інфікують документи і шаблони в клієнтських операційних системах DOS, MacOS, Windows 3.x, Windows 95 і Windows NT.

Дані віруси використовують деякі особливості редактора Word для автоматичного виконання зіпсованого макрокода. Після відкриття і запуску інфікованого документа вірус вражає призначений для користувача шаблон normal.dot. Цей шаблон - базисний для більшості документів і шаблонів і доступний глобально всім шаблонів документів Word в системі. При відкритті інших документів вірус поширюється. За замовчуванням шаблон normal.dot є першим відкривається документом при запуску Word без вказівки іншого документа в командному рядку, що тут же дозволяє вірусу діяти.

Дослідники вірусів з McAfee Associates нещодавно виявили, що вірус Word Macro може інфікувати і електронні таблиці Excel. Вірус на ім'я ExcelMacro / Laroux був виявлений двома транснаціональними компаніями на Алясці і в Африці. Він тиражується, але даними шкоди не завдає. "В даний час вірус Laroux не має, мабуть, широкого поширення, однак, як тільки користувачі навчаться його виявляти, повідомлення про нього не змусять себе довго чекати, - каже президент McAfee Білл Ларсон. - Як і в разі будь-якого нового вірусу, користувачам не слід панікувати, але пильності втрачати не слід. Зробивши деякі превентивні, причому нічого рівним рахунком не варті, заходи, користувачі зможуть не допустити проникнення цього вірусу в свої комп'ютери ".

Вірус Laroux вражає файли Excel 5 і 7 у всіх версіях операційної системи Windows, але, судячи з усього, не заражає версію для Macintosh; він складається з двох макрофайлов - auto_open і check_files - і однією прихованою робочої таблиці під назвою Laroux. Користувачі можуть без зусиль визначити, інфіковані їх таблиці чи ні, вибравши опцію Macro з меню Tools. Якщо файли з іменами auto_open і check_files містяться в спускається меню макросів, то комп'ютер інфікований.

Інфекція поширюється з одного комп'ютера на інший, коли інфікована Laroux робоча таблиця, яка використовується спільно, відкривається іншим користувачем. Інфікований файл може передаватися через включення в електронну пошту, на дискетах і при обміні файлами по корпоративних мереж і Intranet. Щоб допомогти користувачам позбутися від вірусу, McAfee включила детектор Laroux свого антивірусне програмне забезпечення VirusScan. Безкоштовну робочу версію детектора можна отримати для апробування на вузлі Web компанії ( http://www.mcafee.com ).

Інший вірус, на який слід звернути увагу, - це Boza, перший вірус для Windows 95. Boza інфікує файли, але не здійснює ніяких руйнівних дій: він вражає тільки файли .exe для Windows 95. Windows NT і Windows 3.x теж використовують такого роду програми (за допомогою Win32), але вірус проявляє себе тільки в операційній системі Windows 95. Кожен раз при виконання інфікованого файлу Boza інфікує три файли в поточному каталозі.

Boza активізується при запуску інфікованого файлу 31 числа і виводить повідомлення "The taste of fame just got tastier!" ( "Смак слави став ще солодшим!") Або "From the old school to the new" ( "Старому поколінню від нового"). Boza містить також текстову рядок з іменами деяких винахідників вірусів і може призводити до збільшення довжини деяких файлів .exe.

Ще один новомодний вірус Burglar.1150 - інфікує файли резидентний вірус-невидимка. Після інфікування Burglar.1150 стає резидентним і вражає всі файли .exe при їх запуску, за винятком файлів, в імені яких є букви S або V. Таким чином, багато антивірусні утиліти не пошкоджуються вірусом, в тому числі VirusScan і VShield. Burglar.1150 проявляє себе щогодини на 14-й хвилині з комп'ютерних годинах. В цей час миготливе повідомлення Burglar / H з'являється на екрані. Burglar.1150 містить також текстову рядок "At the grave of Grandma" ( "На могилі бабусі"), хоча цей рядок і не відображається. Довжина інфікованих файлів змінюється, але ці зміни не видно, коли Burglar.1150 знаходиться в пам'яті резидентно.

Burglar.1150 може призводити до псування інфікованих файлів; крім того, інфіковані системи можуть відчувати ускладнення з утилітами управління пам'яттю.

ЗАХИСНЕ ПРОГРАМНЕ ЗАБЕЗПЕЧЕННЯ

Ніяке програмне забезпечення не в силах захистити ресурси комп'ютерів від усіх вірусів. Єдиний спосіб протистояти їх загрозу полягає в розробці активної антивірусної стратегії (включаючи програмне забезпечення) для зменшення потенційної небезпеки вірусної атаки. Головними частинами цього плану повинні стати заходи щодо запобігання потрапляння вірусів в систему і - якщо вже вони туди потрапили - виявлення та знешкодження, перш ніж вони зможуть здійснити свої зловмисні дії. Дотримуйтесь тією ж схемою, що і лікарі при дослідженні вірусів: знання про останні їх штамах і наявність коштів під рукою для їх знешкодження.

Як працює антивірусне програмне забезпечення? Зазвичай ці продукти здійснюють сканування і виявлення вірусів для захисту серверів і робочих станцій. Вони переглядають файли і шукають рядки або підписи, які стосуються відомим вірусам. Щоб бути ефективним, сканер повинен знати все віруси, тому необхідно часто оновлювати його базу штамів. Все програмне забезпечення та диски, в тому числі всі нові продукти, треба піддавати скануванню. Не забувайте оновлювати антивірусне програмне забезпечення, адже нові віруси з'являються щодня.

Детектори дозволяють перешкодити дії невідомих або мутують вірусів, не виявлених сканером. LANDesk Virus Protect NLM for Netware від Intel, наприклад, безперервно сканує одержуються та відправляються файли для запобігання копіювання інфікованого файлу на сервер або на клієнта. Результат - створення щита навколо сервера, що запобігає поширенню вірусу по мережі. Модуль NLM присікає діяльність відомих і невідомих вірусів при виявленні вірусоподібні поведінки програми на сервері. Програмне забезпечення може також здійснювати планове сканування всіх томів мережі в зручний час.

McAfee пропонує ряд продуктів, з яких VirusScan найбільш відомий. "Більшість антивірусних пакетів здійснюють сканування при доступі за допомогою резидентних програм, а вони, як відомо, нестабільні і займають критичні ресурси пам'яті, - говорить Кріс Харгет, менеджер з антивірусних продуктів в McAfee. - Недоліки TSR-технологій змушують багатьох користувачів відключати сканування, а це робить їх комп'ютери практично беззахисними перед атаками вірусів. VirusScan долає це обмеження, оскільки він розміщується у верхній пам'яті і виключає таким чином системні конфлікти ".

VirusScan діє як фільтр вірусів в реальному часі: він здійснює контроль за критичними операціями з диском - запуском файлів, виконанням програм, перейменуванням файлів, доступом до диска, запуском системи і відключенням системи. Сканування при відключенні системи гарантує, що інфікована дискета НЕ буде залишена в дисководі. VirusScan можна конфігурувати на виконання різних зумовлених дій при виявленні вірусу. Серед них видалення, ізоляція і відновлення файлів, а також запит користувача про дії. VirusScan може також видавати зумовлені повідомлення, наприклад номер телефону, за яким користувачу слід зателефонувати для отримання інструкцій про те, що робити при виявленні вірусу.

NetShield for Windows NT компанії McAfee поєднує технологію сканування вірусів із засобами управління сервера з метою зниження загрози ураження мережі вірусами. За заявою McAfee, NetShield виявляє понад 96% З 5500 відомих вірусів. З огляду на те, що NetShield є 32-розрядну програму, він дозволяє значно збільшити захищеність Windows NT без загрози функціонуванню сервера. NetShield сканує (негайно або планово) файловий сервер на наявність вірусів; а при виявленні інфікованого файлу він автоматично реєструється і або ізолюється, або віддаляється.

Norton AntiVirus for Windows 95 компанії Symantec застосовує технологію під назвою Virus Sensor для виявлення вірусоподібних дій і попередження користувачів. Це здійснюється автоматично у фоновому режимі; підписи вірусів не використовуються. Більш того, згідно з дослідженням Norman Hirsh & Associates, незалежної консультаційної фірми, яка проводить оцінку антивірусного програмного забезпечення, NAV чудово справлялася з виявленням і знищенням поширених штамів макровірусів Word.

Перед установкою системи користувачі повинні запустити компонент MS-DOS програми NAV для Windows 95 з метою виявлення і знищення вірусів у файлах перш, ніж ті опиняться в середовищі Windows 95. NAV для Windows 95 шукає відомі і невідомі віруси і ідентифікує інфіковані файли. Користувач може потім видалити або відновити пошкоджені вірусом файли. "При переході до більш потужної середовищі Windows 95 самозахист від вірусів стає для користувачів ще важливіше, - зазначає Жермен Вард, менеджер в антивірусному підрозділі групи Пітера Нортона компанії Symantec. - Корпораціям і окремим користувачам життєво необхідно очистити їх систему до установки Windows 95 і убезпечити її за допомогою постійного, автоматичного, необтяжливо сканування на наявність вірусів ".

Одне з найбільш швидкозростаючих засобів розробки - Java компанії Sun Microsystems. Поки про віруси для Java нічого не відомо, але ймовірність появи такого вірусу виключити не можна. Крім того, з огляду на міжплатформеній переносимості Java, вірус, якби він існував, міг би з легкістю поширитися серед безлічі платформ. Щоб запобігти таку можливість, антивірусний дослідний центр Symantec (Symantec AntiVirus Research Center, SARC) розробив для NAV додавання у вигляді сканера файлів для Java. Це дозволяє NAV забезпечувати захист в реальному часі і моніторинг діяльності вірусів Java в Netscape і будь-яких інших браузерах Web, що підтримують Java.

Антівірусну програму LAN-Desk Virus Protect 3.0 компании Intel орієнтоване на ПК (а не на сервери). Воно перевіряє весь комп'ютер на відомі віруси, запам'ятовуючи дві контрольні суми для кожного файлу (одну для виявлення змін в файлі і іншу для виявлення змін в тих розділах файлу, ймовірність інфікування яких найбільша; ця перехресна перевірка значно знижує число помилкових тривог). Перевірка файлового сервера здійснюється періодично. Процес верифікації LANDesk Virus Protect передбачає підтримку середовища сервера "в чистоті". Якщо файли проходять тест на наявність відомих вірусів, то вони отримують свідоцтво про незаражених. Крім того, програма робить два знімки для перевірки цілісності при наступних сканування. Цілісність файлу перевіряється періодично на предмет виявлення змін в порівнянні зі знімками і змін, характерних для вірусної інфекції. Кожен раз при оновленні бази даних про віруси всі файли автоматично скануються.

Функція Integrity Shield програми LANDesk Virus Protect захищає каталоги і файли від вірусів за допомогою заборони перезапису файлів .exe і .com в зазначених каталогах. Integrity Shield впроваджується в файлову систему NetWare, перехоплює відкриття файлів і дозволяє Virus Protect NLM сканувати їх на відомі віруси.

Що стосується робочих станцій, то при завантаженні їх необхідно захищати від вірусів, що вражають файли і завантажувальний сектор. LANDesk Virus Protect, наприклад, копіює завантажувальний сектор при установці і перевіряє його кожен раз при завантаженні комп'ютера. Даний продукт оберігає від вірусів тільки після завершення процесу завантаження: якщо ви відрізняєтеся параноїдальними нахилами, то додайте апаратну сканує систему типу EtherExpress Flash Adapter компанії Intel для захисту під час завантаження. Така система здійснює завантаження комп'ютера з флеш-пам'яті на мережевий платі, а не з жорсткого диска.

Ринок антивірусних продуктів цим не вичерпується (див. Таблицю 1).

ТАБЛИЦЯ 1 - ПОСТАЧАЛЬНИКИ антивірусного програмного забезпечення

Будьте напоготові

Де можна отримати додаткову інформацію про комп'ютерні віруси? Один із способів завжди залишатися в курсі останніх новин про віруси - це перегляд вузлів Web і інтерактивні послуги. Наприклад, на своєму вузлі Web ( http://www.symantec.com/avcenter/avcenter.html ) SARC публікує щоденні звіти про віруси з посиланнями на джерела з більш детальною інформацією. Аналогічний вузол ( http://www.mcafee.com/support/techdocs/vinfo/ ) Підтримується McAfee.

Пам'ятайте, що нові віруси з'являються щодня. Не сушіть собі голову над інфікованими комп'ютерами: практикуйте безпечні обчислення за допомогою розгортання антивірусного програмного забезпечення і процедур. Але головне, звертайте увагу на симптоми і знищуйте віруси перш, ніж вони завдадуть шкоди.