Обзоры
Что нужно знать о вирусах

Что нужно знать о вирусах


Представить современную жизнь без Интернета уже невозможно. Мы получаем доступ к огромному объему данных не выходя из дома, но не всегда задумываемся, что кто-то может добраться и до нашей информации. Рассказы об опасностях, таящихся во Всемирной Паутине, ходят уже давно, но со временем проблема не только не утратила актуальности, а даже наоборот. Чем же рискует рядовой пользователь? Главную угрозу представляют вирусы и кража данных, причем очень часто они тесно взаимосвязаны. Как правило, основная добыча злоумышленников – это пароли, причем к чему угодно, начиная с почты и любимой шестизначной «аськи» и заканчивая электронными кошельками. Также это могут быть и данные кредитной карты, если вы любите совершать покупки в Интернете. Однако не всегда вирусная атака может закончиться потерей персональной информации, бывают вирусы и чисто «деструктивной» направленности, ключевая цель которых – нанесение как можно большего вреда вашему компьютеру. Так, например, вирусы могут создавать высокую нагрузку на системные ресурсы или же просто уничтожать данные, необходимые для работы системы.

Что такое вирусы?

Чтобы успешно бороться с врагом, его надо знать в лицо. Что же представляет собой компьютерный вирус? По сути, это обычная компьютерная программа, содержащая вредоносный код, главной особенностью которой является возможность создавать свои копии и распространять их без ведома пользователя. Способов распространения много, это могут быть и вложения в электронной почте, и помещение в папки общего доступа, и внедрение вредоносного кода в тело легальных программ, веб-страницы, картинки и т. д. Тут важно сразу запомнить основные правила.

Правило номер один. Поскольку вирус – это программа, то для его активации кто-то должен его запустить. В девяносто девяти случаях из ста этот «кто-то» – сам пользователь. Как можно заставить человека навредить самому себе? Да очень просто – обмануть! Самый распространенный способ – прислать по почте письмо типа «Хочешь увидеть мои фотки в душе?» с вложением “fotki.jpg_____________.exe”. Фокус в том, что многие почтовые программы обрезают длинные имена, в результате чего реальное расширение исполняемого файла просто незаметно, однако система определяет тип файла по символам именно после последней точки в имени. Также путем несложных махинаций этому файлу может быть назначена иконка, соответствующая изображению, что еще больше укрепит уверенность пользователя в том, что сейчас он увидит прекрасную незнакомку, которая, возможно, просто ошиблась адресом. Разумеется, ничего подобного не произойдет, зато на компьютере поселится вредоносный «зверек». Все выше-сказанное в равной степени относится и к файлам, полученным другими путями – например через ICQ или любые носители информации (компакт-диск, флеш-карта и т. д.). Важно помнить: если файл вызывает подозрение, лучше перестраховаться и проверить его антивирусной программой, чем потом устранять последствия.

Вверху: с помощью нескольких пробелов файл маскируется под вполне безобидный
Внизу: этот же файл полностью

Иногда даже запускать файл вовсе не обязательно — вредоносный код может содержаться в HTML-теле письма и запускаться автоматически при его открытии, проникая через дыры в почтовых клиентах. Как правило, это программы, использующие для отображения HTML-писем движок Internet Explorer, например Outlook Express. Поэтому всегда стоит просматривать письмо перед открытием, а еще лучше — перед загрузкой с сервера, благо многие почтовые клиенты поддерживают такую возможность. Однако письма, составленные в текстовом формате (Plain Text), можно открывать без опасений — при просмотре таких сообщений никакой код запуститься не может.

Также отдельно стоит остановиться еще на одном способе распространения вирусов – через так называемые «крэки» или «кейгены», небольшие утилиты для взлома коммерческих программ или игр.

Правило номер два. Вирус невозможно запустить, просматривая текстовый файл или архив. Даже если в архиве и находится вирус, можно смело изучать его содержимое, если не запускать распакованные файлы. Но следует отличать обычные текстовые файлы от так называемых «исполняемых», с расширением *.bat, или файлов, изменяющих реестр (как правило, такие файлы имеют расширение *.key). Перед стартом стоит просмотреть их содержимое, выбрав в контекстном меню Просмотреть с помощью … Также, как уже отмечалось выше, файлы могут маскироваться под вполне безобидные, поэтому всегда нужно включать в свойствах папки отображение расширения файлов.

Соблюдая эти два несложных правила, вы избавитесь от многих проблем, связанных с безопасностью вашего компьютера, хотя иногда этого может быть недостаточно. Некоторые вирусы предпочитают отыскивать слабые места в различных программах, не надеясь на невежество пользователя.

Типы вирусов

Вверху: так выглядят замаскированный и обычный файлы при отключенном отображении расширений
Внизу: они же, но уже с отображаемым расширением
Настройка отображения расширений

Типов вирусов существует множество, однако общепринятая классификация отсутствует. Обычно их разделяют по атакуемым объектам (вирусы файловые, загрузочные, скриптовые, сетевые черви), по поражаемым операционным системам и платформам (DOS, Windows, Unix, GNU/Linux, Java и другие), по используемым технологиям (полиморфные вирусы, стелс-вирусы) и, наконец, по языку, на котором они написаны (ассемблер, высокоуровневый язык программирования, скриптовый язык и другие).

Способы заражения можно систематизировать следующим образом. Во-первых, это так называемые «файловые черви». Как правило, они создают свои копии в различных общих каталогах либо в часто открываемых папках, например Мои документы или Рабочий стол. При этом они могут иметь привлекательные названия вроде Game.exe, install.exe, RunMe.exe и т. п. в надежде на то, что пользователь их запустит. Второй тип – это «перезаписывающие вирусы». Они полностью перезаписывают собой легальную программу, при этом название и месторасположение файла на диске остается прежним. В результате пользователь активирует вирус, думая, что запускает обычную программу. Следующий тип – «вирусы-компаньоны». Они похожи на перезаписывающие, однако, в отличие от них, не уничтожают исходную программу, а лишь переименовывают или перемещают ее. В этом случае при попытке запуска атакованного приложения вначале выполнится код вируса, а затем управление перейдет к оригинальной программе: этот прием позволяет вирусу остаться незамеченным. Некоторые вирусы применяют схожий подход, однако не перезаписывают файл, а используют особенности операционной системы. Например, обычно каталог Windows является первым в списке системных путей (переменная окружения PATH), и система прежде всего ищет файлы для запуска именно в нем. Таким образом, поместив туда свою копию с именем какой-либо программы, вирус имеет все шансы быть запущенным и активированным.

Еще один тип, напоминающий предыдущий,– это «вирусы-звенья». Как и вирусы-компаньоны, они не изменяют код программы, а заставляют ОС выполнять собственный код, изменяя адрес местоположения на диске инфицированного приложения. После выполнения кода вируса управление обычно передается вызываемой пользователем программе. Пожалуй, самый хитрый тип вируса –«паразитический вирус». Он умеет внедряться непосредственно в заражаемую программу, не удаляя ее, и, более того, при этом она сохраняет частичную или даже полную работоспособность. И наконец, существует еще один оригинальный тип вирусов, который, правда, не получил широкого распространения в силу легкости его обнаружения. Этот вирус поражает исходный код программы в процессе ее написания или же ее компоненты, такие как ActiveX. Поскольку заражение происходит до сборки приложения, то после компиляции программы вредоносный код оказывается встроенным в нее.

Антивирусы

Проверка по требованию с помощью антивируса avast! Antivirus
Настройка резидентной защиты в антивирусе McAffee

Теперь, разобравшись, какие бывают вирусы, нужно найти способ с ними бороться. Способ первый, он же самый надежный, заключается в изоляции компьютера от любой входящей информации. Отключаем сеть, дисководы, CD/DVD-приводы, USB-порты. В результате получаем очень дорогую печатную машинку. Но есть и второй вариант – воспользоваться антивирусом. Наиболее простые программы такого рода были написаны почти сразу после появления первых вирусов. Они тоже применяют различные оригинальные приемы, но уже для поиска и уничтожения вирусов. Практически все современные антивирусы обладают рядом основных возможностей. Во-первых, это сканирование различных активных файлов и программ в режиме реального времени (т. е., как правило, в момент их запуска), всего компьютера по требованию пользователя, интернет-трафика и электронной почты. Во-вторых, защита от атак опасных веб-узлов. И наконец, антивирусы должны уметь восстанавливать поврежденные файлы, а при невозможности лечения – надежно изолировать их. На практике достаточно инсталлировать и настроить антивирусную программу, после чего можно смело заниматься своими делами. Большинство антивирусов работают в автоматическом режиме, напоминая о себе только при обнаружении заразы, но и это обычно можно отключить, настроив полностью автоматический режим работы (правда, делать этого не рекомендуется по ряду причин, о которых чуть позже). Как же антивирусы отличают вирусы от обычных программ, а зараженные файлы от здоровых? Для этого существует наиболее важный компонент антивируса — проверочный механизм. Он анализирует любую перехваченную информацию на предмет вирусов и, если находит таковые, обезвреживает их. На данный момент существует два основных способа проверки, которые, как правило, работают в паре. Первый предполагает, что вирус уже был ранее кем-то обнаружен и информация о нем добавлена в так называемую «вирусную базу». В таком случае проверяемый файл сравнивается с данными из этой базы и при совпадении хотя бы по одному признаку антивирус делает вывод, что файл инфицирован. Недостаток такого подхода один – антивирусные базы требуют своевременного обновления. Ежедневно появляется до пятнадцати новых вирусов, и антивирус, оставленный без апдейтов на несколько дней, уже не сможет обеспечить должный уровень защиты. Также этот способ бессилен против новых вирусов, которые не были исследованы и добавлены в базу. И тут на помощь приходит второй метод проверки – эвристический. Он предполагает анализ поведения файлов и сравнение его со списком шаблонов вирусной активности. Данный подход позволяет выявить вирус, даже если антивирусная программа о нем ничего не знает. Недостатком такого подхода является отсутствие стопроцентной гарантии того, что файл действительно инфицирован. Именно поэтому не рекомендуется включать полностью автоматический режим работы антивируса.

Мы уже говорили, что проверка может проводиться как постоянно, в фоновом режиме, так и по требованию пользователя. В первом случае антивирус безостановочно наблюдает за операциями на компьютере, анализирует данные и по мере возможности предотвращает любое вторжение. При проверке по требованию пользователя можно вручную задать области, которые необходимо проверить (это могут быть отдельные папки, все жесткие диски в системе, CD- или DVD-диски, флеш-карты и пр.). Также можно задать проверку отдельных системных компонентов, например оперативную память или загрузочный сектор диска.

Выбор антивируса

В данный момент существует множество антивирусных программ, как коммерческих, так и freeware, причем многие платные антивирусы имеют бесплатные лицензии для домашнего использования. Как правило, основное отличие между ними заключается в отсутствии технической поддержки. Также в некоторых бесплатных антивирусах может быть отключен ряд возможностей, например автоматическое обновление антивирусных баз.

Как же выбрать подходящий? В первую очередь стоит почитать сравнительные обзоры, а также посетить официальные сайты программ, чтобы узнать их основные отличия и условия лицензий. Затем следует поинтересоваться эффективностью работы антивирусной защиты того или иного продукта, в чем помогут различные тестирования. Самым авторитетным на сегодняшний день, пожалуй, считается журнал Virus Bulletin, который систематически проводит тестирование антивирусных программ. Есть и другие независимые лаборатории, например AV-Compa-ratives или AMTSO, которые тоже регулярно тестируют популярные антивирусы. Ну и еще один немаловажный фактор, влияющий на выбор антивируса, – его производительность. Учитывая, что резидентная защита обычно включена постоянно, при активной работе она может создавать существенную нагрузку на ресурсы системы, снижая таким образом общую производительность. Частично компенсировать данный эффект можно путем его оптимизации. Самый простой способ – настроить исключения из проверяемых файлов, чтобы анализировались лишь потенциально наиболее опасные. Как правило, основную нагрузку при сканировании создают архивы, поскольку их необходимо сначала распаковать, но учитывая, что вирусы в архивах безопасны до их извлечения, проверку последних включать необязательно. По большому счету, можно оставить только анализ исполняемых файлов (EXE, COM, BAT, VBS) и динамических библиотек (DLL), а полную проверку производить периодически вручную.

Советы

Независимо от того, какой антивирус вы выбрали, хочется дать ряд простых советов, которые помогут вам избежать многих проблем. Во-первых, держите антивирусные базы в актуальном состоянии. По возможности настройте автоматические обновления антивируса или же выполняйте эту процедуру вручную хотя бы раз в неделю. Во-вторых, не отключайте резидентный сканер. Если этого не позволяют ресурсы компьютера, попытайтесь максимально оптимизировать работу сканера в настройках, однако полностью отключать его следует лишь в крайних случаях. В-третьих, старайтесь проводить полную проверку всех дисков хотя бы раз в месяц. Если это занимает много времени, ее можно запускать ночью, когда компьютер не используется. И последнее – не стоит полагаться только на программу, ведь ей тоже свойственно ошибаться. Не запускайте неизвестные файлы, не заходите на подозрительные сайты, следите за обновлениями операционной системы – и шансы заразить компьютер будут сведены к минимуму.


Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: