4.1. Как не заразиться вирусами

вестные вирусы, они все равно не без недостатков. Вирус может оказаться злым и успеет уничтожить информацию, например, отформатирует диск или просто все сотрет. Такой компьютер лечить уже будет поздно.

Первая стадия, когда появляется злой вирус, и на него еще нет противоядия, является наиболее опасной, и тут все могут оказаться под угрозой, как обладатели защитных средств, так и те, кто ими не пользуется.

За все время моей работы с компьютером на моем компьютере вирусы никогда еще не запускались. Они попадают на мой компьютер через почту или веб, но сразу изолируются, в большинстве случаев без участия антивирусных программ. У меня уже около 20 лет опыта работы за компьютером, и за первые 15 лет антивирус был только один год (я только однажды покупал годовую лицензию). Но даже в то время антивирус регулярно обновлялся, но не находился в запущенном состоянии, дабы экономить ресурсы компьютера и не отнимать лишнюю память. Каждодневные проверки только уменьшают вероятность заражения, но никак не исключают ее.

Последние несколько лет у меня стоит бесплатный антивирус от Microsoft — Microsoft Security Essentials, потому что он "кушает" не так уж и много ресурсов, бесплатен и не надоедает рекламой. И только в последний год он стал о себе иногда напоминать, когда я стал посещать по работе множество сайтов, которые не желательно посещать, и раньше я подобные не посещал. Просто по работе нужно искать много картинок, и Google иногда в своей поисковой выдаче показывает далеко небезопасные сайты, а об этом узнаешь, уже когда щелкаешь по картинке.

На сайте одного из крупнейших производителей антивирусных продуктов — Лабо-

ратории Касперского (http://www.kaspersky.com/, http://www.kaspersky.ru/) —

раньше можно было увидеть текущую активность вирусов. Низкой активности присваивается зеленый код. Его можно было наблюдать, когда по Сети прогуливаются старые вирусы, от которых давно есть вакцина, или новые, но абсолютно неоригинальные по своей природе.

Сегодня заглянул на сайт, и этого индикатора не нашел. Зато я нашел этот индикатор в правом нижнем углу на сайте другого производителя популярного антивиру-

са — McAfee (рис. 4.1).

Во время появления новоиспеченного и оригинального вируса, который начинает заражать системы, код активности повышается, но нам от этого не легче. Увидев такое предупреждение, остается только выключить компьютер, чтобы не заразиться, и ожидать, пока производитель вашего антивирусного продукта не подготовит вакцину, которую можно будет скачать из Интернета, и спокойно жить дальше.

Прежде чем защищаться, давайте немного познакомимся с нашим врагом, узнаем, как он устроен и какие методы использует. Только так можно будет найти эффективное решение проблемы.

Большая часть повествования поможет вам предохраниться не только от вирусов, но и от троянов, и даже, в какой-то степени, от спама. Вы должны уметь не только

ный код, самостоятельно написанный каким-либо хакером специально с расчетом

на вас, чтобы выкрасть определенную информацию, то антивирус такую утилиту может и не обнаружить и не сможет обезвредить. Тут уже безопасность зависит от ваших умений и навыков выявления и борьбы с хакерскими приемами.

Рис. 4.1. Сайт McAfee

Меня часто спрашивают: "А какой антивирус лучше всех?" Лучший — это тот, который сидит перед монитором, а не тот, который запущен на компьютере. У каждого антивируса есть свои сильные и слабые стороны, но заразится ли ваш компьютер вирусом, больше зависит от вас.

Но помимо антивируса, важную роль в безопасности играет и сама ОС. Такие ОС как Windows 95/98 и ME были совершенно незащищенными, и пользователи работали от имени администраторов в системе. Естественно, любые программы запускались в их системах от тех же прав и могли делать с системой все, что угодно.

С появлением Windows XP компания Microsoft пыталась уговорить всех заводить учетные записи простых пользователей, работать под ними и переключаться в режим администратора только по мере необходимости установить новую программу

написаны так, что они использовали систему, сохраняли информацию в такие пап-

ки как Program Files или Windows\System32, хотя это совершенно не нужно было. Эти папки содержат системные файлы и должны быть защищены от изменения.

В Windows Vista компания Microsoft пошла на опрометчивый шаг — заставила всех работать от имени простого непривилегированного пользователя, а User Account Control (UAC, контроль учетных записей пользователя) контролировал доступ к запретным областям и требовал подтверждения пользователя в случае, если программа пытается получить доступ к важной для стабильной работы системы области. Это вызвало недовольство пользователей, потому что все плохо написанные программы переставали работать или надоедали подтверждениями.

Лично я перешел на Windows Vista с большим удовольствием и отказался от всех программ, которые не стали работать на этой системе. Раз не работают, значит, они не безопасные, а я не хочу подвергать свой компьютер риску. В Windows 7 управление учетной записью было улучшено, и система стала работать быстрее и интеллектуальнее, но вероятность заражения вирусами в Windows все же остается, потому что это самая популярная ОС и наиболее интересна для хакеров.

Если так боитесь вирусов, то следует перейти на компьютеры с MAC OS X или Linux. Эти системы пока не сильно популярны и не интересны хакерам, поэтому вирусов для них очень и очень мало. Лично я недавно приобрел себе Apple Air и в нем экономлю на антивирусах.

4.1.1. Как работают вирусы

Когда мы рассматривали структуру программы, то говорили о заголовке исполняемого файла (см. разд. 2.1). В этом заголовке есть точка входа — адрес внутри программы, с которого начинается выполнение. Если вирус должен присоединиться к программе, то он дописывается в ее конец и изменяет точку входа на себя, а программа со старого адреса вызывается после выполнения тела вируса. Таким образом, после старта запускаемого файла сначала активизируется вирус, а потом управление передается основной программе.

Особо ленивые писатели вирусов не любят разбираться с заголовками. Они, наоборот, добавляют запускаемый файл другой программы к своему, т. е. тело вируса оказывается в начале файла.

Так работает большинство вирусов, которые прикрепляются к программам, и таких до 2000 г. было очень много, особенно в операционной системе MS-DOS. Если вы хотите защититься от вредоносного кода, то минимальным требованием должно быть слежение за заголовками исполняемых файлов. Как только заголовок изменился, нужно бить тревогу, потому что это может быть вирус или червь. Конечно же, вручную это делать тяжело, но необходимо следить хотя бы за размером основных программ, ведь когда к исполняемому файлу прикрепляется вирус, изменяется его размер.

граммы. Получается эффект, как в динамической библиотеке — программа загру- жает в память дополнительный файл, выполняя в нем тело вируса.

Как я уже говорил, такие вирусы властвовали до 2000 г. Тогда Интернет был развит еще не так сильно, как сейчас, и основным средством распространения инфекции были дискеты или файлы, скачанные с BBS (Bulletin Board System, электронная доска объявлений), с помощью которых люди обменивались информацией. Некоторые вирусы записывались не в программу, а в загрузочную область дисков, и выполнялись при первом же обращении. В этом случае после запуска файла с дискеты вирус загружался в память и распространялся по файловой системе, заражая все, что попадалось на пути.

Зачем производился поиск и заражение всех исполняемых файлов? Все очень просто. В MS-DOS была только одна возможность загрузить программу автоматически при старте компьютера — autoexec.bat. В этом файле прописываются программы, которые должны запускаться при загрузке ОС. Если бы все вирусы записывались в этот файл, то антивирусам легко было бы обезвредить внедренный код. Именно поэтому заражались все файлы. После этого при загрузке любой зараженной программы запускался и вирус.

Есть вирусы, которые просто копируют себя в систему и помещаются в раздел автозапуска. С распространением Windows именно такие вирусы стали наиболее популярны, потому что здесь уже больше способов их спрятать. В данном случае уже нет смысла сканировать весь диск в поисках исполняемых файлов и заражения их, достаточно записаться в автозагрузку, и дело в шляпе. При каждом старте системы ОС сама запустит вредоносный код. Но теперь такие вирусы не столь признаны, потому что с ними уже научились бороться.

В Windows, помимо большого количества способов автоматической загрузки, появилось очень много файлов, которые обязательно загружаются при старте OC, например системные динамически подключаемые библиотеки (DLL, Dynamic-Link Library). Это тоже упрощает жизнь вирусам. Если раньше нужно было заражать все, потому что заранее неизвестно, с какими программами работает пользователь, то теперь достаточно инфицировать одну из библиотек или важный исполняемый файл, и нет необходимости в сканировании.

Плюс ко всему, появилось множество мест, откуда программа может запуститься при старте системы, а значит, вирусу проще спрятаться.

Выходит, если раньше проблема пряталась только в exe- и com-файлах, то теперь источник зла нужно искать и в динамических библиотеках, у которых есть большой недостаток — возможность выполнять код при старте DLL. И если вирус записать в автозапуск важной библиотеки, то он сможет загружаться автоматически. Таким образом, количество потенциальных лазеек в системе резко увеличилось.

Ну а если код вируса загрузится раньше кода антивируса, то злостный код может блокировать работу антивируса, и ему проще будет скрыться в системе. Уже были

Но динамические библиотеки — не единственное зло. Корпорация Microsoft для упрощения жизни пользователей во многие свои продукты включила элементы языка программирования Visual Basic. Такая поддержка есть почти во всех компонентах пакета MS Office. Это очень удобно, когда с помощью несложного языка можно упростить свою жизнь и расширить возможности используемой программы. Но хакеры увидели в этом очередную лазейку.

Большинство пользователей Интернета привыкло, что опасность от вирусов кроется в исполняемых файлах, и никто не мог себе представить, что угроза придет из текстовых документов или электронных таблиц MS Office. Именно поэтому первые вирусы, встроенные в документы Microsoft Word или исполняемые в почтовой программе Microsoft Outlook, заразили громадное количество компьютеров за минимальное время. К таким обстоятельствам не были готовы ни пользователи, ни лучшие антивирусные продукты.

Жертвой может оказаться любая программа, которая содержит какой-то скриптовый язык и выполняет какой-то код, и это не обязательно должен быть байт-код классического исполняемого файла. Так, например, в свое время очень опасными были слишком большие возможности JavaScript. Это такой сценарный язык, который встроили в браузеры для придания страницам интерактивности. Интерактивность — это хорошо, но безопасность лучше. Если в сценарном языке есть команда, которая позволяет получить доступ к компьютеру, и хакер будет использовать эту команду для своих злых целей, то браузер может оказаться потенциальной угрозой.

Лично я никогда не приветствовал вирусописательство и считал это самым глупым занятием. Это ребячество, присущее только маленьким детям, которые при покупке новой игрушки стараются ее поломать, а не использовать по назначению. Именно так ведут себя хакеры, которые не работают (или играют) за компьютером, а пытаются поломать его.

Лично я сам в 1998 г. как-то написал один вирус, который просто плодился по файловой системе в MS-DOS, но не делал ничего другого. Этот вирус я испытал в своем компьютере и никогда не выпускал в свет. Я даже удалил исполняемый файл и долго хранил только исходный код. Возможно, он даже где-то сохранится на ком- пакт-дисках в архивах.

В настоящий момент вирусы распространяются через Интернет и практически не используют в качестве носителя файлы или дискеты (есть ли еще они у когонибудь?). Основным переносчиком стала электронная почта, веб-страницы и массовые рассылки. Вы получаете письмо, к которому прикреплены вирус и заманчивый текст, убеждающий открыть программу-вложение. Если такой файл запустить, то вирус заражает компьютер и рассылает себя по всем адресам, внесенным в вашу адресную книгу.