Природа и виды компьютерных вирусов

На сегодняшний день число различных компьютерных вирусов измеряется тысячами, так что возникла необходимость их классификации. Основным принципом такой классификации сегодня является место размещения вируса в компьютерной системе. В отличие от разрушительного эффекта (который может быть любым) разнообразие мест размещения вирусов и связанных с этим способов их распространения невелико. Новые методы появляются редко и обычно связаны с появлением новых средств связи или новых принципов работы программного обеспечения. При классификации вирусов по месту размещения трудности вызывают только вирусы комплексной природы, использующие для распространения несколько разных механизмов. Такие вирусы отличаются повышенной эффективностью распространения, но в этом случае и не слишком опытному пользователю легко заметить, что на его компьютере происходит что-то необычное [7, c. 67].

Выделяют следующие виды компьютерных вирусов.

Троянские кони и логические бомбы. Компьютерные вирусы берут свое начало от этих двух типов враждебных программ. Типичный троянец скрытно работает на компьютере жертвы, позволяя брать его под удаленное управление через Интернет. У программ этого рода отсутствуют средства самовоспроизведения (автоматического распространения). Они маскируются под полезную программу или присоединяются к таковой злоумышленником. Таким образом, характерной особенностью троянской программы является несоответствие явных и скрытых функций.

Разделение на троянские программы и логические бомбы условно. Под собственно троянскими программами обычно понимают программы, ориентированные на долговременное скрытное исполнение паразитных функций. Логическая бомба обычно должна сработать один раз, но с максимальной разрушительной силой. В нормальных условиях она пассивна, и поэтому пользователь не подозревает о ее присутствии. При возникновении условий активации, которые не обязательно имеют природу команды, бомба взрывается. Последствия срабатывания бомбы могут быть любыми.

С формальной точки зрения, троянские кони и логические бомбы не являются вирусами, так как не имеют средств самовоспроизведения. Но они, без сомнения, принадлежат к общей группе враждебных программ. Антивирусные программы регистрируют наличие на компьютере любых враждебных программ как заражение [7, c. 69].

Загрузочные вирусы. Программный код, в том числе и вирусный, может нести даже пустой гибкий диск, потому что любой дисковый носитель имеет служебную область, называемую загрузочным сектором. При попытке загрузки с диска процессор обращается к коду, имеющемуся в этом секторе. Если диск не является загрузочным, то такой код лишь выдает на экран предупреждающее сообщение и дает возможность повторить попытку загрузки.

Загрузочный вирус подменяет или расширяет этот код. При обращении к зараженному диску сначала происходит загрузка в оперативную память враждебного кода и только потом запускается код истинной загрузочной записи. Гибкий диск может не быть системным и не предназначаться для загрузки операционной системы. Но и в этом случае при попытке загрузки с зараженной дискеты код вируса проникает в память и заражает загрузочную область системного жесткого диска. Далее вирус активизируется при каждом запуске компьютера и поражает загрузочные области всех обнаруженных дисков, не защищенных от записи. Распространение загрузочных вирусов происходит благодаря переносу зараженных гибких дисков между компьютерами руками самих пользователей [7, c. 81].

Для защиты от загрузочных вирусов в параметрах настройки BIOS отключают возможность загрузки компьютера с гибкого диска А: Излечение зараженных служебных секторов жестких дисков обычно не представляет серьезных проблем, если не наступила стадия разрушительных действий. Гибкие диски эффективно излечиваются путем полного переформатирования. Перед этим данные можно переписать на любой другой носитель, в том числе и на жесткий диск. При копировании файлов загрузочные вирусы не переносятся — они требуют попытки загрузки операционной системы с данного носителя.

Файловые вирусы. Вирусы, дописывающие свой код к файлам, называются файловыми. Они поступают в оперативную память при запуске пораженного файла. Источники таких вирусов — исполнимые файлы, то есть файлы программ (.СОМ и .ЕХЕ), а также файлы программных библиотек, например .DLL Вирус активизируется при запуске зараженного файла. Дальнейшее его поведение может быть разным. Некоторые вирусы сами разыскивают файлы на жестком диске и заражают их, другие остаются в памяти как резидентные программы и заражают все файлы, запущенные после активизации вируса [5, c. 199].

Стелс-вирусы. Стелс-технология (stealth) используется для скрытия факта присутствия файлового вируса от антивирусных программ. Принцип действия состоит в том, что вирус перехватывает обращения антивирусной программы, разыскивающей характерные фрагменты кода, и предоставляет ей текст незараженного файла. Современные антивирусные программы успешно борются с этой категорией вирусов-невидимок. Выявить истинную картину позволяет выполнение операции чтения в обход стандартных средств операционной системы.

Полиморфные вирусы. Полиморфные вирусы пытаются ввести в заблуждение антивирусные средства, уходя от повторяющихся сигнатур. Для этого они шифруют собственный код с помощью случайного ключа, который, как правило, берется из заражаемого файла. Расшифровка кода вируса производится динамически, во время его работы.

Видимый код вируса непредсказуем, и сличать его с образцами известных вирусов бессмысленно. Для обнаружения полиморфных вирусов требуется эвристический анализ кода. Сам факт шифрования кода уже является подозрительным признаком.

Макровирусы. Долгое время считалось, что вирусы способны поражать только объекты, содержащие исполнимый код (файлы и загрузочные области носителей), но никак не объекты, в которых хранятся данные: документы, сообщения, записи баз данных. Однако вирусы такого типа сегодня более популярны, чем файловые вирусы, поражающие исполняемые файлы.

В операционной системе Windows активно используются объекты серверного типа, способные исполнять команды, хранимые в документах (файлах данных). В этом случае документ, содержащий данные, способен запускать несанкционированные процессы. При этом сам документ не является исполнителем этих процессов. Все действия выполняет иная программа, ранее установленная на компьютере и заведомо не являющаяся враждебной. Вредоносный вирусный компонент связан не с программой, а именно с документом [3, c. 46].

Документы, созданные средствами пакета Microsoft Office, могут содержать так называемые макросы, в основе которых лежит язык программирования Visual Basic for Applications (VBA). Сценарии VBA включаются в состав документа Word, Excel, Access и работают под управлением родительского приложения. Существуют средства автоматического запуска сценариев при активизации документа, что и позволяет макросам иметь вирусное содержание.

Появление первого макровируса в документе Word относится к концу 1995 г. В 1996 г. был зарегистрирован первый макровирус в документе Excel, а в 1998 г. — в документе Access. Программы компании Microsoft распространены очень широко и поэтому особенно привлекают внимание злоумышленников. Их действиям способствует политика фирмы, которая при внедрении новых технологий пренебрегает вопросами безопасности и лишь через несколько лет начинает строить оборонительные рубежи. Сомнительной популярности макровирусов способствует простота их создания и отсутствие привязки к конкретной платформе. Кроме того, передача документов происходит гораздо чаще, чем передача программных файлов. Многие документы, например в формате Word, с самого начала разрабатываются для последующей передачи. Это очень удобно для распространения заразы.

Защита от макровирусов бывает активной и пассивной. Активная защита предполагает регулярную проверку компьютера с помощью антивирусных программ и обязательную проверку документов, поступающих извне. Пассивная защита основана на настройке системы защиты средствами Microsoft Office и добровольных самоограничениях.

Впервые средства защиты от макровирусов появились в пакете Microsoft Office 97. Там была введена настройка, позволяющая блокировать запуск макросов в документах. В пакете Microsoft Office 2007 применена система проверки макросов с помощью электронной цифровой подписи (ЭЦП). Не вдаваясь в подробности, заметим, что предложенная система неудобна, трудоемка и малоэффективна. Применение специальных антивирусных средств дает лучший эффект.

Тем не менее, определенные антивирусные меры при работе с программами Microsoft Office 2007 нужны. В текстовом процессоре Word 2007 не предусмотрено безусловное отключение макросов, как в Word 97. Вместо этого можно задать уровень безопасности в диалоговом окне Безопасность [3, c. 58].

Самый надежный вариант соответствует высокому уровню безопасности. При этой настройке запускаются только макросы, полученные из надежных источников (их список приведен на вкладке Надежные источники диалогового окна Безопасность) и подтвержденные электронной цифровой подписью разработчика. Этот механизм в лучшем случае блокирует запуск вредоносных макросов, но не мешает их путешествию вместе с документом (до первого незащищенного компьютера).

На среднем уровне безопасности пользователь получает запрос при каждом открытии документа, содержащего макросы; на низком уровне все макросы, в том числе и макровирусы, подаются на исполнение.

В общем, вставка макросов в документы, передаваемые в электронном виде, — дело малополезное и хлопотное. Опытные пользователи всегда исходят из предположения, что макрос, о котором им ничего не известно, — это макровирус. Даже собственный макрос, использованный при работе над документом, необходимо удалить перед передачей документа в другую инстанцию.

Распространение макровирусов основано на заражении шаблонов, на основе которых готовятся новые документы. В первую очередь опасности подвергается наиболее общий шаблон (для документов Word это шаблон Normal. dot), лежащий в основе всех прочих шаблонов. Соответственно, макросы, встроенные в него, внедряются во все создаваемые документы. В связи с этим шаблон Normal. dot требует особой защиты. В частности, в программе Word 2007 имеется специальная настройка, вызывающая программное сообщение при каждой попытке изменить шаблон Normal. dot, что может служить предупреждением о посторонней активности — возможно, о проявлении макровируса [3, c. 59].

Для условной защиты шаблона Normal. dot дайте в программе Word 2007 команду Сервис > Параметры — откроется диалоговое окно настройки программы. Здесь на вкладке Сохранение следует установить флажок Запрос на сохранение шаблона Normal.dot.

Такая защита шаблона условна, потому что многие макровирусы способны изменять настройки программы. В частности, они способны самостоятельно сбрасывать этот флажок, открывая дорогу всем прочим макровирусам. Поэтому надо не только выполнить настройки один раз, но и регулярно их контролировать. Контролю подлежат:

• * флажок Запрос на сохранение шаблона Normal. dot на вкладке Сохранение диалогового окна Настройка;
• * переключатель Высокая на вкладке Уровень безопасности в диалоговом окне Безопасность;
• * наличие доступа к редактору Visual Basic в меню Сервис > Макрос.

Редактор Visual Basic позволяет вручную просмотреть код макровируса, если тот внедрен в текущий документ. Поэтому многие макровирусы отключают эту функцию. Если настройки программы изменились по неизвестной причине или какие-то элементы управления отсутствуют (например, пропал пункт меню Сервис > Макрос > Редактор Visual Basic или иной), это может свидетельствовать о том, что вирус проник в систему и готовит почву для активных действий. Незамедлительно проверьте компьютер с помощью антивирусной программы.

Сетевые и почтовые вирусы. Особую категорию составляют сетевые и почтовые вирусы, средой обитания которых являются компьютерные сети. Теоретически, такие вирусы могут вообще не сохраняться на носителях данных, а пребывать в оперативной памяти или находиться в процессе пересылки с одного компьютера на другой. Большие компьютерные сети работают в режиме постоянной эксплуатации, так что гибель подобного вируса в связи с выключением всех компьютеров, на которых он завелся, маловероятна.

Сетевые вирусы, или сетевые черви, используют уязвимости компьютерных сетей, чтобы передать свой код на другой компьютер и создать на нем новый рабочий процесс, исполняющий червя. Это технически сложная процедура, требующая высокой квалификации автора программы, почему сетевые черви встречаются достаточно редко. Они ориентированы на поражение серверных систем и не опасны для домашних или офисных рабочих станций.

Гораздо менее приятна такая разновидность сетевых вирусов, как почтовые вирусы. Они распространяются вместе с сообщениями электронной почты. Технический прогресс вытеснил из оборота гибкие магнитные диски, с уходом которых активность загрузочных и файловых вирусов снизилась. Их место успешно заняли вирусы почтовые, распространяющиеся через Интернет. Сегодня это один из наиболее распространенных типов компьютерных вирусов. Механизм распространения почтовых вирусов основан на сканировании адресной книги клиентского компьютера и дальнейшей рассылки сообщения от имени жертвы. Фактически, рассылка сообщений (размножение вируса) происходит немедленно после его попадания на компьютер, так что к вредоносным действиям, если такие предусмотрены, вирус также может приступать немедленно.

Существует несколько механизмов распространения вирусов в почтовых сообщениях: файловый; сценарный; на основе HTML.

В первом случае вирус эксплуатирует неосведомленность или беспечность пользователя, во втором — серверные свойства операционной системы клиентского компьютера, а в третьем — ошибки коммуникационных программ, в первую очередь Internet Explorer, Microsoft Outlook или Outlook Express.