Легенды и мифы вирусологии
На винчестерах наших компьютеров, помимо игрушек, залежей любимой музыки, архивов ценного софта и больших подборок картинок, встречаются и другие, не столь приятные вещи. Это вирусы — проклятие системного администратора, страшилка для пугливого юзера и любимая игрушка недоразвитого “хакера”. Адские создания могут творить ужасные вещи: форматировать винт, методично и безжалостно вырезать бережно хранимые коллекции *.mp3-файлов или рассылать ваши пароли падким на “халяву” товарищам. Вирусы бывают самых разнообразных форм — стелсы, полиморфы, черви… похоже на бред обкуренного микробиолога, не правда ли?
Судя по письмам, пришедшим в редакцию, далеко не все наши читатели имеют представление, какие же вообще бывают вирусы. С одним-двумя видами знакомы практически все, но и не более того. Данный материал представляет собой не столько практическое руководство (хотя и без этого не обошлось), сколько маленький ликбез на тему компьютерных вирусов.
Врага надо знать в лицо
Вирус — это программа, способная к несанкционированному размножению и выполняющая деструктивные действия (хотя бывают и безобидные исключения). Вирус может потереть любые файлы, испортить BIOS или весело снести таблицу размещения файлов, матюгаться на французском или показывать порнографию с элементами зоонекрофилии. Но вирус никак не может сочным взрывом уничтожить ваш монитор (ходили такие слухи, про “фокусировку лучей кинескопа”), задушить пользователя шнурком мыши (это просто прикол) или до смерти запугать несчастного геймера эпилептическим двадцать пятым кадром, запихнутым в игрушку.
Вирус не способен к самостоятельному существованию — ему нужна плодородная почва в лице файлов (игриво настроенная программа, при запуске форматирующая винчестер, — это уже (еще) не вирус). Зараза не может попасть на вашу машину “просто так”; не в состоянии он передаваться по воздуху или возрождаться из пепла безобидных библиотек. А вот если запустить пораженное приложение или загрузиться с “больной” дискеты — головная боль обеспечена. Тут как с венерическими и им подобными болячками: что подцепишь, то и пожнешь. Привыкли шататься по подозрительным сайтам, пачками устанавливать “генераторы кредиток”, “крякеры Интернета” или “эмуляторы P4 для 486’х” — будьте любезны почаще проверяться. Вирусы могут распространяться по вашему компьютеру, заполняя диск своими копиями и поселяясь в безобидных файлах; наиболее продвинутые модификации без проблем передаются по сети или рассылают вашим друзьям “подарки” по электронной почте. Абсолютное большинство вирусов поражает операционки семейства Windows и DOS (всякий антиквариат). Поклонникам альтернативных решений вроде Linux или карманной экзотики типа PalmOS в этом плане проще. Вирей, работающих под этими платформами, существует не так уж много. Хотя новое направление моды на вирусном рынке — кросс-платформенные решения (глядишь, так и до консолей доберутся).
Вирусная классификация
На данный момент известно несколько десятков тысяч разнообразных вирусов. Все это богатство можно (и нужно) разделить на несколько групп, дабы уяснить ключевые моменты и выработать стратегию борьбы с каждым из них.
По способу проникновения на компьютер выделяются файловые, загрузочные и комбинированные вирусы. О вирусах файловых(заражение происходит в момент запуска инфицированного файла), до неприличия частых гостях на винтах неаккуратных людей, мы еще поговорим ниже. Загрузочные вирусы действуют по несколько другой схеме. Эти твари водятся в загрузочных областях дисков, активизируются при старте с содержащего их диска и в целях распространения распихивают свои копии на все попадающиеся носители. Проблем с ними быть не должно — во-первых, это по большей части пережитки ДОС. Во-вторых, оградиться от них очень легко. Просто не нужно грузиться с дискет/сидюков. Ломитесь в BIOS , меню Bios Features Setup , выбирайте опцию загрузки только с винчестера (что-то вроде Boot Device: Ide-0 ) — и проблема решена. Если для каких-то целей вам понадобится стартануть с загрузочной дискеты, временно выставьте другой диск. **Комбинированные**вирусы, как следует из названия, объединяют повадки вышеописанных типов. Встретить такого гада можно, пожалуй, лишь в коллекции вирусописателя со стажем — время их давно прошло. Дополнительно выделяют вирусы, умеющие распространяться по Сети.
По “месту проживания” различают резидентные и нерезидентные вирусы. Резидентные __ (“неистребимые”) злодеи постоянно находятся в оперативной памяти пораженного компьютера, нерезидентные __ тихонько отсиживаются по укромным файлам, выжидая. Выявить “резидента” зачастую удается без помощи специального софта (чувствуете подозрительную активность, нередко выливающуюся в различные сбои и “ошибки защиты” — “резидент” где-то рядом). Для определения заразы антивирусом достаточно лишь проверить оперативную память, что существенно быстрее полного сканирования многогигабайтного винчестера. Нерезидентные вирусы не столь активны и часто остаются незамеченными до наступления “судного дня”. Часть таких программ напоминает резидентные вирусы (держат в памяти безобидного агента, следящего за наступлением нужного момента: определенной даты, выхода в онлайн и т.п.).
По деструктивным возможностям вирусы подразделяют на безвредные и вредоносные (вторые имеют несколько градаций: одно дело написать на рабочем столе “Вася — кАзел”, другое — “убить” винчестер невезучего Василия). Эта классификация довольно условна — якобы безвредные вирусы зачастую не так уж и безопасны (нашли вы на свою голову старый-старый DOS-вирус — кто знает, чего он натворит под “мудрым” руководством очередного шедевра БГ и компании?), а самые злейшие создания бывают совершенно безобидны из-за ошибок разработчиков. Игры и “серьезный” софт, тестируемый тысячами людей, часто напоминает дикий глюкодром, что уж и говорить про вирус. Как автору проверить его деструктивные действия — не на себе же? Часть вирусов работает только — исключительно в Windows. Есть и другие классификации (по особенностям алгоритма, скорости распространения и т.п.), но их мы касаться не будем — пусть с ними возятся специалисты, нам же оно и ни к чему.
Веселые семейки
Отдельно стоят так называемые семейства вирусов — группы вирусов, сходных по своему строению и принципу действия. Часть таких “семей” — дела давно минувших дней, другие все еще гнездятся на ваших винтах, показывая острые зубки в самый неподходящий момент. Пробежимся по наиболее примечательным семействам.
Стандартные com/exe/tsr
Самая старая и уважаемая семья, заражающая исполняемые файлы, сектора жестких дисков и оперативную память. Методы их распространения просты, действия оригинальностью не отличаются. Как правило, это порча всего, что подвернется под руку, или забивание винта своими бесконечными копиями. Банально, но неприятно. Меры предосторожности не менее стандартны — не запускайте что попало и не загружайтесь с дискет непонятного происхождения. Среди добрых семьянинов выделяют группы стелс-вирусов : “невидимки”, следящие за попытками их определения и подсовывающие наивным антивирусам безобидные участки кода вместо своих кодов; раньше это была серьезная проблема, сейчас, с появлением “умных” средств защиты, это уже не так актуально. Полиморфы : “многоформенные” вирусы, прячущие жирные тела от внимательных глаз антивирусных программ за хитрыми механизмами шифрования и мутаций; вычисляются специальными методами анализа, доступного всем современным “лечилкам”. Антивирусы определяют такие вирусы под именами типа Com.XXX, Exe.XXX или Tsr.XXX.
Макровирусы
Изобретение недавних лет, внебрачное дитя M$ Office и его встроенного макроязыка — кастрированной версии Visual Basic (для написания вирусов ее оказалось достаточно). Поражают только документы Office ( Word , Excell ), распространяются с ними же (рефераты, переписываемые от соседа к соседу, кишат этой дрянью). Многие считают, что максимум вреда от макро-безобразия — проблемы с “Вордом”, но это совсем не так. Все в лучших традициях: потерянные файлы, испорченное настроение… Бороться с макровирусами можно, просто запретив “офисным” программам выполнять макросы (ищите в опциях). Отзываются на кличку Macro.XXX.
Черви
Одно из самых опасных (и старейших) изобретений вирусописателей. Чрезвычайно плодовитые вирусы, распространяемые по Сети. Классический пример — массовая рассылка электронных писем без обратного адреса (не всегда) с приложенными файлами и интригующими темами (см. выпуски новостей Интернета). Запустите файлик — заразитесь; в обычном софте эти животные почти не встречаются. Если вы счастливый пользователь MS Outlook — вам “повезло” вдвойне. “Аутглюк” может подцепить инфекцию, просто “запнувшись” на специальном html-скрипте. Так что либо обновляйте Outlook почаще, либо поставьте нормальный почтовый клиент (см. наш обзор в номере 2-3’2001 ). Побочные эффекты — удаление ваших файлов, порча архивов и т.п. (многие экземпляры умеют скачивать плагины-обновления из Интернета, все увеличивая и увеличивая свою функциональность). Классический признак заражения — внезапные проблемы с “ошибкой в модуле winsock” и яростные ругательства фаервола. Червеобразных так и называют — Worm.XXX.
Трояны
Трояны — это не совсем (совсем не) вирусы: размножаться и заражать программы они, как правило, не могут. Используются малолетними “хакерами” для воровства паролей и “шутниками” для подшучивания над приятелями. Подробный рассказ об этих вирусах ищите в “Игромании” 10’2000. Антивирусы обзывают их Trojan.XXX или BackDoor.XXX.
Специфические группы
Отдельным рядом идут более экзотичные группы — убийцы флеш-памяти (классический “чернобыльский” Win.CIH , легко нейтрализуемый запретом записи изменений в BIOS). “Конструкторы” — LEGO для молодых душой извращенцев, позволяющие любому “хакеру” собрать вирус за пару минут; никем не испробованные php- и javascript-вирусы (а шуму-то было…) и множественные мелкие безобидные пакости.
Скажи вирусу “Нет”
В статье я попытался обобщить и классифицировать всю известную информацию о вирусах с целью ознакомления вас с основными типами заразы (и способах борьбы с ней, разумеется) и развеивания глупых сказок о “страшных порождениях воспаленного разума”, простительных домохозяйке, но не серьезному геймеру. Материал ни в коем случае не претендует на охват вирусов во всех их проявлениях — это тема для толстенного манускрипта, а не короткой статьи. Но теперь вы будете иметь представление, с какой стороны можно ждать атаки. А ведь всегда быть начеку — это основная составляющая хорошей защиты. Будьте внимательны, и напасть не застанет вас врасплох.