Задание. Ознакомьтесь с проявлениями некоторых вирусов (программа mvdemo. exe, электронный каталог вирусов). Проведите антивирусный контроль раздела диска с предварительной записью на него имитаторов вирусов.

Существует два подхода к распознаванию вредоносного кода: сигнатурный и эвристический. "Сигнатура" от слова "подпись" - "особые приметы" конкретного злодея. Для успешного применения сигнатурного метода необходимо иметь полную базу данных существующих вирусов и троянов. Очевидно, что между появлением вируса и внесением его "примет" в антивирусные базы проходит некоторое время. Пользователю остается надеяться на то, что производитель антивируса внесет сигнатуру нового вируса раньше, чем последний доберется до его, пользователя, компьютера. Иногда пользователь рискует заполучить вирус, который нарушает работу антивирусного ПО, делая невозможным обновления антивирусных баз, а то и вовсе блокируя антивирус. Продвинутые создатели вирусов хорошо знакомы с принципами работы антивирусного ПО и создают вирусы, способные самостоятельно изменять свой программный код (время от времени делать себе "пластическую операцию").

Эвристический анализ - попытка применить "искусственный интеллект". Создателям антивирусного ПО известны "привычки" злодеев. На основании анализа поведения проверяемого объекта, его структуры, антивирус может заподозрить неладное и сообщить об этом пользователю. Легальный пользователь может отправить подозрительный объект производителю своего антивируса для исследования, или просто удалить.

Основным признаком компьютерного вируса является способность распространяться. До тех пор, пока глобальные сети не обрели множество пользователей, основным средством распространения вирусов являлись дискеты. Для того, чтобы заразить компьютер, необходимо было запустить инфицированный исполняемый файл, открыть документ, зараженный макровирусом, а иногда достаточно просто просмотреть содержимое дискеты. Такой способ распространения актуален и поныне. Если Ваш компьютер без видимых причин обращается к дисководу (загорается индикатор, дисковод издает характерные звуки), значит какая-то программа пытается обнаружить диск в устройстве. Это может быть свидетельством активности вируса.

В наше время наибольшей опасности подвержены пользователи сетей, прежде всего Интернет, распространение которого подготовило почву новым злодейским технологиям. Прежде всего, на смену дискетам пришла электронная почта. Тут наблюдается практически полная аналогия. Иногда достаточно просто "открыть" письмо в почтовом клиенте или окне браузера, не говоря об открытии безобидного с виду файла, фотографии, например, чтобы заполучить на компьютер заразу.

"Шагом вперед" стали "почтовые черви", рассылающие сами себя по адресам из адресной книги, если таковая имеется на зараженном компьютере.

Настоящим прорывом было появление интернет-червей, распространяющихся безо всякой почты. Червь, обосновавшись на одном из компьютеров, начинает сканировать определенный диапазон адресов в поисках следующих жертв. Уязвимому компьютеру достаточно войти в сеть и "ждать своего часа". Впрочем, если "повезет", достаточно и минуты. Заметьте, для того, чтобы заразиться, не обязательно посещать какие-то, сайты, читать почту и так далее.

Далеко не каждый станет писать вирус из любви к искусству или из тщеславия. В последнее время чаще всего мотивом является получение материальной выгоды. Вот несколько схем получения таковой:

1. Вирус обследует компьютер жертвы на предмет файла, содержащего пароли доступа в интернет, высылает пароли "хозяину". В итоге хозяин вируса пользуется интернетом за счет жертвы. Удел школьников. Таких умников как правило ловят.

2. Вирус протоколирует ввод с клавиатуры и высылает отчеты хозяину. Таким образом злодей может получить пароли доступа к чему угодно, включая банковский счет. К счастью, для доступа к счету обычно требуется еще и "ключ" (например, специально подготовленная дискета). Комментарии излишни.

3. Вирус ищет на компьютере жертвы документы, интересующие хозяина.

4. Хозяин вируса - "звонилки" организует телефонную компанию, звонки на телефоны - платные (тариф - космический). Вирус меняет на компьютере жертвы телефон дозвона до интернет-провайдера. На другом конце запросто может стоять модем, и даже обеспечивать доступ в интернет (сам не видел, но могу предположить). Пока там пользователь разберется, почему не работает интернет (а если работает???)...

5. Хозяин вируса регистрирует платный интернет-сайт. О том, что сайт платный и счет придет посетителю от его (посетителя) поставщика услуг связи (телефонной компании), предупреждают. Другое дело, что предупреждение это в лучшем случае на английском языке (а если на санскрите каком-нибудь?). Вирус может либо поменять стартовую страницу Вашего браузера (при входе в сеть автоматически загружается страница с заманчивым содержимым), либо другим способом направлять Вас на сайт-ловушку.

6. Хозяин вируса - злобный хакер. Здравомыслящий злодей всегда позаботится о своей безопасности, одним из способов обеспечения анонимности является использование цепочки компьютеров-посредников между машиной хакера и жертвой. Добровольцев предоставить свои компьютеры в качестве посредников при взломе найдется немного, и несчастному хакеру приходится зомбировать чужие машины с помощью вируса.

7. Опять злобный хакер решил пошалить. То ли ему не угодили чем, то ли заказ поступил, захотелось хакеру провести на определенный интернет-сервер атаку класса Dos (отказ в обслуживании). Например, засыпать запросами до такой степени, что либо канал передачи данных "забьется", либо сам сервер перестанет справляться с работой. Даже если запросы сформированы особым образом (некорректные запросы), то их все равно должно быть много. А забить запросами канал (как правило, достаточно широкий) по силам только целой армии "клиентов" сервера. Организовать такую армию помогает вирус. Зараженные машины докладывают "хозяину" о готовности. Когда злодей сочтет количество "бойцов" достаточным, он может отдать команду атаковать жертву.

8. Теперь о самых неприятных злодеях. Если слово "хакер" окутано ореолом таинственности, тем более, что рядовой пользователь не ощущает на себе негативных последствий от действий хакера, то спамеров в интернет-сообществе ненавидят все. Этот гадкий народец занимается рассылкой писем, в которых что-то рекламируется. Если Ваш почтовый ящик стал известен спамерам, готовьтесь к тому, что в половине поступающих писем (а бывает и 90%) содержится ненужная Вам реклама. Это не только мешает разбирать корреспонденцию, но и бьет по карману, если ваш почтовый клиент забирает всю почту с сервера, а Вы оплачиваете этот трафик. Так вот, для рассылки спама или для сбора адресов электронной почты (для включения в спамерскую базу) могут использоваться зомбированные компьютеры.