Віруси

Комп'ютерні віруси: якими вони бувають і як з ними боротися

Походження терміна

Комп'ютерний вірус був названий за аналогією з вірусами біологічними. По всій видимості, вперше слово вірус по відношенню до програми було вжито Грегорі Бенфорд (Gregory Benford) у фантастичному оповіданні «Людина у шрамах» (The Scarred Man), опублікованому в журналі Venture в травні 1970. Термін «комп'ютерний вірус» згодом не раз відкривався і перевідкривається - так, змінна в програмі PERVADE (1975), від значення якої залежало, чи буде програма ANIMAL поширюватися по диску, називалася VIRUS. Також, вірусом назвав свої програми Джо Деллинджера (Joe Dellinger), і, ймовірно, - це і був перший вірус, названий власне «вірусом».

Поява перших комп'ютерних вірусів часто помилково відносять до 70-м, і навіть 60-х років XX століття. Зазвичай згадуються, як «віруси» такі програми, як Animal, Creeper, Cookie Monster і Xerox worm.

З появою перших персональних комп'ютерів Apple в 1977 і розвитком мережевої інфраструктури починається нова епоха історії вірусів. З'явилися перші програми-вандали, які під виглядом корисних програм викладалися на BBS (англ. Bulletin Board System - електронна дошка оголошень), однак після запуску знищували дані користувачів. В цей же час з'являються троянські програми-вандали, що проявляють свою деструктивну сутність лише через деякий час або за певних умов.

Для початку з'ясуємо, що ж позначають такі поняття як «Вірус» і «Комп'ютерний вірус».

Вірус (похідне від латинського слова "отрута") - мікроскопічна частка, здатна інфікувати клітини живих організмів.

Комп'ютерні віруси - різновид комп'ютерних програм, відмітною особливістю яких є здатність до розмноження (самореплікаціі). На додаток до цього вони можуть пошкоджувати або повністю знищувати дані, підконтрольні користувачу, від імені якого була запущена заражена програма.

Прийнято розділяти віруси:

  • по уражаємих об'єктах (файлові віруси, завантажувальні віруси, скриптові віруси, макровіруси, віруси, що вражають вихідний код);
  • по уражаємим операційним системам і платформам (DOS, Microsoft Windows, Unix, Linux);
  • за технологіями, використовуваними вірусом (поліморфні віруси, стелс-віруси, руткіти);
  • за мовою, на якій написано вірус (асемблер, високорівнева мова програмування, скриптова мова та ін);
  • по додатковій шкідливої ​​функціональності (бекдори, кейлоггери, шпигуни, ботнети та ін).

Існує ряд ознак, які можуть слугувати признаком зараженню вірусом: поява на екрані непередбачених повідомлень і запитів, зображень і звукових сигналів; мимовільний запуск програм без участі користувача; спроби невідомих програм підключитися до Інтернету без відома користувача і т. п. Про ураження вірусом через пошту може свідчити те, що друзі та знайомі користувача говорять про повідомлення від нього, які він не відправляв; наявність в поштовій скриньці великої кількості повідомлень без зворотної адреси і заголовків. Однак ці ознаки не завжди є наслідком присутністю вірусів. Наприклад, у випадку з поштою заражені повідомлення можуть розсилатися із зворотною адресою користувача з інших комп'ютерів.

Серед непрямих ознак можна назвати часті зависання і збої в роботі комп'ютера, уповільнена (порівняно з початковим поведінкою) робота комп'ютера при запуску програм, неможливість завантаження операційної системи, зникнення файлів і каталогів чи спотворення їх вмісту, часте звернення до жорсткого диску (часто блимає лампочка на системному блоці), браузер Internet Explorer «зависає» чи поводиться несподіваним чином (наприклад, вікно програми неможливо закрити). Але основною причиною для подібних симптомів є все ж таки не віруси, а збої в апаратному забезпеченні, конфлікти між програмами і баги («жучки», дефекти) у них.

Віруси розповсюджуються, копіюючи своє тіло і забезпечуючи його подальше виконання: впроваджуючи себе у виконуваний код інших програм, замінюючи собою інші програми, прописуючись в автозапуск та інше. Вірусом або його носієм можуть бути не тільки програми, що містять машинний код, але і будь-яка інформація, що містить автоматично виконувані команди - наприклад, пакетні файли і документи Microsoft Word і Excel, що містять макроси. Крім того, для проникнення на комп'ютер вірус може використовувати уразливості в популярному програмному забезпеченні (наприклад, Adobe Flash, Internet Explorer, Outlook), для чого розповсюджувачі впроваджують його в звичайні дані (картинки, тексти і т. д.) разом з експлоїтом, що використовує вразливість.

Отже, сновними ранніми ознаками зараження комп'ютера вірусом є:

  • зменшення обсягу вільної оперативної пам'яті;
  • сповільнення завантаження та роботи комп'ютера;
  • незрозумілі (без причин) зміни у файлах, а також зміни розмірів та дати останньої модифікації файлів;
  • помилки при завантаженні операційної системи;
  • неможливість зберігати файли в потрібних каталогах;
  • незрозумілі системні повідомлення, музикальні та візуальні ефекти і т.д.

Коли вірус переходить в активну фазу можливі такі ознаки:

  • зникнення файлів;
  • форматування жорсткого диска;
  • неспроможність завантаження файлів або операційної системи.

І так давши чіткі визначення, з'ясуємо, а які класифікуються віруси, і якої шкоди вони завдають нашим комп'ютерам:

  • виконується копіювання файлів з однієї дискети на іншу, в разі копіювання зараженого файлу його копія також буде заражена.

Основними ранніми ознаками зараження комп'ютера вірусом є:

  • зменшення обсягу вільної оперативної пам'яті;
  • сповільнення завантаження та роботи комп'ютера;
  • незрозумілі (без причин) зміни у файлах, а також зміни розмірів та дати останньої модифікації файлів;
  • помилки при завантаженні операційної системи;
  • неможливість зберігати файли в потрібних каталогах;
  • незрозумілі системні повідомлення, музикальні та візуальні ефекти і т.д.

Коли вірус переходить в активну фазу можливі такі ознаки:

  • зникнення файлів;
  • форматування жорсткого диска;
  • неспроможність завантаження файлів або операційної системи.

Існує дуже багато різних вірусів. Умовно їх можна класифікувати наступним чином:

  1. завантажувальні віруси або BOOT-віруси: заражають boot-сектори дисків. Дуже небезпечні, можуть призвести до повної втрати всієї інформації, що зберігається на диску;
  2. файлові віруси: заражають файли. Поділяються на:
    1. віруси, що заражують програми (файли з розширенням .EXE і .COM);
    2. макровіруси: віруси, що заражують файли даних, наприклад, документи Word або робочі книги Excel;
    3. віруси-супутники: використовують імена інших файлів;
    4. віруси сімейства DIR: спотворюють системну інформацію про файлові структури;
  3. завантажувально-файлові віруси: здатні вражати як код boot-секторів, так і код файлів;
  4. віруси-невидимки або STEALTH-віруси: фальсифікують інформацію прочитану з диска так, що програма, якій призначена ця інформація отримує невірні дані. Ця технологія, яку, інколи, так і називають Stealth-технологією, може використовуватися як в BOOT-вірусах, так і у файлових вірусах;
  5. ретровіруси: заражують антивірусні програми, намагаючись знищити їх або зробити непрацездатними;
  6. віруси-хробаки: заражують невеликі повідомлення електронної пошти, так званим заголовком, який по своїй суті є всього навсього лише Web-адресою місцезнаходження самого вірусу. При спробі прочитати таке повідомлення вірус починає зчитувати через глобальну мережу Internet своє 'тіло', яке після завантаження починає свою деструктивну дію. Дуже небезпечні, так як виявити їх дуже важко у зв'язку з тим, що заражений файл фактично не містить коду вірусу.

Бутові віруси (Boot viruses) - цей тип вірусів заражає завантажувальний область дискет і жорстких дисків. Запускається під час завантаження операційної системи, і поміщають свій код в завантажувальну область оперативної і дискової пам'яті.

Макро-віруси - цей тип вірусів був розроблений для розповсюдження за допомогою електронних документів, створених в пакеті Microsoft Office. Принцип роботи простий: в момент запуску документа Word або електронної таблиці Excel на редагування, запускається деструктивна макрокоманда (вірус), написана на мові Visual Basic.

Хробаки - зазвичай поширюються за допомогою поштових програм при отриманні електронного повідомлення. Деякі з них потрібно запустити вручну з вкладення, деякі запускаються самі в момент завантаження, а деякі взагалі досить усього лише виділити мишкою для видалення - і вірус запущений. Також можуть бути черви, що поширюються через відеосервіси (типу YouTube). Якщо в процесі перегляду відео до вас на вінчестер в ОС через дірку в браузері пролазить вірус і починає шкодити, я думаю, зрозуміло, чому цей тип вірусу називають черв'яком. Черви якраз і використовують слабкі місця (дірки) в операційних системах, браузерах і додатках, а критичні оновлення покликані усунути таку можливість - але на практиці поновлення до дірок (заплатки, патчі) випускають у багато разів рідше, ніж черв'яки і експлойти до них. Найнеприємніше те, що черв'яки, на відміну від вірусів, видалити антивірусом можна не у всіх випадках, іноді користувачеві доводиться видаляти їх вручну. Нерідко на сайтах виробників антивірусних програм можна дізнатися інструкції з видалення того чи іншого хробака.

Трояни (троянські коні) - якщо згадати історію Стародавньої Греції, то відразу стане зрозуміло, що це за тип вірусу. Легенда свідчить, що під час війни між греками і троянцями греки спорудили величезного дерев'яного коня і залізли всередину нього, а троянці візьми та й витягли його в місто. А що було далі всім відомо. Зазвичай троянські коні виконують крадіжку різної інформації, починаючи від паролів до банківських рахунків і гаманцях і закінчуючи звітом про всі натиснутих клавішах в системі, ну і ще роблять масу неприємних дій. Троянські віруси можуть залазити на комп'ютер не тільки через різного роду сумнівні програми, вони можуть бути впроваджені навіть в антивірус, скачаний з ненадійного джерела, або знаходитися в будь-який інший на вигляд надійної програмою, так що стежте за тим, звідки качаєте софт.

Програми-звонилки (Дайлер) - віруси цього типу покликані здійснювати через модем, встановлений в системі, дзвінки на дуже дорогі номери, що знаходяться за кордоном, забезпечуючи господареві комп'ютера колосальні рахунки за телефонні переговори. Взагалі цей тип вірусів з розряду вандальскіх пустощів, але іноді він може принести і матеріальну вигоду своєму господареві.

Кейлогери - "слухають" переривання клавіатури і записують їх у лог-файл, після чого відправляють на деякий поштову адресу свого господаря, який таким чином отримує всі паролі і секрети, аж до набраних документів в будь-якому текстовому додатку.

Spyware (спайвари) - програми-шпигуни. Інтегруючись в вашу систему дуже глибоко (приховані інсталяційні папки і приховані процеси) вони записують про вас всю інформацію і відправляють на e-mail або залишають логи на комп'ютері. Збір інформації ведеться, починаючи про відвідані сайти і закінчуючи запущеними додатками і розмовами через сервіси типу Skype. Іноді програми-шпигуни поширюються абсолютно легально і покликані стежити за дітьми, працюють на комп'ютері, про них часто пишуть у комп'ютерних виданнях, вони платні і часто містять в собі модулі, які шпигують за машиною, на яку інстальовані.

Adware - це дуже цікавий тип вірусів; потрапляючи до вас в систему, а саме в конфігураційні файли електронної пошти та браузерів, а також в реєстр, вони показують вам рекламу з різних джерел, яку ви зовсім не бажаєте бачити, тим самим, приносячи гроші господарям, які уклали угоду з рекламодавцем.

Root-kit - це цілий набір інструментів, які дозволяють управляти вашою системою віддалено і виконувати абсолютно всі дії, аж до форматування розділів. Походження цього типу шкідливих програм зовсім нешкідливе, вони відносяться до інструментів для системних адміністраторів, завантажуються на комп'ютери через так звані лазівки бекдори (backdoor), які знаходять сканерами портів або використовуючи програми-експлойти, попередньо знімаючи банери з системи віддалено і дізнаючись таким способом, який тип ОС встановлено на машині (сервері) і який тип експлойта туди застосуємо.

Поліморфні віруси - віруси цього типу, потрапляючи на машину, відразу намагаються видозмінити свій код, що дуже ускладнює випуск сигнатур і відстеження мутації цієї творива також в цю групу не гріх буде включити і віруси-невидимки, які маскуються в системі, стаючи як би звичайним процесом word.exe.

Класичний вірус (файловий вірус) - це поняття досить неоднозначне, і один вірус не схожий на інший як за дією, так і за принципом зараження файлу, але варто відзначити, що іноді віруси додають себе відразу в кілька файлів на комп'ютері, розташованих в системних папках . Одним словом, вірус з ім'ям virus.bat може при запуску "розселити" себе в три файли xxx.dll, xxx.exe і xxx.com і таким чином виконувати свої деструктивні дії на комп'ютері, запускаючись при старті комп'ютера і потрапляючи в оперативну пам'ять. Іноді віруси просто додають себе в код будь-якого файлу, наприклад відео, фото або звукового, тим самим, виводячи його з ладу (руйнуючи).

Перезаписуючі віруси. Віруси даного типу записують своє тіло замість коду програми, не змінюючи назви виконуваного файлу, внаслідок чого вихідна програма перестає запускатися. При запуску програми виконується код вірусу, а не сама програма.

Віруси-компаньйони. Компаньон-віруси, як і перезаписуючі віруси, створюють свою копію на місці заражаємо програми, але на відміну від перезаписуваних не знищують оригінальний файл, а перейменовують або переміщують його. При запуску програми спочатку виконується код вірусу, а потім управління передається оригінальній програмі.

Можливо існування і інших типів вірусів-компаньйонів, що використовують інші оригінальні ідеї або особливості інших операційних систем. Наприклад, PATH-компаньйони, які розміщують свої копії в основному каталозі Windows, використовуючи той факт, що цей каталог є першим в списку PATH, і файли для запуску Windows, в першу чергу, буде шукати саме в ньому. Даними способом самозапуску користуються також багато комп'ютерних черв'яки і троянські програми.

Файлові черви створюють власні копії з привабливими для користувача назвами (наприклад, Game.exe, install.exe і ін.) В надії на те, що користувач їх запустить.

Віруси-ланки. Як і компаньйон-віруси, не змінюють код програми, а змушують операційну систему виконати власний код, змінюючи адресу місця розташування на диску зараженої програми, на власну адресу. Після виконання коду вірусу управління зазвичай передається спричиненої користувачем програмі.

Віруси, що вражають вихідний код програм

Віруси даного типу вражають вихідний код програми або її компоненти (OBJ-, LIB-, DCU- файли), а також VCL і ActiveX-компоненти. Після компіляції програми виявляються вбудованими в неї. В даний час широкого поширення не отримали.

Привівши класифікацію вірусів, постає питання: «А як виявляти і лікувати ці віруси?». Для цього є перелік антивірусних програм, які призначені саме для цієї мети. Наведу приклад часто використовуваних таких антивірусних програм: Антивірус Касперського, Dr.Web, Nod32, Avast, Clam і інші.

На теренах пострадянського простору часто використовують 3 антивірусні програми це: Антивірус Касперського, Dr.Web, Nod32. ВАЖЛИВО: не можна встановлювати на ПК одночасно кілька антивірусних програм. Так як вони будуть визначати один одного як вірус, і ваш персональний комп'ютер просто не буде завантажуватися.

Але є такі віруси, які не визначаються ні якої антивірусною програмою, наведу приклад лікування троянського вірусу, що води інформацію з сайту www.spyware-ru.com.

Останнім часом набув поширення троянський вірус основними компонентами, якого є файли braviax.exe, cru629.dat, users32.dat. Цей троянський вірус сам по собі не пошкоджує ваш комп'ютер, але він може завантажувати додаткові модулі, proxy сервери, кейлоггери і багато іншого. Так само можливо, що після того як цей троянський вірус заразив ваш комп'ютер вам буде запропоновано купити спеціальну програму для його видалення, причому ця пропозиція буде досить часто з'являтися перед вами. Так само можлива поява безлічі раптово вискакують вікон з різною рекламою, збільшення вихідного трафіку, поява привертають увагу іконок на панелі завдань.

Таким чином, треба лікувати ваш комп'ютер негайно.

На даний момент існує безліч антивірусних програм, що використовуються для запобігання попадання вірусів в ПК. Однак немає гарантії, що вони зможуть впоратися з новітніми розробками. Тому слід дотримуватися деяких запобіжних заходів, зокрема:

  1. Не працювати під привілейованими обліковими записами без крайньої необхідності.
  2. Не запускати незнайомі програми з сумнівних джерел.
  3. Намагатися блокувати можливість несанкціонованого зміни системних файлів.
  4. Відключати потенційно небезпечний функціонал системи (наприклад autorun носіїв у MS Windows, приховування файлів, їх розширень і пр.).
  5. Не заходити на підозрілі сайти, звертати увагу на адресу в адресному рядку браузера.
  6. Користуватися тільки довіреними дистрибутивами.
  7. Постійно робити резервні копії важливих даних і мати образ системи з усіма налаштуваннями для швидкого розгортання.
  8. Виконувати регулярні оновлення часто використовуваних програм, особливо, що забезпечують безпеку системи.

Підтвердити наявність інфекції можна скачавши програму HijackThis і просканувавши їй ваш комп'ютер. У разі зараження ви побачите схожі рядки:

O4 - HKLM \ .. \ Run: [braviax] C: \ WINDOWS \ system32 \ braviax.exe

O20 - AppInit_DLLs: cru629.dat

Так само якщо ваш комп'ютер поводиться нестандартно, спробуйте виконати пошук файлу braviax.exe, не намагайтеся його видалити вручну. Немає сенсу, після перезавантаження він буде відновлений. Так само і з файлами cru629.dat і users32.dat. Щоб вилікуватися від цього вірусу вам знадобляться декілька безкоштовних анти spyware програм. Це SDFix і ComboFix. Скачайте SDFix, після чого клікніть по файлу, він автоматично розпакується в каталог SDFix, який буде створений на вашому системному диску.

Перезавантажте комп'ютер у безпечному режимі. Відкрийте каталог SDFix і двічі клацніть по файлу RunThis.bat. Натисніть Y для підтвердження початку процесу очищення. Програма почне пошук і видалення шпигунських програм, троянських вірусів. Після закінчення цього процесу, вам потрібно натиснути будь-яку клавішу для перезавантаження комп'ютера. Після того як комп'ютер завантажитися, ця програма автоматично запуститися і продовжить процес пошуку і видалення. По його закінченні буде показано повідомлення про це, натисніть будь-яку клавішу, програма закриється і відкриється ваш робочий стіл.

Закрийте всі запущені програми. Запустіть ComboFix і просто в підтверджуйте свої дії коли програма буде запитувати дозвіл на виконання тієї чи іншої дії.

Основну роботи виконає програма Sdfix, Combofix тільки підчистить те, що цей троянський вірус встиг натягніть до вас на комп'ютер.

Примітка 1: деякі версії троянських вірусів не дозволяють запускати анти спайварние програми, зіткнувшись з цим спробуйте перейменувати потрібну програму і запустити її знову.

Примітка 2: при розбиранні логів і допомоги людям на форумі, я так само зіткнувся з тим, що трапляються випадки коли сам braviax, то чи його модуль інфікує легальні файли, ці файли Combofix показує як заражені Win32.Agent.zb і тоді єдина можливість позбутися від троянського вірусу це перевстановити ці програми і звичайно ж видалити сам троянський вірус з комп'ютера.

Примітка 3: чи можна видалити троянський вірус без SDFix? Можна, але складно для цього необхідно аналізувати ваш комп'ютер і писати спеціальний скрипт.

Примітка 4: Sdfix бажано запускати в безпечному режимі, я вже писав як в нього заходити і що робити якщо спайваре блокувало безпечний режим.

І так підведемо підсумки по вірусам, їх модифікацій і способів виявлення і лікування. Як видно з прикладу не всі віруси можуть бути виявлені антивірусними програмами і видалені з вашого ПК. З цього випливають, що не варто не використовувати антивірусні програми, а навпаки треба їх використовувати і оновлювати антивірусні бази кожен день. Але найголовніше випливає з цієї статті, що не варто заходити на сайти сумнівного змісту, а так само запускати сумнівні скрипти, які іноді пропонуються нам при заході на тій чи іншій сайт в глобальній павутині. А так само не варто встановлювати програмне забезпечення з Інтернету, яке нібито сприятиме безпеці на вашому персональному комп'ютері і є безкоштовним, це перша ознака, що програма є вірусом і завдасть лише шкоди, а не користь.

Прищепа, начальник відділу інформаційних технологій компанії Watson Telecom, аспірант ВНЗ ВМУРоЛ "Україна" з спеціальності: "Комп'ютерні системи та компоненти"

Створена учнями 8 класу форма : Тест з теми "Небезпеки в мережі Інтернет