NETSGUIDES

КОМПЬЮТЕРНЫЕ СЕТИ

Поиск:

 

Типы вирусов

Статьи / Локальные сети / Глава 15. Защита сетей / Защита от вирусов / Типы вирусов

Вирусы образуют весьма неоднородную группу. Различные вирусы вредят по-разному, а метод их атаки зависит от их типа. Тем не менее, большинству вирусов присущи такие общие элементы.

● Воспроизводящийся элемент (червь).
● Полезная нагрузка (payload).
● Логическая бомба (logic bomb), определяющая условия, при выполнении которых должна запускаться полезная нагрузка.
● Метод маскировки (троянский конь).

Данные элементы позволяют вирусу размножаться, запускать свою небольшую подпрограмму (какой бы она ни была) и маскировать себя так, чтобы он смог сделать свою грязную работу. Не во всяком вирусе содержатся все перечисленные выше компоненты. У "честного"
троянского коня, который прикидывается экранной заставкой, а затем стирает содержимое жесткого диска, мало шансов размножиться. Точно так же просто работающий червь, создавая множество собственных копий, пожирающих системные ресурсы, не всегда замаскирован.
Кроме того, вирусы можно характеризовать по операционной среде, которую они предпочитают. Если вирус присоединяется к другой программе, его называют паразитным или программным вирусом. Если же вирус в основном присоединяется к загрузочному сектору диска с данными, его называют загрузочным (или бутовым) вирусом (boot sector virus).

Примечание:
Некоторым вирусам присущи черты как программного вируса, так и загрузочного.

Единственный элемент, присущий всем вирусам — исполняемый модуль (executable element) какого-либо типа. Вирус — это программа. Следовательно, файл ASCII (скажем, сообщение электронной почты) не может быть вирусом. Конечно, вирус можно отослать как вложение в сообщение электронной почты, и если вы будете настолько неосторожны, что автоматически запустите все вложения сразу по их поступлению, вы станете "рассадником" вирусной инфекции. Однако повторяем: само по себе сообщение электронной почты не может быть вирусом — это просто невинный наблюдатель.

Программные вирусы

Программные вирусы начинают свою работу с инфицирования обычных файлов программ, в том числе и тех, что используются самой операционной системой. При запуске инфицированного файла программы вирус "взводится", подобно фанате. Он не обязательно "взрывается" сразу после запуска, однако это обязательно произойдет при выполнении некоторых логических условий.

Заражение документов. В настоящее время самый распространенный тип вирусов, встречающихся в "прериях" (т.е. за пределами вирусных лабораторий) — это макровирусы (macro viruses). Макровирусы представляют собой макросы Microsoft Office точно такие же, как и создаваемые вами. Как правило, они поражают файлы Microsoft Word. Современные вирусы создаются с помощью средств языка Visual Basic for Application (VBA) и "живут" в среде Office 97, однако некоторые пишут вирусы на Word-Basic и поэтому такие вирусы могут инфицировать файлы, созданные с помощью устаревших версий приложения Word. Несложный синтаксис этих языков позволяет писать макровирусы даже неопытным программистам — возможно, тем и объясняется их широкое распространение.
Макрос присоединяется к шаблону документа. Когда вы открываете документ, макрос инфицирует все открытые шаблоны (особенно файл NORMAL.DOT — стандартный шаблон всех документов Word). Кроме того, вирус делает то, что предусмотрено его полезной нагрузкой (payload) -вынуждает сохранять изменения, внесенные в документ, в новом файле вместо редактирования существующего, пытается удалить системные файлы или просто инфицирует каждый файл который вы открываете, с целью распространения.

Примечание:
Макровирусы Word невозможно передать в другой текстовый процессор, даже если он может отображать инфицированные документы. Разумеется, можно написать макровирусы для любого приложения, поддерживающего макроязык (macro language), однако до сих пор этого не случилось. Во всяком случае, такие вирусы не были замечены в "прериях".

Быстрому размножению макровирусов способствовали электронная почта и широкая популярность Word. В наше время большинству людей следует соблюдать определенную осторожность, когда они собираются запускать новую программу, поступившую из неизвестного источника. (Если до сих пор вас это не заботило, надеюсь, прочитав этот раздел, вы станете бдительнее.) Документ — это просто документ, верно? И вот некто посылает вам файл для ознакомления, и чтобы его открыть, вы щелкаете на ссылке в окне своего клиента электронной почты. Вы не всегда думаете о том, что документ прежде всего следует проверить на наличие вирусов. К сожалению, для отражения атак вирусов пользователи ПК должны поступать с вирусами точно так же, как клиенты Macintosh обязаны были поступать изначально: проверять все.
В операционной системе Macintosh каждый файл данных связан с исполняемым файлом. Это означает, что в компьютерах Macintosh вирусы будут бурно размножаться. Теперь же, когда эти вирусы — часть файлов данных ПК, владельцам ПК приходится проявлять ту осторожность, которая всегда была обязательной чертой пользователей Macintosh.
Как можно справиться с макровирусами? Одно из решений - защита от записи файла общего шаблона Word (NORMAL.DOT), однако это означает, что и вы тоже не можете его изменить. Если вы запускаете Office 97, не следует пренебрегать подсказкой Word, появляющейся при попытке открыть документ, содержащий какие-либо макросы. Затем вам следует задействовать или блокировать все макросы документа. (Одно из последствий широкого распространения макровирусов проявилось в снижении полезности макроинструментов (macro tool), поскольку людям не нравится использовать вставку в документ макроса, который может оказаться вирусом.) Лучший способ избежать инфицирования большинством вирусов заключается в применении и постоянном обновлении антивирусных программ. Когда кто-нибудь присылает вам документ по электронной почте, перед открытием проверьте его на наличие вирусов.
Если же ваш общий шаблон инфицирован, вы можете просто удалить файл NORMAL.DOT и уничтожить вирус. При повторном запуске приложения Word следует создать новую копию общего шаблона.

Новая мишень — системный BIOS. Это уже нечто новое. Я не собираюсь подробно описывать большинство вирусов, но вот этот — единственный в своем роде — потенциально очень опасен.
Вплоть до лета 1998 г. вирусы представляли собой чисто программную проблему. Они могли перезаписать главную загрузочную запись (Master Boot Record — MBR) на вашем жестком диске либо отформатировать диск, однако обе проблемы устранялись с помощью архивов. Конечно, это раздражало пользователей и могло разрушить систему, если вы не предпринимали надлежащих мер, однако с этим можно было смириться.
Все изменилось в июне 1998 г. с появлением вируса CIN. Этот программный вирус инфицирует .ЕХЕ-файлы, распределяя код вируса (virus code) по нескольким файлам .ЕХЕ и скрываясь в неиспользуемых областях исполняемых файлов. Полезная нагрузка (payload) выполняется 26 числа каждого месяца (или 26 июня, в зависимости от разновидности вируса, который вы "подцепили"). Этот вирус перезаписывает часть системной BIOS и первый 1 Мбайт загрузочного диска, в котором хранится MBR. Вирус воздействует на все компьютеры Windows 95/98 с системой BIOS, хранимой во флэш-памяти. Если BIOS вашего компьютера предназначен только для чтения (точнее, он хранится не во флэш-памяти — Прим. ред.), как это предусмотрено в устаревших ПК, вирус не сумеет инфицировать компьютер. Если вы не уверены, возможно ли обновление содержимого флэш-памяти с BIOS вашего компьютера (flash updates), сверьтесь с документацией на компьютер или запросите информацию у производителя.
Проблему главной загрузочной записи можно решить, если вы архивировали вашу MBR, однако вы не сможете нормально загрузиться, пока не перезапишете BIOS. В некоторых компьютерах предусмотрена возможность копирования содержимого BIOS, так что если ваша система допускает, и вы воспользовались этим, восстановление возможно. В противном случае вам придется покупать новую BIOS и уповать на то, что микросхема BIOS не припаяна к материнской плате — иначе вам придется купить и новую материнскую плату.
Хотя трудно сказать, насколько широко распространился вирус CIN, но его существование в компьютерных прериях не вызывает сомнений. Кроме того, в конце 1998 г. он "мутировал" и сейчас встречается, по меньшей мере, в двух формах.

Загрузочные вирусы

После макровирусов, второй наиболее распространенный тип вирусов, который сегодня можно встретить в прериях — загрузочные вирусы. Они активизируются и становятся заразными при чтении загрузочного сектора инфицированного диска: с этого момента вирус загружается в память и может инфицировать остальные диски, например, гибкие.
Загрузочные вирусы легко передаются, когда информация между компьютерами в основном "перемещается" с помощью гибких дисков. Какой-нибудь пользователь с вирусом в загрузочном секторе мог передать вам дискету с электронной таблицей, скажем, объема сбыта за январь. Вы скопируете эту таблицу на свой жесткий диск, причем при этом компьютер в целом еще не будет инфицирован. Однако если по рассеянности вы оставите эту дискету в дисководе (в устройстве А:) и перезагрузите компьютер, то инфицируете ваш компьютер, когда BIOS будет читать загрузочный сектор гибкого диска. Причем не имеет значение, является ли гибкий диск загрузочным — к заражению приводит даже доступ к диску. После инфицирования вашего диска при каждой последующей загрузке вирус будет попадать в память и инфицировать гибкие диски.
В настоящее время загрузочные вирусы все еще широко распространены, хотя их "значение" уменьшается. Локальные сети намного упростили совместное использование файлов, так что дискеты и сеть SneakerNet (в которой для копирования файлов на дискеты используются пешие переходы между компьютерами) применяются все реже. Что еще важнее, вездесущая Internet и доступ к другим видам электронной почты намного облегчили передачу файлов даже между компьютерами, расположенными в разных сетях.
Чтобы избежать инфицирования загрузочными вирусами, достаточно просто не загружаться с дискет. Вы должны выработать привычку всегда извлекать дискету из дисковода, т.е.
должны избегать загрузки компьютера с дискеты. Отредактируйте установки BIOS так, чтобы система сначала искала загрузочный диск с:, а затем А:. Избежать инфицирования дискет можно, прежде всего защитив их от записи, таким образом предотвратив запись на них вирусов.

Предупреждение:
Проявляйте особую осторожность при изменении порядка загрузки (boot order). Если вы случайно сделаете так, что компьютер будет загружаться с CD-ROM, он пытается загрузиться с компакт-диска, если тот вставлен в дисковод. В подобных случаях система обработки ошибок ненадежна: в некоторых компьютерах вы узнаете только то, что этот диск несистемный. Это ужасно, если вы полагаете, что читаете жесткий диск.

В качестве альтернативы, блокируйте загрузку только с дискет — именно такая конфигурация обычно присутствует в хорошо защищенных машинах. Тонкие клиентные устройства, скажем, терминалы Windows, вообще не могут инфицироваться загрузочными вирусами, поскольку в них нет каких-либо дисков.
Некоторые загрузочные вирусы полиморфны, иными словами, они загружаются в память, подобно программным вирусам, описанным ранее.