|
Реферат: Вирусы и их разновидности (Программирование)
Что такое вирусы?
Знаете, кто всё это придумал? Нет, не Черчиль в восемнадцатом году. Всё
гораздо прозаичнее. Как обычно, идею создания компьютерных вирусов
вышеупомянутым "козлам" подбросил писатель-фантаст Т. Дж. Райн. В одной из
своих книг, опубликованной в США в 1977 г., он описал эпидемию, за короткое
время поразившую более 7000 компьютеров. Причиной эпидемии стал
компьютерный вирус, который передаваясь от одного компьютера к другому,
внедрялся в их операционные системы и выводил их из-под контроля человека.
Тогда, в 70-х, всё это казалось именно фантастикой. Безобидной и весёлой.
Но уже через 10-15 лет как компьютерные сети, так и одиночные машины, стали
поражать самые настоящие вирусы, созданные не природой, а человеком.
Компьютерный вирус - это всего-навсего программа, которая может копировать
себя в другие программы, чтобы продолжать размножение, выполняясь вместе с
ними и, возможно, совершать некоторые побочные действия от безобидных шуток
до действий, ведущих к потере информации и полной остановке работы
компьютера. Это определение дается скорее на интуитивном уровне, поскольку
строгого определения компьютерного вируса пока не существует. Можно
выделить только три основных свойства программ-вирусов: способность к
саморазмножению, скрытность и способность нести деструктивные действия.
Авторами вирусов могут быть профессиональные программисты, студенты и даже
дети школьного возраста. Написать работающий вирус не составляет большого
труда.
Почему их надо бояться?
95% процентов всех вирусов - существа, вобщем, безобидные, которые просто
размножаются на вашем диске, но и их тоже надо бояться. Ведь вы хотите
иметь здоровые программы, которые не подведут вас никогда? Кроме того вам
вряд ли понравится отдавать и без того драгоценное место на винчестере и в
памяти совершенно ненужному балласту. Думаю, в этом вы со мной полностью
согласитесь. Но кроме этих 95 процентов есть ещё 5, которые вовсе не
являются безобидными "амёбами", так как совершают еще и какие-либо вредные
действия: затирают файлы, шифруют диски и т.п. Убытки, понесённые
человечеством из-за поведения заражённых машин с каждым годом возрастают на
порядки. Так, по данным исследований International Computer Security
Association (ICSA), за семь месяцев далёкого 1988г. компьютеры,
принадлежащие фирмам-членам ассоциации, подверглись 300 массированным
вирусным атакам, поразившим более 60 тыс. компьютерных систем,
восстановление которых потребовало значительных материальных и временных
затрат. А в последние три года число заражений компьютерными вирусами
ежегодно удваивается и в феврале 1999 года достигло 88 случаев в месяц на
каждую 1000 компьютеров по сравнению с 21 случаем за тот же период 1997
года и 32 - за тот же период 1998 года. Почти половина из 300 опрошенных
компаний пострадала от инфекций с заражением 25 и более машин одним и тем
же вирусом. Согласно данным исследовательской фирмы Computer Economics, на
защиту информационных систем от вирусных атак в 1999 г. во всем мире было
потрачено 12,1 млрд дол. Причем, в эту сумму входят только затраты на
установленные антивирусные средства защиты, а не на восстановление
компьютерных систем, вышедших из строя из-за вирусов. В этом году (вы
наверняка слышали или читали) прогремело уже несколько эпидемий: от
повторного "Чернобыля" до злополучного "ILoveU", поразившего просто
неимоверное количество сетей и машин по всему миру. И это не предел - с
каждым днём появляются новые и новые экземпляры, среди которых становится
всё меньше безобидных шуток. И если раньше авторы вирусов писали их
развлечения ради, то теперь они "воюют" с производителями антивирусных
средств, производя всё более изощрённые "бактерии". Сама угроза вирусов
порождает многомиллиардный рынок соответствующих продуктов. Организации,
хотя бы раз подвергнувшиеся опустошительному нашествию вирусов, вряд ли
впоследствии станут экономить на антивирусном ПО. Сейчас ситуация с
вирусами и антивирусами напоминает гонку вооружений недавних времен. Почти
каждый день появляются новые вирусы, а антивирусные компании выпускают
дополнения к своим антивирусным базам данных. Этому не видно конца, но пока
никто не придумал ничего лучше, чем регулярное обновление антивирусного ПО.
Вот и становись после этого фантастом... Впрочем, что придумано, то
придумано, теперь надо не подавшего идею ругать, а бороться с заразой.
Причём бороться наиболее эффективно - предупреждая её.
Классификация вирусов.
Вирус может внедрится в файлы трех типов: командные файлы (файлы с
расширением ВАТ), загружаемые драйверы (файлы с расширением SYS или BIN в
том числе IO.SYS MSDOS.SYS) и выполняемые двоичные файлы (файлы с
расширениями ЕХЕ, СОМ). Возможно внедрение вируса в файлы данных, но эти
случаи возникают либо в результате ошибки вируса, либо при проявлении
вируса своих агрессивных свойств. Конечно, возможно существование вирусов,
заражающих файлы, которые содержат исходные тексты программ, библиотечные
или объектные модули, но подобные способы распространения вируса слишком
экзотичны.
Загрузочные (бутовые) вирусы заражают загрузочный (ВООТ) сектор флоппи-
диска и ВООТ-сектор или Мaster-Boot сектор (MBR) винчестера. При
инфицировании диска вирус в большинстве случаев переносит оригинальный Boot-
Sector (или MBR) в какой либо другой сектор диска (например, в первый
свободный). Если длина вируса больше длинны сектора, то в заражаемый сектор
помещается первая часть вируса, остальные части помещаются в других
секторах (например, в первых свободных). Затем вирус копирует системную
информацию, хранящуюся в первоначальном загрузчике в свои коды и записывает
их в загрузочный сектор (для MBR этой информацией является Disk Partition
Table, для Boot-сектора дискет _ BIOS Parametr block.)
Вирусы невидимки (Stealth) представляют собой весьма совершенные программы,
которые перехватывают обращения DOS к зараженным файлам или секторам и
подставляют вместо себя незараженные участки информации. Такие вирусы,
использующие приемы маскировки, нельзя увидеть средствами операционной
системы. Например, если просмотреть зараженный файл, нажав клавишу F3 в
системе Norton Commander, то на экране будет показан файл, не содержащий
вируса. Это происходит потому, что вирус, активно работающий вместе с
операционной системой, при открытии файла на чтение немедленно удалил свое
тело из зараженного файла, а при закрытии файла заразил его опять.
Полиморфные вирусы или вирусы-"призраки". Достаточно трудно обнаруживаемые
вирусы, не имеющие постоянных сигнатур (масок), т.е. не содержащие ни
одного постоянного участка кода. В большинстве случаев два образца одного и
того же вируса-призрака не будут иметь ни одного совпадения.
Это достигается шифрованием основного тела вируса и модификациями программы-
расшифровщика.
Действия против вируса в заражённом компьютере.
Если AVP выдал сообщение о подозрении на заражение какого-либо объекта
вирусом, то сделайте следующее:
скопируйте подозрительные файлы на дискету обычным способом, если
подозрение выдано на какие-либо файлы;
скопируйте системные сектора, содержащие Boot-сектор (загрузочный сектор),
Master Boot Record (главную загрузочную запись), Partition Table (таблицу
разбиения диска), с помощью специальных программ (например Norton Disk
Edit), если подозрение выдано на системные сектора;
каким-либо образом доставьте подозрительные объекты дистрибьютерам
(дилерам), у которых Вы приобрели AVP, или непосредственно в Лабораторию
Касперского.
Резидентный вирус при заражении компьютера оставляет в оперативной памяти
свою резидентную часть, которая затем перехватывает обращение системы к
объектам заражения (файлы и загрузочные сектора) и внедряется в них.
Резидентные вирусы находятся в памяти и являются активными вплоть до
выключения или перезагрузки компьютера (в прочем некоторые вирусы могут
"пережить" перезагрузку). Нерезидентные вирусы не заражают оперативную
память компьютера и являются активными ограниченное время. Некоторые вирусы
оставляют в памяти небольшие резидентные программы, которые не
распространяют вирус. Такие вирусы считаются нерезидентными.
По особенностям алгоритма можно выделить следующие группы вирусов:
Вирусы-спутники - это вирусы, не изменяющие файлы. Алгоритм работы этих
вирусов состоит в том, что они создают для ЕХЕ файлов файлы-спутники,
имеющие такое же имя, но с расширением СОМ. Вирус записывается в СОМ файл и
никак не изменяет ЕХЕ файл. При запуске такого файла DOS первым обнаружит и
выполнит СОМ файл то есть вирус, который затем запустит и ЕХЕ файл.
Вирусы-черви - вирусы, которые распространяются в компьютерной сети и, так
же как и вирусы спутники, не изменяют файлы или сектора на дисках. Они
проникают в память компьютера из компьютерной сети, вычисляют сетевые
адреса других компьютеров и рассылают по этим адресам свои копии.
Паразитические - все вирусы, которые при распространении своих копий
обязательно изменяют содержимое дисковых секторов или файлов. В эту группу
попадают все вирусы, которые не являются червями или спутниками.
Студенческие - крайне примитивные, часто не резидентные и содержащие
большое число ошибок.
Стелс-вирусы (вирусы-невидимки), представляющие собой весьма совершенные
программы, которые перехватывают обращения ДОС к зараженным файлам или к
секторам и подставляют вместо себя не зараженные участки информации.
Вирусы-призраки (полиморфные) достаточно трудно обнаруживаемые вирусы, не
имеющие постоянных сигнатур (масок), т.е. не содержащие ни одного
постоянного участка кода. В большинстве случаев два образца одного и того
же вируса-призрака не будут иметь ни одного совпадения. Это достигается
шифрованием основного тела вируса и модификациями программы-расшифровщика.
Поскольку неизвестны случаи инфицирования IBM-совместимых компьютеров
сетевыми "червями", а вирусы-"спутники" имеют, как правило, очень простой
алгоритм и составляют менее 0.5 процента от известных вирусов, то
рассматриваются только вирусы, относящиеся к "паразитическим".
Симптомы наличия вируса.
Основные симптомы вирусного поражения следующие:
Замедление работы некоторых программ.
Увеличение размеров файлов (особенно выполняемых).
Появление не существовавших ранее странных файлов.
Уменьшение объема доступной оперативной памяти (по сравнению с обычным
режимом работы).
Внезапно возникающие разнообразные видео и звуковые эффекты.
При всех перечисленных выше симптомах, а также при других странных
проявлениях в работе системы (неустойчивая работа, частые самостоятельные
перезагрузки и прочее) мы настоятельно рекомендуем Вам, немедленно
произвести проверку Вашей системы на наличие вирусов с помощью AVP. При
этом лучше, если программа будет иметь самую последнюю версию и самые
свежие обновления антивирусных баз.
Предохранения и способ лечения от вирусов.
WScript.KakWorm - это не совсем вирус, а интернет червь, причем способ его
распространения достаточно хитрый. Он распространяется по электронной
почте, но зараженное письмо не содержит вложения, заражен сам текст письма.
Т.е. однажды открыв письмо (или если у Вас включен режим предпросмотра, то
просто установив курсор на письмо) Вы заражаете Ваш компьютер. Более полную
информацию по этому червю Вы можете прочитать в вирусной энциклопедии.
Удаление:
Если Ваш компьютер еще не заражен KakWorm'ом (т.е. Вы не открывали
зараженное письмо) то чтобы избавиться от червя надо сделать следующее:
отключить режим предпросмотра в почтовой программе;
временно деактивировать AVP Монитор;
запустить почтовую программу;
удалить зараженное сообщение из всех папок (не открывая его);
сжать все папки;
активировать AVP Монитор.
Если Ваш компьютер уже заражен KakWorm'ом, то придется сделать следующее:
Выключить режим предпросмотра в почтовой программе.
Удалить из ветки "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun"
системного реестра ключ "cAg0u = "C:WINDOWSSYSTEM(name).hta", где
"(name)" - это 8-символьное имя (например 68DAEF80.HTA).
Перегрузить компьютер.
Удалить следующие файлы:
KAK.HTA из C:Windows
KAK.HTM из C:WindowsSystem
(name).HTA из C:WindowsSystem, где (name) - это 8-символьное имя
KAK.HTA из C:WindowsStart MenuProgramsStartup
Удалить подпись по умолчанию в почтовом клиенте.
Удалить все зараженные сообщения из всех папок (как это описано выше).
При инсталляции червь I-Worm.PrettyPark копирует зараженный файл в
системный каталог Windows под именем FILES32.VXD и регистрирует его в
системном реестре таким образом, что файл FILES32.VXD запускается при
старте каждой программы. Для этого червь создает в системном реестре новый
ключ, который ключ ассоциирован с файлом FILES32.VXD (копией червя). Этот
файл имеет расширение VXD, однако он является не VxD-драйвером Win95/98, а
абсолютно нормальной программой Windows32.
Чтобы полностью избавиться от PrettyPark надо сделать следующее:
переименовать regedit.exe в regedit.com;
запустить regedit и установить
"HKEY_CLASSES_ROOTexefileshellopencommand" в ""%1" %*";
запустить AVP и пролечить компьютер;
переименовать regedit обратно.
При инсталляции в систему червь создает в системном каталоге Windows файлы
SKA.EXE и SKA.DLL и сохраняет файл WSOCK32.DLL с именем WSOCK32.SKA и
дописывает сегмент своего кода в файл WSOCK32.DLL.
Удаление зараженных файлов:
Необходимо удалить файлы SKA.EXE и SKA.DLL из системного каталога Windows,
заменить инфицированный файл WSOCK32.DLL на его незараженную копию
WSOCK32.SKA. Следует также найти и удалить первоначальный EXE-файл
HAPPY99.EXE.
Для дальнейшей защиты компьютера от данного червя достаточно всего лишь
установить атрибут "только чтение" у файла WSOCK32.DLL. Червь не в
состоянии заразить систему в этом случае, поскольку он не обрабатывает
атрибуты файлов.
Антивирусные программы
Если вы любитель новых программ, игрушек, ведете активную переписку по
электронной почте и используете при этом Word, либо просто хотите следовать
вышеуказанным правилам, вам необходимо использовать антивирус. Какой
антивирус самый лучший? Всё зависит от ваших вкусов и предпочтений, так что
решайте сами. Есть несколько параметров, по которым различные антивирусы
можно сравнить между собой. Судя по собственному опыту их использования и
мнениям специалистов, антивирусная программа, достойная к применению,
должна "уметь":
создавать аварийную дискету;
сканировать загрузочный сектор и создавать копию исходного загрузочного
сектора;
сканировать файлы, включая архивные (.ARJ, .ZIP, .RAR);
сканировать оперативную память;
автоматически сканировать диск по заранее заданному расписанию;
проверять файлы при их поступлении на компьютер и при обращении к дисковому
или сетевому устройству, сканировать эти устройства в поисках вирусов;
при перезагрузке проверять, не осталась ли в дисководе дискета, и
предупреждать об этом пользователя;
сканировать диск в фоновом режиме;
обнаруживать макро-вирусы в документах Word и Excel;
регистрировать результаты просмотра в виде отчета на экране или в
распечатке.
Список не маленький, но обязательный. Иначе толку от такой программы не
будет никакого. Кроме вышеперечисленного антивирус должен быть надежен,
быстр и удобен в работе (отсутствие "зависаний" и прочих технических
проблем), качественно обнаруживать вирусы всех распространенных типов, не
иметь "ложных срабатываний", обладать возможностью лечения зараженных
объектов, периодически (чем чаще, тем лучше) обновляться (пополнять базу
новыми вирусами), быть мультиплатформенным (DOS, Windows, Windows95,
Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.) и иметь возможность
администрирования сети.
На сегодняшний день существует несколько ведущих антивирусных пакетов:
российские Antiviral Toolkit Pro лаборатории Евгения Касперского
(www.avp.ru) и Dr. Web от "ДиалогНауки" (www.drweb.ru), а также западные
McAfee Total Virus Defence от Nеtwork Associates (www.macafee.com), Norton
AntiVirus от Symanteс (www.symantec.com) и некоторые другие.
Тема выбора антивируса требует отдельного разговора, поэтому в следующем
номере мы подробно остановимся на последних версиях этих продуктов,
разберём все их преимущества и недостатки, и даже проведём некоторые тесты.
До встречи через месяц. Предохраняйтесь и не болейте!
Новые вирусы.
www.kaspersky.ru
8-12-2001 Эпидемия интернет-червя Goner
Мировая эпидемия Интернет-червя Goner (другие названия - Gone и Pentagone)
началась на этой неделе во вторник 4 декабря. Начало было довольно бурным,
так что некоторые эксперты поспешили предупредить население, что этот вирус
по нанесенному им материальному ущербу может оставить далеко позади
печально известный вирус Love Bug. В принципе основания для этого были:
этот вирус удаляет с зараженного компьютера антивирусные и другие защитные
программы и оставляет компьютер на растерзание хакерам и другим вирусам.
Но по прошествии нескольких дней стало ясно, что не все так страшно. По
всей видимости, многочисленные вирусные эпидемии чему-то все-таки учат
пользователей ПК. По оценкам компании Computer Economics, вирус Love Bug,
появившийся в 1999 году, посетил по всему миру 40 млн компьютеров и заразил
из них 4,5 миллиона, а общий ущерб от его деятельности составил около 8,75
млрд дол. По данным этой же компании, с минувшего вторника вирус Goner
получили по электронной почте или через ICQ 800 тысяч обладателей
компьютеров по всему миру, но заразились из них только 7%, то есть только
56 тысяч человек по небрежности или недомыслию запустили присланный файл на
исполнение. К тому же после вируса Love Bug антивирусные компании добавили
в свои защитные программы целый ряд функций по автоматической очистке от
вирусов (особенно в ПО для корпоративных компьютерных сетей, где полагаться
на сознательность и подкованность рядовых пользователей было бы очень
наивно). Так что о миллионах заразившихся ! говорить рановато, и ущерб от
вируса Goner пока составляет порядка 5 млн дол.
То есть ему далеко и до чемпиона Love Bug, и до призеров (вирус Code Red
обошелся миру в 2,6 млрд дол., SirCam стоил около 1 млрд дол., а Nimda -
590 млн дол.).
Но расслабляться, конечно же, нельзя, ведь вирусописатели не дремлют и
постоянно придумывают что-то новое и изощренное.
8-12-2001 Informer.ru представляет антивирусный онлайн-сервис
Число онлайновых сервисов Рунета пополнилось антивирусным приложением.
Компания AV-online и портал Informer.ru объявили о запуске совместного
проекта. Теперь пользователи Сети смогут бесплатно установить на своих
сайтах информер, с помощью которого возможна удаленная проверка файлов на
наличие вирусов. Посмотреть, как выглядит новый информер, можно здесь .
Алгоритм работы сервиса будет следующим: файлы, предназначенные для
проверки, при помощи информера загружаются на сервер AV-online, где
средствами пакета DrWeb осуществляется их проверка. Помимо процедуры
проверки, пользователи также смогут получить доступ к статистике файлов,
прошедших проверку.
Собственную серию информеров предложила "Лаборатория Касперского" . В
состав этой серии вошли информеры, содержащие новости компании, новости
проекта VirusList.com , рейтинг top10 вирусов и перечень наиболее активных
вирусов дня.
Комментируя внедрение нового сервиса и новостных информеров, руководитель
проекта Informer.ru Елена Митькина заявила следующее: "Сервис AV-online, в
первую очередь, ориентирован на администраторов интернет-проектов. С его
помощью порталы, осуществляющие обмен файлами (почтовые сервисы), смогут
организовать их автоматическую проверку на наличие вирусов, что,
несомненно, будет оценено пользователями. Что касается информеров
"Лабаратории Касперского", то они, безусловно, будут полезны владельцам
информационных проектов, специализирующихся на вопросах сетевой
безопасности и распространении вирусов".
8-12-2001 Новый Интернет-червь I-Worm.Updater
Российский разработчик систем антивирусной защиты компания "Лаборатория
Касперского" сообщила об обнаружении нового Интернет-червя I-Worm.Updater.
Уже зафиксировано несколько заражений этим вирусом.
Новый Интернет-червь "Updater" написан на языке программирования Visual
Basic и представляет собой EXE-файл размером около 12 килобайт, упакованный
утилитой сжатия UPX. Распространяется он по электронной почте через
почтовую программу Outlook, рассылая письма со своими копиями по всем
адресам из адресной книги зараженного компьютера.
Вариантов оформления письма с вирусом Updater несколько. Строка "Тема"
состоит из четырех частей и случайным образом формируется из следующего
списка:
Часть 1: "Have you ", "You Should ", "Just ", "Why Not you ", "How to ",
"Re: ", "Fwd : ", " "
Часть 2: "Check ", "Check out ", "Watch out ", "Open ", "Look at "
Часть 3: "this ", "my ", "For this ", "The "
Часть 4: "Picture", "Program", "Patch", "Nude pic", "Report", "Documment",
"Quotation", "Transaction", "Bank Account", "WTC Tragedy", "Osama Vs Bush",
"Account", "Private Pic"
Например: You Should Look at this Osama Vs Bush
Тело письма имеет следующий вид:
Hi:
This is the file you ask for, Please save it to disk and open this file,
it's very important.
Вложенный файл-носитель червя может иметь имена: "Setup.EXE",
"install.exe", "Readme.exe", "Files.exe", "Picture.exe",
"Quotation.Doc.exe", "Letter.Doc.exe", "Picture.jpg.exe"
"Updater" имеет неприятное побочное действие. Он создает вредоносную скрипт-
программу UPDATE.VBS, записывает ее в каталог автозагрузки Windows и
запускает на выполнение. Эта программа ищет на диске файлы с расширением
.EXE, .DOC и .VBS и создает для них файлы-компаньоны, содержащие копию
червя. Эти файлы-компаньоны имеют те же имена, что и оригинальные файлы
плюс "второе" расширение .VBS. Например: MPLAYER.EXE.vbs REPORT.DOC.vbs
Рекомендации пользователям не отличаются оригинальностью: не открывать
файлов (особенно исполняемых), прикрепленных к подозрительным письмам.
6-12-2001 Internet-червь Gone удаляет антивирусные программы и
распространяется как лесной пожар
Антивирусные компании распространили сообщение о появлении нового вируса-
червя под названием Gone (другие названия: Pentagone и Goner). Несмотря на
то, что вирус этот совсем не отличается замысловатостью, распространяется
он очень быстро. Английская компания MessageLabs заявила, что ее почтовая
служба блокировала уже более 23 тысяч копий этих вирусов. По данным этой
компании, вчера во второй половине дня в Великобритании зараженные
электронные письма приходили со скоростью 100 штук в минуту.
Он приходит по электронной почте в присоединенном к письму файле с
названием Gone.scr, то есть он замаскирован под скринсейвер. В заголовке
письма стоит всего одно слово: "Hi". Текст в теле письма следующий: "How
are you ? When I saw this screen saver, I immediately thought about you. I
am in a harry, I promise you will love it!" ("Привет, когда я увидел этот
скринсейвер, я сразу же подумал о тебе. Сейчас мне некогда, но я обещаю,
что он тебе понравится"). Распространяется вирус только через почтовую
программу Microsoft Outlook на компьютерах с ОС Windows, на остальных он не
действует.
На зараженном компьютере вирус Gone останавливает работу большинства
антивирусных и защитных программ и удаляет все файлы из папок, содержащих
эти приложения. В частности, вирус находит и удаляет антивирус AVP от
"Лаборатории Касперского" и защитные программы ZoneAlarm производства Zone
Labs и Black Ice от Internet Security Systems.
Сняв защиту с компьютера, вирус открывает диалоговое окно со своим именем
Pentagone и именами создателей, а также с благодарностями пользователям
Интернет. Затем вирус устанавливает на компьютер программу "черного хода",
которая может быть использована хакером для организации атак типа "отказ в
обслуживании" против серверов IRC-чата.
Вирус пытается распространяться по электронной почте и через чат-программу
ICQ. По почте он рассылает свои копии по всем адресам из адресной книги, а
в ICQ он - по всем пользователям из списка контактов.
Антивирусные компании настоятельно рекомендуют пользователям обновить свое
антивирусное ПО и не открывать писем, подпадающих под вышеупомянутое
описание.
6-12-2001 Новый вирус поражает почту и ICQ
Червь Goner распространяется по электронной почте. Зараженные письма имеют
следующий вид:
Тема письма: "Hi"
Тело письма: "How are you ?
When I saw this screen saver, I immediately thought about you
I am in a harry, I promise you will love it!"
Вложенный файл: GONE.SCR.
Для активизации "Goner" пользователь должен самостоятельно запустить файл-
носитель червя (GONE.SCR), после чего начинается процедура внедрения
вредоносного кода на компьютер жертвы. Для этого "Goner" записывает свою
копию в системный каталог Windows под тем же именем (GONE.SCR) и
регистрирует этот файл в секции автозагрузки системного реестра Windows.
Таким образом, червь автоматически запускается при каждой перезагрузке
операционной системы.
Затем "Goner" начинает процедуру распространения по сети Интернет. Для
этого одновременно используются два канала передачи данных: электронная
почта и популярный Интернет-пейджер ICQ. Для распространения по электронной
почте червь получает доступ к почтовой программе Microsoft Outlook, создает
письмо, содержащее зараженный файл GONE.SCR и незаметно для пользователя
рассылает его по всем получателям из адресной книги Outlook.
"Goner" также пытается рассылать свои копии при помощи Интернет-пейджера
ICQ. Для этого он постоянно отслеживает список активных (online)
пользователей и периодически пытается передать им файл-носитель червя. Для
сокрытия своего присутствия в системе и несанкционированной работы с ICQ
"Goner" постоянно сканирует имена вновь появившихся окон и закрывает
служебные окна ICQ.
Помимо распространения по Интернет червь также проводит атаку на IRC-канал
#pentagonex через сервер twisted.ma.us.dal.net. Для достижения этой цели на
зараженном компьютере незаметно запускается вредоносная скрипт-программа,
которая с помощью клиента mIRC регулярно создает в этом канале
пользователей со случайными именами. В некоторых случаях это может привести
к перегрузке сервиса и, безусловно, нервирует других участников IRC-канала.
Специалисты "Лаборатории Касперского" считают, что эпидемия "Goner" скоро
пойдет на убыль. Обычно в первые часы появления нового вируса наблюдается
резкий всплеск его активности, но через 2-3 дня он идет на убыль. Данный
вирус не использует никаких нестандартных методов проникновения на
компьютеры, поэтому, скорее всего, вскоре его эпидемия затихнет.
NB!
P.S. Когда верстался номер, пришло сообщение, что Ассоциация SANS Institute
опубликовала перечень десяти самых ненадежных звеньев компьютерной защиты.
В их число, в частности, попали крайне уязвимые программы Common Gateway
Interface, модули расширений, устанавливаемые на Web-серверах, и ненадежный
sendmail. Одновременно опубликованы и пять самых опасных ошибок, которые
совершают пользователи. Среди них, бесспорно, лидирует чтение
присоединенных файлов в сообщениях электронной почты, полученных от
неизвестных адресатов. Оба рейтинга опасностей можно найти в Сети по адресу
www.sans.org/topten.htm
-----------------------
[pic]
[pic]
Реферат на тему: Вирусы и способы борьбы с ними
[pic]
[pic]
[pic]
[pic]
[pic]
Автор:
Попов Кирилл
Государственный Университет “Семей”
Группа М-926
От малых причин бывают весьма важные последствия.
Козьма Прутков
Компьютерный вирус - это специально написанная программа, обычно
небольшая по размерам, способная самостоятельно дописывать себя к другим
программам (заражать их), и в последствии производить различные не
желательные действия (от изменения файлов и форматирования винчестера, до
порчи отдельных частей компьютера).
Исторически возникновение компьютерных вирусов связано с идеей
самовоспроизводящихся программ, популярной в начале 50-х годов. Сначала
подобные программы создавались из научного или просто человеческого
любопытства, которое можно охарактеризовать вопросом типа: “А что
получится, если? ... ” Это был период раннего детства вирусов.
Так, в начале 60-х годов была создана игра “Дарвин”, в которой
несколько программ загружались в память компьютера и должны были
захватывать жизненное пространство (т.е. память компьютера). Выигрывал тот
игрок, программа которого захватила больше памяти.
В начале 70-х годов была создана саморазмножающаяся программа “Creeper”
для одной из первых компьютерных сетей APRAnet. Creeper путешествовал по
сети, изредка напоминая удивленным операторам о своем существовании
сообщением: “I’M THE CREEPER... CATCH ME IF YOU CAN”. Для уничтожения
программы была создана программа “Reaper”, которая также путешествовала по
сети, при этом уничтожая все встречающиеся экземпляры “Creeper” .
Существует несколько типов вирусов:
|Тип вируса |Что делает |
|Загрузочный (Бутовый) |Заражает Boot-sector винчестера |
| |или дискеты и загружается каждый |
| |раз при начальной загрузке |
| |операционной системы. |
|Резидентный вирус |Вирус, который загружается в |
| |память компьютера и постоянно там |
| |находится там до выключения |
| |компьютера. |
|Самомодифицирующийся вирус |Изменяет свое тело таким образом, |
| |чтобы антивирусная программа не |
| |смогла его идентифицировать. |
|Stealth (невидимый) вирус |Перехватывает обращения DOS к |
| |зараженным файлам и областям и |
| |выдает их в незараженном виде. |
Комбинации этих свойств вирусов порой приводят к созданию настоящих
“адских смесей”. Которые очень трудно(!) обнаружить и уничтожить.
По “степени вредности” вирусы разделили на две условные группы -
“иллюзионистов” и “вандалов”. “Иллюзионисты” лишь мешали работе, время от
времени издавая какой-либо экзотический звук или мелодию или демонстрируя
видеоэффект. “Вандалы” с первых же дней стали на тропу войны с человеком. О
характере и повадках подобных вирусов можно судить по их названиям -
“Забалдевший”, “Душманские мозги”, “Захватчик”, “Черный мститель” и т. д.,
и т. п.
К “иллюзионистам” можно, например, отнести вирус “Печеньевый монстр”.
Во время работы на экране появляется просьба: “Хочу печенья!”. Работу можно
продолжить только в том случае, если ввести с клавиатуры слово “печенье”.
Вся беда в том, что по мере “кормления” аппетит “монстрика” возрастал и, в
конце концов, просьбы становились непрерывными блокируя работу компьютера.
Еще один представитель “иллюзионистов” - вирус “Буквопад”, работает
менее навязчиво, но с толком и расстановкой. В определенный момент
клавиатура компьютера блокируется, а буквы уже набранного текста с тихим
шорохом начинают осыпаться в нижнюю часть экрана.
“Бриллиант” производит видеоэффект похожий на сверкание бриллианта. Все
выше описанные вирусы довольно безобидны. Но есть “иллюзионисты”, фокусы
которых достаточно опасны.
Например, вирус “Воскресенье” тщательно оберегает здоровье
пользователей пытающихся поработать в выходные дни. В воскресенье он выдает
сообщение: “Сегодня воскресенье! Почему ты так серьезно взялся за дело?
Только работа и отсутствие игр сделают тебя мрачным идиотом! Пошли! Пошли
отсюда и повеселимся!”, после чего уничтожает все запускаемые программы.
Компьютерщики знают как опасно 13-е число любого месяца, если оно
приходится на пятницу. Эта дата является излюбленным рабочим днем для
многих вирусов, в частности, вируса “Черная Пятница”, который может
устроить настоящий погром в вашем компьютере.
Вирусы могут даже угрожать жизни людей.
Широко известен случай, когда летом 1988 года компьютерный вирус
заразил три компьютера Мичиганского госпиталя, которые обрабатывали
информацию о пациентах. Его обнаружили случайно, когда медиков насторожили
диагностические сведения, выдаваемые машиной. Оказалось, что вирус
перемешал фамилии пациентов в базе данных. К счастью, никому из больных не
успели поставить неправильный диагноз и назначить ошибочное лечение. Однако
это был вопрос времени, и такая ошибка вполне могла бы стоить жизни какому-
нибудь пациенту. Это был первый случай, когда вирус управлял судьбой
человека.
Но самое громкое дело относится к ноябрю 1988 года, когда второго
ноября была заражена крупнейшая международная компьютерная сеть INTERNET.
Вирус, поразивший ее, был написан аспирантом Корнельского Университета -
Робертом Морисом и относился к разряду “червей”. Этот тип вирусов не
разрушает данные, однако, распространяется так быстро, что переполняет ряд
сетей по всей стране за считанные часы, вызывая тем самым их полный
паралич. “Червяк” Морриса фактически вывел из строя 6000 компьютеров в 700
университетах, лабораториях, фирмах и федеральных агентствах. Ущерб
нанесенный вирусом составил сто миллионов долларов, а затраты на ликвидацию
последствий 250 тысяч долларов. Скажем, исследовательскому центру НАСА
пришлось на два дня закрыть свою сеть для восстановления нормального
обслуживания 52000 пользователей.
Идеальной защиты от вирусов не существует, но как же оградить себя от
вирусной атаки. Здесь, как и в случае борьбы с “живыми собратьями”, имеются
два основных пути предотвращения и лечения заболеваний - профилактика и
лечение. Летальный исход здесь не рассматривается, т.к. делать в данном
случае что-либо уже бесполезно.
Прежде чем поразить цель, вирусу нужно ее достигнуть. Чаще всего он
перемещается с машины на машину, тайно записываясь на дискету. Для
предотвращения этого на дискетах существуют специальные прорези, открывая и
закрывая которые, можно разрешать или запрещать запись на дискету (Рис. 1).
[pic]
Чтобы выяснить, не подцепил ли Ваш компьютер какую-нибудь заразу, его
нужно проверять на наличие вирусов не реже одного раза в два месяца. Для
этого существуют множество специфических программ.
|Тип программы |Что делает |
|Программы - детекторы |Эти программы имеют отдельные |
| |части вирусов и, сравнивая с ними |
| |все, что проходит через память |
| |компьютера выявляют “нежданных |
| |гостей”. Но вирус образца которого|
| |нет в программе может спокойно |
| |проскочить мимо нее. |
|Программы-ревизоры |Эти программы запоминают размер и |
| |состояние файлов в компьютере, а |
| |затем сравнивают их с исходными. |
| |При выявлении несоответствий об |
| |этом сообщается пользователю. |
|Программы-фильтры |Эти программы перехватывают (по |
| |крайней мере пытаются) сигналы, |
| |используемые вирусами при |
| |размножении и нанесении удара |
| |(т.е. при записи и чтении на |
| |диск). Не очень удобное средство. |
|Прграммы -“вакцины” |Намеренно изменяют программы на |
| |диске так, что вирус считает их |
| |уже зараженным и не трогает. |
| |Крайне неудобное средство, лечит |
| |только от одного вируса. |
|Программы-доктора (фаги) |Их задача состоит в том, чтобы |
| |точно диагностировать и удалить из|
| |зараженной программы вирус. |
Если Ваша машина, все-таки, подцепила какой-либо вирус необходимо выполнить
следующие действия:
Перезагрузить компьютер с системной дискеты, защищенной от записи
(обязательно иметь таковую).
Запустить антивирусную программу (лучше всего полифаг и также с дискеты).
И надеяться, что вирус будет повержен.
В случае неудачи обратится к специалисту.
Лучшими и самыми популярными антивирусными программами в своем классе
на данный момент являются:
ревизор диска Adinf Д.Ю. Мостового (фирма “Диалог-Наука”).
лечащий модуль Adinf Cure Module В.С. Лодыгина, Д.Г. Зуева и Д.Ю. Мостового
(фирма “Диалог-Наука”).
полифаг Doctor Web И.А. Данилова (фирма “Диалог-Наука”).
пакет антивирусных программ AVP Е.В. Касперского.
Небольшое предупреждение. Не следует каждый сбой или странность в работе
программы списывать на действие вируса. Это верный признак вирусофобии
(смертельная(!) боязнь вирусов). Неполадки могут быть вызваны особенностями
программы, или ошибками пользователя.
И, наконец HOT TEN защиты от вирусов.
1. Проверяйте компьютер на наличие вирусов не реже одного раза в 2 месяца.
1. Обновляйте базы данных своего антивирусного ПО не реже чем раз в 3
месяца.
1. Проверяйте любые дискеты, в которых вы неуверенны.
1. Не допускайте к работе на машине посторонних людей со своими дискетами
(особенно т.н. “игроков”).
1. Старайтесь не переписывать сомнительные программы.
1. Старайтесь также приобретать по возможности лицензионное ПО (в
пиратских копиях часто бывают вирусы).
1. Имейте системную дискету и дискету с антивирусными программами
(желательно в двух экземплярах).
1. Храните системную и антивирусную дискеты отдельно от других дискет.
1. Не списывайте каждый сбой или странность в работе программы на действия
вируса.
1. При невозможности самостоятельно ликвидировать вирус обращайтесь к
специалисту.
Автор искренне надеется, что вас минует чаша сия (но как говорят: “От
чумы и от тюрьмы - не зарекайся”), и Ваш компьютер не превратится в такое:
[pic]
| |
