Компьютерные вирусы
Смертельная опасность
Компьютерные вирусы. Что это такое и как с ними бороться? На эту тему написаны десятки книг
и сотни статей, борьбой с компьютерными вирусами профессионально занимаются тысячи специалистов
в различных компаниях. Казалось бы, тема эта не настолько сложна и актуальна, чтобы быть
объектом такого пристального внимания. Однако это не так. Компьютерные вирусы были и остаются
главной причиной потери информации. Известны случаи, когда вирусы блокировали работу
организаций и предприятий. Более того, несколько лет назад был зафиксирован случай,
когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов
пациент получил летальную дозу морфия по той причине, что компьютер был заражен
вирусом и выдавал неверную информацию.
Что такое компьютерный вирус
Объяснений что такое компьютерный вирус можно привести несколько. Приведм самое простое и
доходчивое, чтобы было понятно любому человеку. Разберем это на примере клерка, работающего
исключительно с бумагами. Идея такого изложения принадлежит Д.Н. Лозинскому, одному из
известнейших <докторов>. Представим себе аккуратного клерка, который приходит на работу в
контору и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий,
которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания
начальства, пунктуально их выполняет, выбрасывает <отработанный> лист в мусорное ведро и
переходит к следующему. Предположим, некий злоумышленник тайком прокрадывается в
контору и подкладывает в стопку бумаг лист, на котором написано: <Переписать этот лист
два раза и положить копии в стопку заданий соседей>. Что сделает клерк? Дважды перепишет
лист, положит его соседям на столы, уничтожит оригинал и перейдет к выполнению второго
листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи,
являясь такими же аккуратными клерками, обнаружив новое задание? То же, что и первый:
перепишут его по два раза и раздадут другим клеркам. Итого в конторе бродят уже четыре
копии первоначального документа, которые и дальше будут копироваться и раздаваться на
другие столы. Примерно так же работает и компьютерный вирус, только стопками
бумаг-указаний являются программы, а клерком - компьютер. Как и клерк, компьютер
аккуратно выполняет все команды программы (листы заданий), начиная с первой.
Если же первая команда звучит как <скопируй меня в две другие программы>, то компьютер так и сделает, и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других <зараженных> программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру. В приведенном выше примере про клерка лист-вирус не проверяет заражена ли очередная папка заданий. В этом случае к концу рабочего дня контора будет завалена такими копиями, а клерки только и будут переписывать один и тот же текст и раздавать его соседям, ведь первый клерк сделает две копии, очередные жертвы вируса уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копий каждый раз будет увеличиваться в два раза. Если клерк на переписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий, то через час по конторе будет <бродить> более 1.000.000.000.000. 000.000 копий вируса! Скорее всего, не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине. Как это ни смешно, именно такой случай произошел в 1988 году в Америке - несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса (вирус Морриса), который рассылал себя от компьютера к компьютеру. Поэтому <правильные> вирусы делают так: <Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа>. Проблема решена, <перенаселения> нет, но каждая стопка содержит по копии вируса, при этом клерки еще успевают справляться и с обычной работой. <А как же уничтожение данных?>, спросит хорошо эрудированная домохозяйка. Все очень просто, достаточно дописать на лист примерно следующее: <1. Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа. 2. Посмотреть на календарь, если сегодня пятница, попавшая на 13-е число, выкинуть все документы в мусорную корзину>. Кстати, на примере клерка очень хорошо видно, почему в большинстве случаев нельзя точно определить, откуда в компьютере появился вирус. Все клерки имеют одинаковые (с точностью до почерка) копии, но оригинал-то с почерком злоумышленника уже давно в корзине! Вот такое простое объяснение работы вируса. Хотелось бы также привести две аксиомы, которые, как это ни странно, не для всех являются очевидными. Во-первых, вирусы не возникают сами собой - их создают люди. Во-вторых, компьютерные вирусы заражают только компьютер и ничего больше, поэтому не надо бояться - через клавиатуру и мышь они не передаются.
Кто и почему пишет вирусы Вирусы люди пишут по разным причинам. Бывают озлобленные на весь белый свет личности, которым доставляет удовольствие причинять другим зло. Бывают студенты, которые, освоив основы ассемблера, сразу берутся за написание вируса. Чаще всего получаются примитивные, полные ошибок <создания>, ничем не выделяющиеся среди сотен других им подобным и попадающие по классификации вирусологов в разряд Trivial. Есть еще третий тип. Это профессионалы, чаще всего талантливые программисты, отлично владеющие передовыми технологиями, вооруженные по самому последнему слову в компьютерном мире. Для них вирус - это способ проверить на практике нестандартные идеи, найти способы необычного или более эффективного использования компьютера и программного обеспечения. Отличительной чертой подавляющего большинства вирусов, вышедших из-под пера таких мастеров, является отсутствие деструктивного кода. Мне кажется, что любой программист должен стремиться к такому уровню в своей специальности. Чтобы если и не писать, то хотя бы быть способным понять и восхититься красотой чужой мысли. Наверное, вирусы в мире компьютеров сродни гонкам Формулы 1 в мире автомобилей. Все самое, самое, самое. Ведь в экстремальных условиях рождается новейшая технология, которая в будущем может быть перенесена в другие области.
Виды вирусов По деструктивным возможностям вирусы можно разделить на: . безвредные, никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате распространения); . неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; . опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; . очень опасные, в алгоритм работы которых заведомо заложены процедуры, могущие привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов (вводить в резонанс и разрушать головки некоторых типов винчестеров). Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и секторы дисков (например, вполне безобидный, на первый взгляд, вирус довольно корректно работает с 360K дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также <заклинивание> резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее.
Хронология событий Каждый год приносит новые вирусы. Давайте отследим новейшую историю появления вирусов. В 1995 году появился первый макровирус, заражающий документы MS Word. В 1996 появились первые Win32-вирусы для Windows 95. В следующем году вирусы впервые стали использовать для распространения сообщения электронной почты, и появились первые вирусы, работающие в защищенном режиме процессоров Intel (впервые этот режим появился в i286). В 1998 году был создан первый вирус, нарушающий работу аппаратной части компьютеров. Это был Win95.CIH, который <сработал> 26 апреля 1999 года на миллионах компьютеров по всему миру. В России он известен под именем <Чернобыль>. В самом конце 1998 года появился первый вирус для Windows NT. В 1999 году получили массовое распространение e-mail-черви (вирусные программы-черви, которые используют для распространения сообщения электронной почты). Эпидемия вируса Win95.Spanska.10000 (<Нарру99>) началась 1 января 1999 года и закончилась лишь весной 2002-го. Другой e-mail червь Melissa в марте 1999 года парализовал работу нескольких тысяч почтовых серверов в Европе и Америке. По масштабу мартовскую эпидемию Melissa можно сравнить с легендарным <червем Морриса>, который в ноябре 1988 парализовал работу нескольких крупных компьютерных сетей в Америке. Также в 1999 году стали очень популярны троянские программы, дающие удаленный доступ к инфицированному компьютеру через интернет и позволяющие воровать информацию, например, пароли. Троянские системы семейств Back Orifice, NetBus, Trojan Stealth можно свободно найти в интернете, чем и пользуются злоумышленники. 1 мая 2000 года в Гонконге был обнаружен вирус (I-Worm.LoveLetter). Всего за четыре дня червь трижды мутировал. К 5 мая ущерб, нанесенный вирусом, оценивался в 1,54 миллиардов долларов США. По информации антивирусной компании Trend Micro, червь поразил 3,1 миллиона компьютеров во всем мире. При своем распространении он использует почтовую программу Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. Вирус был занесен в книгу рекордов Гиннесса как самый разрушительный компьютерный вирус в мире. В сентябре 2001 года обнаружен вирус и пять его модификаций, которые проникают на компьютер несколькими путями. Во-первых, через электронную почту на компьютер доставляется зараженное письмо в формате HTML, содержащее ряд внедренных объектов. При просмотре письма один из этих объектов (файл README. EXE, около 57 Кб) автоматически запускается без ведома пользователя. Во-вторых, при посещении зараженных веб-сайтов. Вместо оригинальной страницы посетителю показывается ее модифицированная версия, содержащая вредоносную программу, которая загружает и запускает на удаленном компьютере копию . В-третьих, через ресурсы локальной сети. Червь сканирует все доступные сетевые ресурсы и записывает туда тысячи своих копий. Расчет сделан на то, что пользователь, нашедший непонятный файл на своем диске или на сервере, запустит его и собственноручно заразит компьютер. В-четвертых, также проникает на веб-серверы под управлением системы Microsoft Internet Information Server (IIS). имеет опасный побочный эффект, который может допустить утечку конфиденциальной информации с зараженных компьютеров. Червь добавляет пользователя под именем в группу пользователей <Администраторы>. Таким образом, имеет полный доступ к ресурсам компьютера. Помимо этого, незаметно открывает все локальные диски для полного доступа всех желающих. По мере развития и усложнения компьютерных систем и программного обеспечения вирусы видоизменялись, приобретали новые механизмы распространения. Постепенно одни типы вирусов практически исчезали из виртуального пространства, другие, напротив, становились все более активными и агрессивными. Как видно из таблицы, особо отличились в прошлом году CodeRed и SirCam, но до результатов I Love You им все же далеко. Однако даже эти цифры, по мнению специалистов, весьма далеки от реальных. Во-первых, потому, что не все компании подают или оценивают свои потери, а во-вторых, при вычислении ущерба, как правило, не принимаются в расчет многие составляющие и, в первую очередь, упущенная выгода. И лишь благодаря усилиям антивирусных фирм, убытки, приносимые компьютерными вирусами, не достигают астрономических величин.
Константин Иванов
|