Вирусы - болезнь нового тысячелетия. Теперь это уже не биологические организмы, а творения рук человеческих. Убытки от деятельности вирусов несут не только крупные интернет-компании, для которых несколько часов простоя оборачиваются многомиллионными потерями (наиболее ярким представителями таких компаний являются интернет-магазины), но и пользователи. Вирусы либо просто издеваются над ними, либо расправляются с информацией на жестких и сетевых дисках, а иногда и портят микросхемы. Чтобы обезопасить себя от виртуальной инфекции необходимо придерживаться особых правил компьютерной гигиены и пользоваться специальными антивирусными программами. Но важнее этого - иметь преставление о том, как функционируют сами вирусы и антивирусное ПО. Только поняв внутреннюю сущность всех процессов, вы сможете быть уверенным в собственной безопасности.
Почему?
Чтобы разобраться в мотивах, толкающих людей на создание киберпаразитов, мы обратились к независимому эксперту по безопасности Крису Касперски.
У вас есть опыт создания собственных антивирусов?
Крис Касперски: Да, одно время я занимался ими и даже достиг кое-каких успехов, во всяком случае, мой антивирус находил и автоматически обезвреживал практически все резидентные и стелс-вирусы (все известные мне - обезвреживал точно), причем занимал всего 10 или даже меньше килобайт (сейчас уже не помню сколько точно), ну в довесок еще содержал монитор, контролирующий обращение к жесткому диску, посадку в память и т.д. Разумеется, все это было под старушку MS-DOS и писалась в первую очередь для себя, а когда я впоследствии перешел на Windows, то переделывать антивирус мне стало просто лениво и я его забросил. Да и современные вирусы стали мне просто не интересны, поскольку в своей массе они пишутся школьниками на БЕЙСИКе и не содержат никакой изюминки. Правда, недавно по почте получил Интернет - червя, написанного хоть и на MS Visual C++, но довольно аккуратно и профессионально, что для сегодняшнего дня какая-никакая, а все-таки редкость. С удовольствием тут же его дизассемблировал!
Как Вы думаете, почему люди пишут вирусы?
Крис Касперски: Попытка объяснить мотивы написания вируса одними лишь мотивами "напакостить" и "навредить" не отражает действительной ситуации. Прежде всего, "вирус" это еще не означает "вредитель". Множество вирусов ничего не делают, только выводят безобидные лозунги или забавные видеоэффекты. Кроме психологического дискомфорта ("Ой, на моей машине страшный зверь - вирус") никакого вреда они приносят. К тому же, большинство вирусописателей просто не осознают причиняемого ими вреда. Они же не наблюдают воочию убитого горем владельца жесткого диска, который был хорошо "покусан" вирусом, перемешивавшим все служебные данные в одну большую кашу...
Спросите любого солдата, что легче: убить из винтовки одного человека в упор или, пальнув с закрытых позиций из пушки, уничтожить десятки врагов, гибнущих где-то там за линией горизонта, - а может и не гибнущих - кто же знает, куда попадет снаряд. Очень легко запускать вирус на BBS, не отдавая отчета своим действиям. Ведь пострадавшие пользователи не видны.
Информационные технологии изменили мир, передернули всю систему человеческих отношений. Как легко парить над клавиатурой, едва касаясь кнопок, видеть перед собой терминал и посылать по сети, кибернетическое чудовище, пробирающиеся сквозь лабиринты компьютерных сетей и пещер, словно легендарный Минотавр. Цель - не человек. Его цель - информация, которую он разрушает, словно камни, растирая в порошок.
Вот где собака порылась! Вирусописатели просто не осознают ценность информации, - для них это просто упорядоченные биты и байты. С их точки зрения они ничего кощунственного не совершают, - подумаешь, переупорядочивают, увеличивают энтропию, то есть беспорядочно разбрасывают содержимое жесткого диска, как золу от костра. К тому же быть вирусописателем - это престижно. Особенно в глазах знакомых подростков. Точно так, как когда-то считалось верхом крутости стрелять из рогаток или воровать с лотка сигареты. Новое время принесло с собой новые забавы.
Если смотреть в корень, то не кроется ли тайна такого количества вирусов в социальных причинах?
Крис Касперски: На мой взгляд, ситуация объясняется тем, что современные родители напрочь забыли о воспитании своих детей, в частности, о прививании в них уважения к своему и чужому труду, да и просто уважения к вычислительной технике, наконец! Далее. Бесконтрольный доступ к вычислительной технике и глобальным сетям сегодня получило очень большое количество людей, многим их которых, мягко говоря, в иное время Родина не доверила бы и лопату. Так стоит ли тогда удивляться происходящему? Вирусы - это наглядный показатель уровня цивилизованности человечества.
Можно ли как-нибудь "перевоспитать" вирусмейкеров?
Крис Касперски: Пока вирусописатель сам пару раз не окажется в ситуации жертвы, он будет оставаться со своим мнением. И никакие уговоры или разъяснения не помогут. Ведь чаще всего написанием вирусов "страдают" студенты и школьники, для которых компьютер - занимательная игрушка и средство времяпрепровождения. Сотри такому пару ценнейших файлов на диске, - думаете, он сильно огорчится? Как бы не так, даже порадуется, что теперь появился хороший повод восстановить все заново, да еще лучше прежнего!
Все равно, что топтать кулички, играющего в песочнице ребенка. Раздавили? Вот вам - сейчас опять слеплю. Нет смысла грохать винт вирусописателям, это не только не наставит их на путь истинный, но и не огорчит.
Для них весь мир - игрушка. Компьютер игрушка, и вирус - игрушка. Да и что можно программировать на сегодняшних компьютерах? Игру "крестики-нолики" - не интересно. Шахматы - слишком сложно для начинающих. Вирус - это одновременно и просто, и интересно. Лучшего полигона для изучения ассемблера, по-видимому, не найти. Неудивительно, что вирусы - это юношеская болезнь практически всех программистов. Через это проходят и талантливые самородки, и бездарная серость.
Бесполезно с этим бороться. Ничего изменить все равно не удастся. Вирусы пишутся и в тех странах, где за это можно без разговоров угодить на долгие годы за решетку. Наивно думать, что введение аналогичных законов в России позволит заметно изменить ситуации. Но если бы вирусам и их авторам уделяли бы меньше внимания, поверьте, их ряды бы сразу и быстро поредели.
Лекарство
Сегодня одной из главных защит от вирусов являются антивирусы. Только эти программы способны предотвратить угрозу заражения и вылечить уже инфицированные файлы. Хотя последнее возможно далеко не всегда. Сами антивирусы различаются между собой по функциональности, предназначению и качеству предлагаемых услуг. Общепринятой является следующая классификация:
Сканеры;
Мониторы;
Поведенческие блокираторы;
Интегрирующиеся модули;
Инспекторы изменений;
Узкопрофильные вакцины.
Сканеры - это самые древние санитары нашего компьютера. Однако со временем они не утратили своего значения и сегодня по-прежнему остаются эффективным средством борьбы с кибер-заразой. Если разбираться более подробно, то именно сканер является ядром любого антивирусного пакета. При рассмотрении других видов защиты мы не раз будем к нему возвращаться.
Сканер - это программа, которая проверяет, заражен ли какой-либо файл вирусом. Есть два способа сканирования: поиск сигнатур и эвристический анализ. Каждый вирус, занесенный в базу антивируса, имеет определенные признаки, которые позволяют однозначно идентифицировать его во множестве полезных программ. Такими признаками являются сигнатуры. Это части кода вируса, присущие только ему и никому более. Именно их поиск и есть основная задача сканирования по сигнатурам. Этот способ является самым старым и применяется со времени появления первых вирусов. Его минус в том, что он не может гарантировать даже 50% безопасности, так как является прямолинейным. У вирусов есть два способа обмануть такой антивирус. Первый, изменит часть своего кода так, чтобы поменялся ее размер. При этом все деструктивные функции сохраняются. Но сигнатура то уже другая! Ведь в антивирусной базе запись о признаках вируса статическая, а в жизни злоумышленники чаще всего просто вставляют пустые операторы в тело вируса и получают новый экземпляр инфекции. По сути, он является лишь клоном предыдущего вируса, но ведь антивирусу этого не объяснить! Самое интересное, что создавать такие "новые" паразиты может кто угодно, даже ребенок, который только пошел в школу. Конечно, разработчики антивирусных средств знают все такие трюки и стараются их предусмотреть, что получается далеко не всегда. Но создание "двойников" - не единственный способ борьбы со сканированием по сигнатурам. Очевидно, что такой сканер будет беззащитен против новых вирусов. Ведь их данные не занесены в антивирусную базу. Поэтому новый вирус поймать этим способом невозможно ни практически, ни теоретически. Вообще, победа над новыми, еще неизвестными, вирусами - это голубая мечта любого антивирусного разработчика, ну и таких пользователей, как мы с вами. К сожалению, сегодня никто не сможет гарантировать безопасность ваших данных от только родившейся заразы. Хотя определенные шаги в этом направлении уже сделаны. Следующим способом работы сканера является эвристический анализ. Его цель - поиск новых вирусов. Сам анализ осуществляется так: антивирус полностью эмулирует операционную систему и запускает в ней вирус. Тот не замечает подмены и начинает свое черное дело. В этот момент антивирус должен определить, являются ли действия запущенной программы деструктивными или нет. Руководствоваться он при этом должен теми зачатками искусственного интеллекта, что заложили в него разработчики. Здесь кроется то ноу-хау, которое обычно не обсуждается на публике. Доподлинно известно, что мозгов у такого анализатора - немного, и ловля вирусов с его помощью - скорее исключение, чем правило. В связи с этим многие антивирусные пакеты не включают в свой состав эвристические анализаторы.
Современный сканер чаще всего умеет не только находить инфекцию, но и лечить уже зараженные объекты. Следует отметить, что лечению поддаются не все вирусы. Многое зависит от алгоритмов их работы. Если вирус запишет свое тело, не модифицировав при этом заражаемую программу, то лечение возможно почти всегда. В противном случае, восстановить утерянные данные - невозможно. Почти все макровирусы поддаются лечению, а вот что касается инфицированных Java-аплетов и ActiveX-компонентов, то на излечение не стоит и надеяться.
Сканер - это лицо любого антивируса, его визитная карточка. От того, как хорошо сканер лечит зараженные объекты и имеет ли он встроенный эвристический анализатор, зависит успех всего антивирусного продукта в целом.
Монитор - это программа, которая постоянно загружена в память. Ее основная задача - следить за всеми файлами, к которым обращается операционная система. Предположим, вы хотите открыть какой-то файл. После вашего двойного щелчка мышью на нем ОС начинает искать программу, с помощью которой нужно открыть файл, потом запускает эту программу и т.д. Если включен антивирусный монитор, то всем вышеперечисленным действиям предшествует одно - проверка открываемого файла на вирусы.
Монитор позволяет без вмешательства пользователя осуществлять проверку любых файлов. Теперь, если вы переписываете данные с дискеты, вам не нужно самому проверять их на вирусы. Монитор сам все сделает перед сохранением информации на винчестер. Проверит каждый файл и только в случае опасности выдаст предупреждение. Во всех остальных случаях антивирусный монитор свое присутствие не обнаруживает.
В принципе монитор является лишь высокоуровневым интерфейсом, позволяющим оптимизировать работу пользователя. Его задача сводится к определению файлов, с которыми работает ОС, и вызову сканера для их проверки. Обратите внимание, монитор не лечит инфицированные объекты, а всего лишь обеспечивает связь между сканером и пользователем.
Поведенческий блокиратор - это программа, анализирующая действия других приложений, с целью выявить, заражены ли те вирусом. Ее алгоритм работы описать достаточно просто. Блокиратор знает набор недопустимых действий, которые другим приложениям воспроизводить запрещено. Если какая-нибудь программа попытается реализовать хотя бы одну операцию из "черного списка", значит она либо заражена вирусом, либо сама им является. Вот простой пример. Если программа пытается отослать в сеть файл user.dat - значит, она - вирус. Если приложение ищет на жестком диске адресные базы Outlook, значит, это - вирус. И т.д. Следует отметить, что перечислить все запрещенные действия программ невозможно, поэтому поведенческие блокираторы применяются только в тех средах, где набор функций строго ограничен. Например, в MS Office. Язык, используемый для работы с макросами, называется VBA. Хотя по деструктивным действиям он не уступает ни Delphi, ни Visual C++, его вредоносные команды по большому счету ограничены. Поэтому создание поведенческого блокиратора для такой среды является самым оптимальным решением. Кстати говоря, такой продукт уже существует. Он называется Office Guard (входит в состав "Kaspersky Antivirus Pro"), разработала его "Лаборатория Касперского". У поведенческих блокираторов есть две основные особенности. Во-первых, их практически не надо обновлять. Ведь "черный список" составляется раз и навсегда. Поэтому они обеспечивают 100% защиту от любых вирусов (в данном случае антивирус не имеет базы и ему все равно, создан ли атакующий вирус несколько минут назад или старше самого пользователя). Это, безусловно, плюс. Во-вторых, поведенческий блокиратор не способен лечить файлы. Единственная его функция - проанализировать поведение программы и в случае некорректных действий полностью ее блокировать. То есть, если блокиратор укажет, что какая-то программа инфицирована, вы должны проверить ее сканером. Если сканер ничего не заметит, то остается только один выход - послать зараженный файл в антивирусную компанию, продукцией которой вы пользуетесь. Там заразу исследуют и создадут обновление антивирусной базы. Установив которое, вы сможете попытаться вылечить вирус.
Интегрирующиеся модули - это сравнительно новые утилиты. Они не несут в себе новых возможностей, а лишь позволяют более полно использовать старые. Их основная задача - обеспечить слияние антивируса и какого-нибудь приложения для оптимизации работы антивируса.
Сегодня вы можете интегрировать антивирус в почтовый клиент (The Bat!, Outlook...), MS Office, брандмауэр и т.д. Такой возможностью надо пользоваться всегда, так как слияние позволяет избежать множества ошибок, которые могут привести к некорректной работе антивируса. Например, многие антивирусы не могут обрабатывать почтовые базы Outlook и временные файлы The Bat! После установки интегрирующегося модуля эти проблемы исчезнут.
Инспекторы изменений - это программы, следящие за всеми изменениями файловой системы, загрузочной области жесткого диска и важных файлов. Принцип их работы следующий. Когда вы запустите инспектора впервые, он создаст образ вашего диска, в котором будет храниться информация обо всех каталогах и файлах вашего диска. Основное внимание уделяется их размеру и контрольной сумме (параметр, позволяющий установить, был ли файл модифицирован, даже если его размер не изменился). Теперь, в зависимости от ваших настроек, либо при каждой перезагрузке, либо раз в день, либо раз в неделю во время старта ОС будет запущен инспектор изменений, который создаст новый образ вашего диска и покажет все изменения. Если модификации подверглись важные системные файлы, то будет выдано сообщение об опасности. После этого вы должны, используя сканер, провести детальное исследование подозрительных объектов. Заметьте, что сам по себе инспектор не лечит инфицированные данные, он лишь служит для подстраховки действий монитора.
Вакцины не входят в состав антивирусных пакетов. Их распространяют бесплатно многие антивирусные компании. Вакцина - это программа, которая ищет и лечит только один определенный вид вируса. Эффективность вакцин повышается во время эпидемий той или иной инфекции. За счет того, что вакцина рассчитана на борьбу лишь с одним вредителем, она очень быстро ищет (по сигнатурам) инфицированные файлы и довольно качественно их лечит.
Сегодня наиболее оптимальным вариантом является использование всех средств антивирусного пакета (иногда с дополнениями). Например, установив "Антивирус Касперского Про", вы получите в свое распоряжение: монитор, сканер с эвристическим анализатором, поведенческий блокиратор для MS Office, инспектор изменений и модули для интеграции антивируса с почтовыми клиентами. Если же вы остановите свой выбор на пакете DrWeb, то вам будут доступны монитор и сканер с эвристическим анализатором. Модули для интеграции программы с почтовыми клиентами можно переписать лишь с сайта разработчика. Там же доступен инспектор изменений.
Только использование всех предлагаемых средств может гарантировать вам надежную защиту от вирусов. Не пренебрегайте советами Евгения Касперского - обновляйте антивирусные базы хотя бы раз в два-три дня.
Мнение эксперта
На наши вопросы любезно согласился ответить Евгений Касперский, глава антивирусных исследований "Лаборатории Касперского".
Вы не могли бы перечислить самые опасные современные вирусы?
Евгений Касперский: Опасные с точки зрения вероятности их обнаружить на своем компьютере - это, конечно же, печально известный Klez, за свою плодовитость получивший прозвище "Клещ". Далее, черви Lentin, Frethem, Desos. Естественно, здесь не обойдется и без традиционных вирусов CIH, и червей Hybris и Magistr.
Опасные с точки зрения деструктивных побочных действий - тот же CIH, который уничтожает данные и микросхему Flash BIOS; Sircam, отсылающий с зараженного компьютера случайные файлы (в том числе и сугубо секретные) и целый ворох "троянцев", похищающих информацию.
Среди перечисленных Вами экземпляров нет ни одного макровируса…
Евгений Касперский: Макро-вирусы сегодня практически вывелись - посмотрите на нашу ежемесячную статистику, здесь сплошные сетевые черви.
Так что, макровирусов уже не осталось?
Евгений Касперский: Среди "диких" вирусов, т.е. тех, которые вызывают реальные заражения - практически нет.
Каковы вообще принципы работы вирусов?
Евгений Касперский: Вирусы - это программы, способные к саморепликации и записи своих копий в другие программы. Проще это называется "размножение". Замечу, что сегодня "чистых" вирусов практически не осталось: современные вредоносные программы это смесь вирусов, сетевых червей, а иногда и троянцев в придачу.
А что такое сетевые черви?
Евгений Касперский: Сетевые черви - это вредоносные программы, имеющие способность распространяться по сетям. Например, по Интернет, IRC-каналам, файлообменным сетям (например, KaZaA, Gnutella). Наиболее многочисленная группа этого класса - почтовые черви, рассылающие свои копии по электронной почте.
Вы не могли рассказать немного о сетевом черве Klez?
Евгений Касперский: Пару лет назад я бы назвал его уникальным, но сегодня это довольно распространенное явление. Klez рассылает свои копии по электронной почте. Когда такое письмо приходит к Вам в ящик, достаточно навести на него курсор и червь незаметно заразит компьютер. Для этого он использует дыру в системе безопасности Internet Explorer, которая позволяет делать такие штуки. Сейчас существует около 10 вариантов Klez, некоторые из них являются очень опасными: уничтожают информацию на диске в заданный день или отсылают с компьютера конфиденциальную информацию.
Каким образом вирусы размножаются?
Евгений Касперский: Существует очень много способов внедрения вирусов в файлы. Классическим, наверное, можно было бы назвать запись кода вируса в конец программы-жертвы и модификацию ее точки входа таким образом, чтобы сначала выполнялся вирус, а затем уже сама программа.
Как вирусы делятся по "техническим" характеристикам?
Евгений Касперский: Существует около 30 разных видов вирусов и, по крайней мере, 3-4 способа их классификации. Например, можно разбить их по среде обитания: Windows-вирусы, макро-вирусы, Linux-вирусы, то есть в зависимости от того, где они "живут". Можно разбить по алгоритму работы: резидентные, нерезидентные, полиморфные, "невидимки" и пр. Наконец, вирусы можно классифицировать по степени деструктивности: неопасные, опасные, очень опасные.
Объясните, пожалуйста, что скрывается за словами "полиморфные" и "невидимки"?
Евгений Касперский: Полиморфные вирусы - вирусы, не имеющие постоянной последовательности кода. В каждом зараженном файле они меняют свое тело (последовательность байт) при помощи специального алгоритма шифрации, при этом сохраняя свою функциональность.
"Невидимки" - это очень интересная группа вирусов, которые тем или иным способом скрывают свое присутствие в системе. Например, классические "невидимки", корни которых тянутся еще к DOS-овским временам, перехватывали системное прерывание, и при обнаружении попытки прочитать зараженный файл третьей программой (например, антивирусом), временно его лечили, а после чтения заражали снова. Таким образом, у пользователя создавалось впечатление, что файл абсолютно чист.
Современные антивирусы, к чести будет сказано, без труда справляются как с "полиморфиками", так и с "невидимками".
Какими средствами располагает антивирус, чтобы обмануть полиморфных вредителей и невидимок?
Евгений Касперский: С Вашего позволения не буду вдаваться в технические подробности и ограничусь смыслом антивирусной технологии. Для борьбы с полиморфиками используется т.н. "эмулятор процессора", который дешифрует зараженный файл и лечит его. С "невидимками" мы боремся их отловом в системной памяти и проверкой системных прерываний.
Как вирусы распространяются?
Евгений Касперский: Вирусы настоящие, 100% "породистые", без примеси сетевых червей, иначе как через зараженные файлы распространяться не могут. Причем эти файлы пользователь сам должен получить с дискеты, компакт-диска или, например, скачать через Интернет.
Каковы дальнейшие перспективы эволюции вирусов?
Евгений Касперский: Вирусы будут завоевывать новые "ниши": новые операционные системы и платформы. Будет продолжаться "завоевание" Linux и Palm OS. Возможно, в ближайшие годы жертвами вирусов станут мобильные телефоны и "умная" бытовая техника.
Стиральные машины и холодильники?
Евгений Касперский: Да, "умная" бытовая техника тоже имеет все шансы стать очередной жертвой вирусов. Представьте себе, ведь есть кондиционеры, холодильники, стиральные машины, которыми можно управлять удаленно. Внутри них, по сути, находится мини-компьютер, который можно так же успешно заразить, как и обычные компьютеры.
Каковы перспективы развития антивирусных средств?
Евгений Касперский: Главная проблема антивирусной индустрии - защита, в большинстве случаев, пост-фактум. Т.е. сначала появляется вирус, а потом антивирусные компании выпускают защиту. В промежутке между ними пользователи, по сути дела, остаются беззащитными. Именно поэтому, мне кажется, будущие усилия будут направлены на разработку действительно эффективных средств защиты от неизвестных вирусов.
Есть ли какая-нибудь альтернатива? Возможно ли исключить этот "пост-фактум"?
Евгений Касперский: Да, как раз над этим сейчас все и бьются. Мне кажется, что будущее - за поведенческими блокираторами.
Вы тоже разрабатываете такой продукт?
Евгений Касперский: Мы разработали поведенческий блокиратор для MS Office еще в 1999 г.
А для Windows или Linux?
Евгений Касперский: Есть аналог и для Windows, но эта операционная система - слишком сложная среда, чтобы создать поведенческий блокиратор, подходящий по простоте обычному пользователю. В Windows великое множество системных вызовов и автоматически отличить, что из них опасное, а что - нет, практически невозможно. Именно поэтому эту программу мы используем только в своих внутренних исследованиях, в том числе для анализа вирусов.
Неужели даже теоретически возможно перебрать все сигнатуры кода и отсеять, какие из них деструктивные, а какие нет? Ведь вам придется перебрать все прерывания BIOS, команды работы с портами и еще целую кучу операций!
Евгений Касперский: Перебрать, конечно, можно - ведь их конечное число. Но вот принять решение, какие операции являются деструктивными - это можно только "ручками", что под силу только профессионалу.
А не явится ли такой блокиратор самым большим гурманом системных ресурсов?
Евгений Касперский: Нет.
Вас не устраивает перспектива создания антивирусов для каждого вида техники? К примеру, один для кондиционера, другой для мобильного телефона, третий для холодильника...
Евгений Касперский: А если этих приборов будет 1000? Поддержка этой оравы - просто неэффективное занятие. Если есть единая платформа, то ее обновление представляется намного более удобной как для пользователя, так и для разработчика.
Как Вы отлавливаете новые вирусы? Их присылают пользователи?
Евгений Касперский: Существуют три основных источника вирусов. Во-первых, это естественно, заразившиеся пользователи. Они присылают нам файлы, которые странно себя ведут, мы проводим их анализ и нередко находим действительно новые вирусы. Во-вторых, сами вирусописатели (особенно страдающие манией величия) любят присылать нам свои "работы", сопровождая их многозначительными комментариями "вы никогда не вылечите этот вирус!". К сведению, неизлечимых вирусов нам никогда еще не попадалось. В третьих, - это регулярный обмен "штаммами" новых вирусов с другими антивирусными компаниями, которые их получают из своих источников, указанных выше.
А бывают случаи, чтобы в теле вируса содержалась информация о его названии (авторском), создателе или e-mail разработчика?
Евгений Касперский: Это встречается практически в каждом вирусе. Большинство вирусописателей страдают манией величия и поэтому всячески восхваляют себя в своих творениях. Например, вирус "Drol", в котором дословно сказано следующее: "copyright © Lord Julius [SLAM] written for fun... :)".
У Вас есть собственный инструментарий для исследования новых вредителей?
Евгений Касперский: Безусловно. Более того, рискну заявить, что именно благодаря нему наша работа намного более эффективна, чем, скажем, у наших коллег. Один вирусолог из крупной западной компании был поражен, что непосредственным анализом вирусов у нас занимается 5 человек. Оказалось, у них эту работу с трудом выполняют 50 специалистов.
У Вас справляется с задачей анализа вирусов всего пять человек лишь благодаря собственному инструментарию?
Евгений Касперский: Инструментарию и, безусловно, огромному профессионализму и опыту.
Кое-где бытует мнение, что многие антивирусные компании сами ответственны за некоторые вирусные эпидемии. Как Вы считаете, в этом есть доля правды?
Евгений Касперский: Нет. Это вымыслы недалеких людей, страдающих болезненным желанием хоть на кого-то повесить проблему. Поверьте, у антивирусных компаний есть, чем заняться, и это далеко не создание вирусов.
Каких правил гигиены Вы бы посоветовали придерживаться, чтобы снизить опасность заражения?
Евгений Касперский: Во-первых, немедленно ставить все заплатки для используемых операционных систем и ПО (прежде всего от Microsoft). Во-вторых, использовать антивирусную программу и регулярно, лучше каждый день, ее обновлять. В-третьих, будьте разборчивы в запуске любых файлов у себя на компьютере и всегда их проверяйте.
Очень часто профессионалы предлагают следующее правило. Если пользователю пришло письмо от знакомого (друга) с прикрепленным файлом, то перед открытием (сохранением) файла надо обязательно позвонить отправителю и узнать, посылал ли тот данное письмо. Не является ли такой совет сильным преувеличением современной обстановки? Не сильно ли утрируется ситуация?
Евгений Касперский: Нет, более того, я скажу, что этим правилом необходимо пользоваться тем, кто работает с особо секретными документами. И все же, даже если отправитель подтвердил факт отсылки письма - проверьте его еще раз антивирусом. Ведь Ваш коллега мог даже и не знать, что у него компьютер заражен.
Разъясните, пожалуйста, любопытный вопрос. Если связь с Интернетом осуществляется через провайдера, то почему он не осуществляет проверку трафика на вирусы? Ведь таким образом можно снять все проблемы с пользователей.
Евгений Касперский: Нет, почему же, некоторые провайдеры предоставляют и такие услуги. Я думаю, когда российский рынок Интернет-услуг действительно насытится и игроки начнут искать новые пути продвижения и конкурентные преимущества, то интегрированная защита от вирусов станет одним из основных козырей.
Сильно ли замедляется трафик при таких проверках?
Евгений Касперский: Все зависит от трафика и аппаратного обеспечения. Но в среднем, я думаю, замедление будет довольно ощутимым.
Евгений, спасибо, что уделили нам время.
Самые опасные экземпляры
I-Worm.Klez - это сетевой червь, распространяющийся через электронную почту. Попав однажды на компьютер пользователя, он ищет на локальных и сетевых дисках файлы с расширением txt .htm .doc .jpg .bmp .xls .cpp .html .mpg .mpeg. Найдя первый попавшийся файл, червь берет его имя и расширение, добавляет второе расширение .exe (теперь такой файл становится исполняемым), копирует свое тело в новый файл и отправляет его вместе с письмом. В качестве адреса сообщения червь может брать данные из адресной книги или свои собственные. Также вирус забирает с собой все адреса, найденные на компьютере. В поле From письма Klez подставляет либо адрес пользователя, либо случайный адрес, либо один из найденных. Таким образом, получатель может увидеть письмо от какого-нибудь коллеги или знакомого, хотя тот ему ничего не отправлял. В качестве текста письма Klez подставляет один из заготовленных вариантов. Вот некоторые примеры:
A special new game
This is a new game
This game is my first work.
You're the first player.
I wish you would enjoy it.
A very funny website
This is a funny website
I hope you would enjoy it.
W32.Klez.E removal tools
W32.Klez.E is a dangerous virus that spread through email.
Kaspersky give you the W32.Klez.E removal tools
For more information, please visit http://www.Kaspersky.com
Как видите, в последнем случае вирус маскируется под вакцину, разработанную "Лабораторией Касперского" для борьбы с этим же червем! Самое интересное, что Klez использует дыры в защите Internet Explorer (его использует MS Outlook в качестве браузера для просмотра сообщений). В результате вирус активизируется и размножается, даже если пользователь не открывал прикрепленный инфицированный файл.
Деструктивные действия этого червя сводятся к следующему: в зависимости от модификации, вирус либо 13 числа каждого месяца, либо по 6 числам нечетных месяцев ищет произвольные файлы и записывает в них случайные данные. Такие файлы восстановлению не подлежат. Более подробную информацию можно найти в
Энциклопедии Касперского, а вакцину переписать
отсюда.
I-Worm.Frethem - очень интересный сетевой червь. Он не работает на компьютерах, где установлена поддержка русского или узбекского языков. Отсюда легко догадаться, какой национальности его автор. Сам вирус распространяется через электронную корреспонденцию. Он использует баги IE и может активизироваться без вмешательства пользователя. При размножении червь записывает себя в %windir%\Start Menu\Programs\Startup\setup.exe и запускается при каждом загрузке Windows. Любопытно то, что вирус может "апдейтить" сам себя. Он знает адреса в Интернете, где лежат его обновленные версии. Чтобы переслать себя на другой компьютер, червь ищет адреса в базах WAB (Windows Address Book) и в почтовых файлах *.DBX. после этого он отсылает себя по протоколу SMTP. В теле вируса содержится следующий текст:
thAnks tO AntIvIrUs cOmpAnIEs fOr dEscrIbIng thE IdEA!
nO AnY dEstrUctIvE ActIOns! dOnt wArrY, bE hAppY!
Вредоносные функции этого вируса во многом схожи с уже описанным паразитом. По определенным числам месяца он стирает случайные файлы, которые, к сожалению, восстановлению не подлежат.
I-Worm.Lentin - червь, рассылающий себя подобно предыдущим экземплярам. Он тоже ищет почтовые базы WAB, MSN, .NET Messenger и файлы *.HT. Вирус сканирует найденный файлы, вынимает из них адреса и рассылает письма с прикрепленным инфицированным файлом. Надо отметить, что этот червь не использует никаких секретов и поэтому не опасен, если пользователь сам его не запустит. При инсталляции вирус копирует свое тело в C:\RECYCLED с именами MSMDM.EXE и MSSCRA.EXE Потом он регистрирует эти файлы в реестре, чтобы постоянно загружаться вместе с ОС. Основная вредная функция этого червя - изменение (читай искажение) размера и содержимого рабочего стола пользователя. Примеры его деятельности вы можете видеть на картинках.
Червь Lentin в полной красе…
Win95.CIH - вирус, заражающий исполняемые файлы Windows 95/98. С точки зрения программирования это не просто вирус, а образец блестяще продуманной программы. Судите сами. При запуске инфицированного файла CIH размещается в памяти компьютера. Когда система пытается открыть какой-нибудь файл, вирус перехватывает эту операцию, проверяет, является ли файл исполняемым, и, если да, заносит свой код внутрь. Причем паразит не просто копирует свое тело в чужой файл, он ищет пустые места в коде заражаемой программы. Структура PE-файла (исполняемого файла под Windows) такова, что все секции в нем выровнены по определенному значению. Из-за этого в конце каждой секции почти всегда находится свободное место. Если его хватает, то вирус записывает туда свое тело (1 кб), если нет, то он дробит свой код на несколько блоков и записывает каждый из них в свободное место. В результате тело паразита может быть "размазано" по всей программе, размер которой совсем не меняется. После этого вирус модифицирует заголовок исполняемого файла таким образом, чтобы в начале выполнения управление передавалось на первый блок.
Этот вирус известен также под именем "Чернобыль". Такое название он получил благодаря своей деструктивной функции: 26 апреля каждого года он стирает всю информацию с винчестера и пытается сжечь микросхему Flash BIOS. Последнее у него может не получиться, так как многие микросхемы имеют механические переключатели режимов работы (только чтение, запись и т.д.). При чем этот переключатель чаще всего стоит в режиме "только чтение". Но не всегда. В связи с датой своей активации и разрушениями, которые он причиняет, CIH вполне оправдывает свое второе название.
I-Worm.Sircam - сетевой червь, рассылающийся по электронной почте. Никаких багов IE он не использует, поэтому для заражения необходимо запустить файл вложения. Попав однажды на компьютер пользователя, червь записывает себя в директорию windows и recycled. Также он сканирует файлы на винчестере в поисках e-mail адресов. Результаты своего поиска вирус хранит в отдельных dll-файлах в директории windows. Для своего распространения червь находит любой файл пользователя с расширением DOC, XLS, ZIP, EXE и записывает себя в его начало (чтобы скрыть факт заражения и создать файл-приманку). Таким образом, с зараженной машины могут быть отправлены секретные данные (ведь вирус отсылает достаточно много писем-червей).
По определенным числам месяца червь может уничтожить все файлы и каталоги в директории windows или попытаться стереть микросхему Flash BIOS. Однако вероятность таких действий очень мала (около 5%).
Заключение
Вирусов много. Очень много. Сегодня они появляются каждый день. На нам, пользователям, не стоит бояться и переживать - сегодня сотни антивирусных экспертов трудятся и прогнозируют события на несколько ходов вперед. Хороший антивирус и новые базы помогут вам выйти победителем в схватке даже с самым "крутым" вирусом. Почаще обновляйте свои базы и да сопутствует вам удача...