Опубликовано в Gazeta.Ru от 06-07-1999 (Выпуск No 086) Оригинал: http://gazeta.ru/flopovod/06-07-1999_virus.htm |
Почему их боятся?
Компьютерные вирусы подобны таракану. Если посмотреть непредвзято, вирус - это всего-навсего программа, которая может копировать себя на другие программы, чтобы, выполняясь вместе с ними, продолжать размножение. 95% вирусных программ только это и делают. Ну, могут еще дать звуковой сигнал или вывести "приветственную" надпись. Так почему, если вирус не делает ничего, кроме того, что копирует себя, нет желающих терпеть его на своем компьютере?
Самая главная причина - люди хотят иметь "здоровые" программы, подобно тому, как они хотят иметь здоровое тело и здоровый дух. Зараженная, пусть даже безвредным вирусом, программа лишает вас уверенности, что не подведет именно тогда, когда будет особенно нужна.
Если у вас в компьютере вирусов, как блох, - нет никакого сомнения, что довольно скоро они "перейдут" на компьютеры ваших друзей и - что хуже - заказчиков или работодателей. Друзья, может быть, и простят, а вот работы можно лишиться.
Кроме того, вирусы - это лишние и бесполезные (в лучшем случае) программы, "пожирающие" компьютерные ресурсы. 99% вирусов находятся в оперативной памяти работающего компьютера, следовательно, есть вероятность того, что они войдут в конфликт с работающими полезными программами. Модуль зараженной программы занимает больше места на диске, а если таких программ много, то мегабайты, за которые плачены ваши кровные денежки, расходуются совсем не по назначению.
Прим. редактора. Немаловажным является также и то, что очень многие вирусы совершают еще и какие-либо вредные действия: затирают файлы, шифруют диски и т.п.
Типы вирусов
Заражающие загрузочный сектор
Наиболее часто встречающиеся вирусы - те, которые заражают загрузочный сектор (Boot sector) диска. Место очень удобное. Всякий раз, когда компьютер пытается загрузить операционную систему с диска (или с дискеты), он исполняет программу, записанную в загрузочном секторе и вместе с ней "выпускает на орбиту" вирус. Вирус, находясь в памяти компьютера, делает (или не делает, но может сделать) свое черное дело.
Загрузочный сектор жесткого диска инфицируется от уже зараженной дискеты. При попытке загрузиться с такой дискеты вирус считывается в память и тут же записывает сам себя на загрузочный сектор жесткого диска. Теперь, всякий раз включая компьютер и загружая операционную систему, вы загружаете и вирус. Находясь в памяти, он отслеживает каждую попытку считывания с дискеты. Если в загрузочном секторе такой дискеты еще нет вируса, злодей запишет себя туда и тем самым инфицирует "здоровую" дискету.
Наиболее распространенный вирус такого рода - Stoned. Срабатывая в определенный момент, он как бы "замораживает" компьютер, и тот перестает реагировать на клавиатуру или на мышку. Несмотря на приличный возраст, этот вирус до сих пор путешествует с компьютера на компьютер. Более "молодой" его коллега - вирус Half. Один из признаков заражения этим вирусом таков: если вы работаете в Windows, то ваш компьютер перестает распознавать модем, параллельный порт (то есть "не видит" принтер) и CD-ROM. Из-за этого "переполовинивания" вирус, вероятно, и получил свое название.
Вирусы, заражающие программы
Резидентные программы, загруженные однажды, постоянно находятся в памяти, как, например, драйверы. Идеальная "ракета-носитель" для вируса! Попав таким образом в память и тоже став резидентным, вирус записывает себя на файлы, имеющие расширение .COM, .EXE, .OVR и на файлы драйверов. Таким образом заражаются любые файлы, которые хоть когда-нибудь могут быть запущены на исполнение. Нерезидентные программы, то есть те, которые после исполнения освобождают занимаемую оперативную память, тоже подходят для "запуска" вируса. Новинка нынешнего сезона, вирус "Чернобыль", относится к этому классу. Он заражает файлы программ. 26 апреля, в годовщину Чернобыльской катастрофы, этот вирус "взорвался" и вызвал поистине катастрофические последствия. По сведениям ZDN News, "Чернобыль" повредил свыше 300 тысяч персональных компьютеров в Турции, 240 тысяч - в Южной Корее, около 10 тысяч - в США. По мнению израильской газеты "Маарив", "нападение" вируса "Чернобыль" на израильские компьютеры оказалось наиболее разрушительным из всех доныне известных в Израиле. Пострадало около 100 тысяч компьютеров.
Существуют также вирусы, которые заражают одновременно и загрузочный сектор, и исполняемые файлы.
Макровирусы
Эти вирусы - самые новые. Заражают то, что до этого, казалось бы, заразить невозможно - документы текстового процессора Word. Дело в том, что эти документы могут включать в себя макросы - программы, написанные на языке Visual Basic. Этот язык вполне подходит для написания вирусов, чем не замедлили воспользоваться "враги народа".
Опасность макровирусов в первую очередь заключается в том, что документы Word передаются с компьютера на компьютер гораздо чаще, чем программы. Кроме того, такие вирусы не зависят от операционной системы, и если документ был передан по сети с зараженного PC на Макинтош, - он будет заражать компьютер другого типа столь же успешно.
Наиболее известный макровирус - Melissa. Он распространяется, когда пользователь открывает зараженный документ Word. Вирус дает указание программе электронной почты Microsoft Outlook послать зараженный документ в качестве приложения (Attachement) по первым 50 адресам, которые находятся в адресной книге программы под шапкой "Important Message From...". Срабатывает вирус тогда, когда число минут равно дате (например, 10:26 каждого 26-го числа месяца), впечатывая в текущий документ посторонний текст.
Вирус "Melissa" парализовал работу многих крупных и мелких компаний в США. И похоже, что эти компании смогут предъявить иск конкретному человеку, автору вируса, поскольку ФБР сумело выйти на его след.
Прим. редактора. Макровирусы могут заражать не только вордовые файлы, но и Excel-евские, и вообще, файлы любой программы, которая использует макросы. Другое дело, что наборы команд у этих программ различны и поэтому вирусы "несовместимы"...
Как они распространяются
Наиболее частые пути проникновения вирусов на домашние компьютеры - чужие дискеты с "интересными" играми или "полезными" программами. Однако сейчас игры уже не помещаются на небольшое число дискет. Вместо них начинают ходить с компьютера на компьютер компакт-диски (CD). На них тоже могут оказаться зараженные программы, которые никаким антивирусом не вычистишь, так как с CD невозможно что-либо удалить. Особенно были известны своей "вшивостью" пиратские компакт-диски китайского производства.
А как проникают вирусы в компьютеры организаций? Во-первых, через любящих родителей, которые приносят на рабочий компьютер дискетку, побывавшую (и уже заразившуюся) в домашнем PC. А домашний компьютер заразило любимое чадо, которое принесло из школы "классную игрушку"...
Во-вторых, иногда вирусы переносят из одной организации в другую компьютерные техники. По идее, все их дискетки должны быть защищены от записи и, следовательно, от попадания на них вирусов. Это, конечно, делается не всегда. Как результат - опасная зараза для компьютера может прийти с тем, кто обязан компьютеры лечить. Внутри же организации, вирус со своего зараженного компьютера может передать вам коллега посредством дискеты или по сети.
Прим. редактора. Также довольно распространенным способом получения вирусов является скачивание программ из Интернета, особенно с "хакерских" сайтов. По моим наблюдениям, процентов 80 всевозможных "нюков", "крякеров", "ускорителей" и т.п. содержат либо вирусы, либо троянцев.
Защита от вирусов
Прежде всего, вот простые правила, которые помогут вам предостерегаться от нежелательного сожителя на вашем компьютере:
1. Обязательно установите на свой компьютер антивирусную программу;
2. Проверяйте каждую получаемую дискету и CD;
3. Всегда держите дискеты защищенными от записи;
4. Ограничьте свои потребности. Невозможно переиграть во все игры, невозможно сгрузить из Интернета все программы. Любимых игр на свете немного, как и любимых женщин. Полезных программ и хороших друзей тоже;
5. С подозрением относитесь к пиратским дискам. Проверяйте их обязательно! Пираты не несут никакой ответственности за ущерб, нанесенный вирусом, "подхваченным" с нелегальной копии;
6. Периодически просматривайте свой компьютер. Удаляйте "мусор", а нужные файлы, содержащие невосстановимую информацию - дублируйте на дискеты или на другой диск. Чтобы потеря информации не оказалась катастрофической, будьте к ней всегда готовы;
7. Антивирусные программы обычно предлагают создать аварийную дискету (Rescue Disk). Не пренебрегайте этой возможностью. Храните созданную дискету на случай, если вирус все же проникнет в ваш компьютер. Тогда, загрузившись с помощью этой дискеты, вы будете уверены, что в памяти компьютера нет резидентных вирусов. С помощью антивирусной программы, которая находится на этой же дискете, можно восстановить поврежденный загрузочный сектор, а также просканировать жесткий диск, чтобы найти и обезвредить вредителей;
8. В антивирусных программах, как в любви, важна не интенсивность, а регулярность. Если у вас имеется не самый крутой антивирус, но есть возможность его постоянного обновления, то это лучше, чем пользоваться программой - чемпионом прошлого года;
9. И наконец, не паникуйте, узнав, что на вашем компьютере поселился вирус. По наблюдениям знающих людей, основной вред от антивируса заключается в неправильных действиях перепуганного пользователя. Выключите компьютер, выпейте кофе, посоветуйтесь с друзьями и знакомыми. А затем - к делу. Если у вас есть достаточно "свежая" антивирусная программа, удаление вируса - процедура почти рутинная. Пример из личного опыта - борьба с недавно проявившим себя вирусом "Чернобыль" - описан в конце этой статьи.
Антивирусные программы
Журнал PC Magazine в конце 1998 года провел тестирование дюжины коммерческих антивирусных программ, имеющих хождение на западном рынке. По данным этого обзора, коммерческая антивирусная программа должна иметь следующие возможности:
1. Создавать аварийную дискету;
2. Сканировать загрузочный сектор и создавать копию исходного загрузочного сектора;
3. Сканировать файлы, включая архивные (.ARJ, .ZIP, .RAR);
4. Сканировать оперативную память;
5. Автоматически сканировать диск по заранее заданному расписанию. Например, каждую ночь в 2 часа;
6. Проверять файлы при их поступлении на компьютер. При обращении к дисковому или сетевому устройству, сканировать эти устройства в поисках вирусов. При перезагрузке проверять, не осталась ли в дисководе дискета, и предупреждать об этом пользователя;
7. Сканировать диск в фоновом режиме. То есть, пока вы работаете, программа-антивирус должна отслеживать, "чтоб звериной тропой в край навеки родимый никогда не пройти никакому врагу";
8. Обнаруживать макро-вирусы в документах Word и Excel;
9. Регистрировать результаты просмотра в виде отчета на экране или в распечатке.
Что можно сказать, посмотрев результаты тестирования? Антивирусные программы идут, что называется, грудь в грудь. Различие в ценах не всегда отражает лучшее качество. Чемпион 1998 года - Norton AntiVirus 4.0 - стоит вполовину дешевле тоже очень неплохого антивируса ThunderByte 8.03. У последнего, правда, есть весьма существенный недостаток - он не позволяет создать аварийную дискету и бесполезен, если ваша система "рухнула". Например, эта программа не поможет, если ваш компьютер пострадал от вируса "Чернобыль".
Весьма хорош антивирус ветерана антивирусной индустрии McAfee - Network Associates. Его большое достоинство - возможность бесплатно "скачать" программу из Интернета.
С гордостью можно сказать, что очень хвалят программу eSafe Protect - продукцию известной в Израиле фирмы EliaShim. Отмечается, что eSafe Protect - не просто антивирусная программа, но комплексная защита от проникновения вирусов в ваш компьютер, в том числе, и из Интернета.
Прим. редактора. Я бы также отметил российскую разработку AVP. Программа очень неплоха, хотя и отличается "повышенной подозрительностью", периодически обнаруживая вирусы и троянцев там, где их нет.
Если вы выбираете антивирус для бизнеса, можете смело остановиться на Norton AntiVirus 5.0 или на eSafe Protect. У этих антивирусов есть немаловажное достоинство. Если вы - зарегистрированный пользователь, то можете постоянно обновлять программу через Интернет. Тогда вы всегда будете во всеоружии и, я уверен, отразите любую вирусную атаку!
"Для дома, для семьи", по моим наблюдениям, антивирус обычно не покупают. Отчасти оттого, что не считают антивирусные программы насущно необходимыми. И зря! Я не агитирую за обязательную покупку достаточно дорогих программ. Но антивирус должен быть (и действовать) на вашем компьютере. Где достать? Можно принести с рабочего компьютера, можно выпросить у друзей. Можно снять с Интернета условно-бесплатные антивирусные программы. В любом случае помните о том, что хорошая антивирусная программа - "свежая" программа. То есть не ленитесь регулярно обновлять свою "броню".
Практическое занятие (вирус Чернобыль). 26 апреля 1999 года
Рассмотрим, как действовать при нападении вируса на ваш компьютер. За примером далеко ходить не придется - не так давно мне пришлось бороться на работе и дома с компьютерным вирусом "Чернобыль".
Я уже упоминал о том, что число пострадавших от вируса "Чернобыль" в Израиле - около 100 тысяч. Цифра грандиозная. В семидесяти процентах случаев, пострадавшие - это владельцы домашних компьютеров, но вирус навестил также системы больничных касс, правительственных учреждений и даже некоторых компаний высоких технологий.
1. Получение предварительной информации
Между тем, вирус "Чернобыль" - не новый. Он известен компьютерным фирмам, специализирующимся на создании антивирусных программ с июля прошлого года. Фирмы, производящие антивирусные программы, за две недели до 26 апреля разослали своим пользователям предупреждения о возможности вирусной атаки и описание действия вируса "Чернобыль".
Заражает он файлы программ Windows 95/98, так что пользователи Windows 3.11 или Windows NT могут не беспокоиться. Соответственно наиболее вероятные пути получения этого вируса - скачивание файлов из Интернета, перенос посредством дискеты или запуск файла-приложения (Attachement) к электронному письму.
26 апреля 1999 года вирус сработал в первый раз. Срабатывая, вирус пытается повредить Flash BIOS. Это программа, которая управляет загрузкой операционной системы в момент включения компьютера, а также обслуживает передачу данных от процессора к периферийным устройствам - жесткому диску, клавиатуре, параллельному и сериальным портам. При повреждении BIOS, ваш компьютер "умрет". Включив питание, вы не увидите никаких надписей на экране и не услышите гудка, свидетельствующего об окончании проверки устройств компьютера.
Кроме этого, вирус портит жесткий диск, записывает на него всякую ерунду и затирая ваши данные. Запись производится в первые секторы на каждой пластине жесткого диска. Это приводит к значительной потери информации.
2. Модернизация антивирусной программы
Получив предупреждение о возможной вирусной атаке, позаботьтесь о немедленной модернизации антивирусной программы, которой вы пользуетесь, или приобретите новую программу.
Следует отметить оперативность компаний Symantec, McAfee, и EliaShim, которые не только сообщили об опасности, но и положили на свои сайты лекарство - программы для уничтожения этого вируса. Правда лекарство появилось в самую последнюю минуту, 25 апреля, но и на том спасибо.
Я рекомендую пользоваться программой KILL_CIH.EXE от Symantec и антивирусом McAfee.
3. Не включайте компьютер, если вы подозреваете, что он заражен
26 апреля утром я запретил своим детям включать домашний компьютер, чтобы не инициировать вирус.
4. Подготовка аварийных дискет
Создавать аварийные дискеты следует заранее - при установке антивирусной программы на ваш компьютер. Естественно, что создавать аварийные дискеты следует на незараженном компьютере. Для предосторожности я проверил свой рабочий компьютер с помощью программы KILL_CIH.EXE. Убедившись, что этот компьютер не заражен, я приготовил 3 дискеты. На одну - загрузочную - я поместил последнюю версию программы-антивируса, а на две других - файлы, содержащие информацию о более чем 4600 вирусов. Приготовив дискеты, я защитил их от записи.
5. Загрузка с аварийной дискеты и сканирование жесткого диска
Вечером я приступил к проверке домашнего компьютера. Вставив первую дискетку в дисковод, я включил компьютер и, затаив дыхание, прислушивался, заработает ли он, засветится ли экран. Компьютер начал загрузку с дискетки. Я запустил программу-антивирус, и она начала сканировать диск. Результаты поразили и озадачили. Почти все программы были заражены. Вирус только и ждал своего часа! Но не дождался. Работа по очистке компьютера от вируса "Чернобыль" заняла в общей сложности 4 часа.
6. Анализ повреждений и их исправление
В трагический день 26 апреля в компании, где я работаю, вышли из строя сразу четыре компьютера. К счастью, вирус не повредил BIOS, и я смог загрузить операционную систему с дискетки и проанализировать повреждение. Исчез раздел (Partition) жесткого диска, и BIOS не мог его распознать. Попытка восстановить раздел с помощью Norton Utilities не удалась. Тогда было применено "сильнодействующее" средство: программа Tiramisu, позволяющая восстанавливать информацию даже с такого диска. К сожалению, и эта программа оказалась не всесильной, - она не смогла восстановить данные в двух из четырех компьютерах. Пришлось переформатировать диск и заново установить операционную систему и рабочие программы. К счастью, все "заболевшие" компьютеры были подключены к сети и данные хранились на сервере, так что потерь важной информации удалось избежать.
Статья опубликована с любезного разрешения Израильской газеты Интерфейс
Пишите нам: info@gazeta.ru Copyright © Gazeta.Ru |
При перепечатке и цитировании ссылка на источник с указанием автора обязательна. Перепечатка без ссылки и упоминания имени автора является нарушением российского и международного законодательства, а также большим свинством. |