Урок №7. Вредоносное программное обеспечение и способы борьбы с ним.
Вредоносные программы (англ, malware, malicious software — злонамеренное программное обеспечение) — это программы, предназначенные для незаконного доступа к информации, для скрытого использования компьютера или для нарушения работы компьютера и компьютерных сетей.
Исторически первыми вредоносными программами были компьютерные вирусы — программы, способные при запуске создавать свои копии (необязательно точно совпадающие с оригиналом) и внедрять их в файлы и системные области компьютера. При этом копии могут распространяться дальше самостоятельно.
Очень часто словом «вирус» для краткости называют любую вредоносную программу.
Зачем пишут такие программы?
Во-первых, с их помощью можно получить управление компьютером пользователя и использовать его в своих целях. Например, через заражённый компьютер злоумышленник может взламывать сайты и переводить на свой счёт незаконно полученные деньги. Некоторые программы блокируют компьютер и для продолжения работы требуют отправить платное SMS-сообщение.
Заражённые компьютеры, подключённые к сети Интернет, могут объединяться в сеть специального типа — ботнет (от англ. robot — робот и network — сеть). Такая сеть часто состоит из сотен тысяч компьютеров, обладающих в сумме огромной вычислительной мощностью. По команде «хозяина» ботнет может организовать атаку на какой-то сайт. В результате огромного количества запросов сервер не справляется с нагрузкой, сайт становится недоступен, и бизнесмены несут большие денежные потери. Такая атака называется DDoS-атакой, или распределённой DoS-атакой (от англ. DoS: Denial of Service — отказ в обслуживании). Кроме того, ботнеты могут использоваться для подбора паролей, рассылки спама (рекламных электронных сообщений) и другой незаконной деятельности. Иногда преступники продают доступ к ботнету или сдают его в аренду, например для распространению спама.
Во-вторых, некоторые вредоносные программы предназначены для шпионажа — передачи по Интернету секретной информации с вашего компьютера: паролей доступа к сайтам, почтовым ящикам, учётным записям в социальных сетях, банковским счетам и электронным платёжным системам. В результате таких краж пользователи теряют не только данные, но и деньги.
В-третьих, некоторые вирусы пишутся на коммерческой основе для полулегального («серого») бизнеса. Эти вирусы заставляют пользователей смотреть нежелательную рекламу, заманивают на платные сайты, предлагают скачать фальшивые антивирусы.
Иногда вирусы пишутся ради самоутверждения программистами, которые по каким-то причинам не смогли применить свои знания для создания полезного ПО. Такие программы нарушают нормальную работу компьютера: время от времени перезагружают его, вызывают сбои в работе операционной системы и прикладных программ, уничтожают данные.
Наконец, существуют вирусы, написанные ради шутки. Они не портят данные, но приводят к появлению звуковых или зрительных эффектов (проигрывание мелодии; искажение изображения на экране; кнопки, убегающие от курсора и т. п.).
Создание и распространение компьютерных вредоносных программ — это уголовное преступление, которое предусматривает (в особо тяжких случаях) наказание до 7 лет лишения свободы (Уголовный кодекс РФ, статья 273).
Признаки заражения вредоносной программой:
• замедление работы компьютера;
• уменьшение объёма свободной оперативной памяти;
• зависание, перезагрузка или блокировка компьютера;
• ошибки при работе ОС или прикладных программ;
• автоматический запуск неизвестных программ, открытие окон;
• изменение длины файлов, появление новых файлов (в том числе «скрытых»);
• невозможность запускать некоторые программы и изменять настройки компьютера;
• блокирование доступа к некоторым сайтам в Интернете (например, к сайтам антивирусных компаний);
• рассылка сообщений по электронной почте без ведома автора.
Для того чтобы вирус смог выполнить какие-то действия, он должен оказаться в памяти в виде программного кода и получить управление компьютером.
Поэтому вирусы заражают не любые данные, а только программный код, который может выполняться. Например:
• исполняемые программы (в ОС Windows — файлы с расширениями ехе, соm);
• загрузочные секторы дисков;
• пакетные командные файлы (bat);
• драйверы устройств;
• библиотеки динамической загрузки (dll), которые используются прикладными программами;
• документы, которые могут содержать макросы — небольшие программы, выполняющиеся при нажатии клавиш или выборе пункта меню; например, макросы нередко используются в документах пакета Microsoft Office;
• веб-страницы (в них можно внедрить программу-скрипт, которая выполнится при просмотре страницы на компьютере пользователя).
В отличие от кода программ файлы с данными (например, тексты, рисунки, звуковые и видеофайлы) только обрабатываются, но не выполняются, поэтому заложенный в них код никогда не должен получить управление компьютером. Однако из-за ошибок в программном обеспечении может случиться так, что специально подобранные некорректные данные вызовут сбой программы обработки и выполнение вредоносного кода. Таким образом, существует некоторый шанс, что вредоносная программа, «зашитая» в рисунок или видеофайл, всё-таки запустится.
Сейчас существуют два основных источника заражения вредоносными программами — флэш-накопители и компьютерные сети. Компьютер может быть заражён при:
• запуске заражённого файла;
• загрузке с заражённого CD (БУБ)-диска или флэш-накопителя;
• автозапуске заражённого CD (ОУТ))-диска или флэш-накопи- теля (вирус автоматически запускается из файла autorun.inf в корневом каталоге диска);
• открытии заражённого документа с макросами;
• открытии сообщения электронной почты с вирусом или запуске заражённой программы, полученной во вложении к сообщению;
• открытии веб-страницы с вирусом;
• установке активного содержимого для просмотра веб-страницы.
Кроме того, есть вирусы-черви, которые распространяются по компьютерным сетям без участия человека. Они могут заразить компьютер даже тогда, когда пользователь не сделал никаких ошибочных действий.
Большинство существующих вредоносных программ написано для ОС Windows у которая установлена более чем на 90% персональных компьютеров.
Известны также вирусы для macOS и Linux но не каждому удаётся их запустить. Дело в том, что обычный пользователь (не администратор) в этих операционных системах не имеет права на изменение системных файлов, поэтому macOS и Linux считают защищёнными от вирусов. Кроме того, вирусы часто полагаются на то, что системные функции размещаются в памяти по определённым адресам. При сборке ядра Linux из исходных кодов эти адреса могут меняться, поэтому вирус, работающий на одном дистрибутиве, может не работать на других.
К вредоносным программам относятся компьютерные вирусы, черви, троянские программы, рекламное ПО (Adware) и др. Среди вирусов обычно выделяют следующие типы:
- файловые — внедряются в исполняемые файлы, системные библиотеки и т. п.;
- загрузочные — внедряются в загрузочный сектор диска или в главную загрузочную запись жёсткого диска (англ. MBR: Master Boot Record); опасны тем, что загружаются в память раньше, чем ОС и антивирусные программы;
- макровирусы — поражают документы, в которых могут быть макросы;
- скриптовые вирусы — внедряются в командные файлы или в веб-страницы (записывая в них код на языке VBScript или JavaScript).
Некоторые вирусы при создании новой копии немного меняют свой код, для того чтобы их было труднее обнаружить. Такие вирусы называют «полиморфными».
Черви, как и вирусы, тоже способны самостоятельно распространяться, проникая на другие компьютеры через компьютерные сети. Они могут передаваться:
- в виде файла-вложения к сообщению электронной почты (почтовые черви);
- в виде ссылки на веб-страницу или другой ресурс в Интернете;
- через пиринговые сети.
Червь заражает компьютер только тогда, когда пользователь запустит полученный файл или перейдёт по вредоносной ссылке.
Почтовые черви — это программы, которые при запуске заражают компьютер и рассылают свои копии по всем адресам из адресной книги пользователя. Из-за этой опасности многие почтовые серверы (например, mail.google.com) не разрешают пересылку исполняемых файлов.
В Книгу рекордов Гиннеса занесён почтовый червь ILOVEYOU, заразивший в 2000 году более 3 миллионов компьютеров. Ущерб от его действий оценивается в 10-15 миллиардов долларов.
Чтобы заставить пользователя запустить червя, применяются методы социальной инженерии: текст сообщения составляется так, чтобы заинтересовать человека и спровоцировать его на запуск программы, приложенной к письму. В некоторых случаях программа-вирус упакована в архив и защищена паролем, но находится немало людей, которые распаковывают его (пароль указывается в письме) и запускают программу. Часто в почтовых сообщениях содержится только ссылка на сайт, которая приводит к запуску вируса.
Иногда файл, пришедший как вложение в письмо, имеет двойное расширение, например:
СуперКартинка.jpg .ехе
На самом деле это программа (расширение имени файла ехе), но пользователь может увидеть только первые две части имени и попытаться открыть такой «рисунок».
Наиболее опасны сетевые черви, которые используют «дыры» (ошибки в защите, уязвимости) операционных систем и распространяются очень быстро без участия человека. Червь посылает по сети специальный пакет данных (эксплойт, от англ, exploit — эксплуатировать), который позволяет выполнить код на удалённом компьютере и внедриться в систему.
Как правило, вскоре после обнаружения уязвимости выпускается обновление программного обеспечения (« заплатка », «патч»); если его установить, то червь становится неопасен. К сожалению, системные администраторы не всегда вовремя устанавливают обновления. Это приводит к эпидемиям сетевых червей, которые по статистике вызывают наибольшее число заражений. Зараженные компьютеры используются для рассылки спама или массовых DDoS-атак на сайты в Интернете.
Существуют черви, которые могут распространяться через файлообменные сети, чаты и системы мгновенных сообщений, но они мало распространены.
Ещё одна группа вредоносных программ — троянские программы, или «троянцы» (трояны). «Троянский конь» — это огромный деревянный конь, которого древние греки подарили жителям Трои во время Троянской войны. Внутри него спрятались воины, которые ночью выбрались, перебили охрану и открыли ворота города. Троянские программы проникают на компьютер под видом «полезных» программ, например кодеков для просмотра видео или экранных заставок (которые включаются, если некоторое время не работать на компьютере). В отличие от вирусов и червей, они не могут распространяться самостоятельно и часто «путешествуют» вместе с червями. «Троянцы» часто сопровождают файлы с нелицензионными программами.
Среди «троянцев» встречаются:
- шпионские программы — передают «хозяину» все данные, вводимые с клавиатуры (в том числе коды доступа к банковским счетам и т. п.), снимки экрана, список работающих приложений;
- похитители паролей — передают пароли, запомненные, например, в браузерах;
- банковские троянцы — крадут данные банковских карт, систем электронных платежей, пароли для подключения к интернет-банкам ;
- DDoS-троянцы — создают из заражённых компьютеров ботнеты для проведения DDoS-атак на сайты;
- фальшивые антивирусы — вымогают деньги у пользователя, обещая обнаружить и удалить вирусы, которых на самом деле не существует;
- вымогатели — блокируют работу компьютера и требуют выплаты денег за разблокирование данных;
- утилиты удалённого управления — позволяют злоумышленнику управлять компьютером через Интернет (например, загружать и запускать любые файлы); они часто используются для создания ботнетов или зомби-сетей;
- логические бомбы — при определённых условиях (дата, время, команда по сети) уничтожают информацию на дисках.
Рекламное ПО (англ, adware, от слов advertisement — реклама и software — программное обеспечение) — это программы, которые предназначены для показа рекламы на компьютере, перенаправления поисковых запросов на рекламные сайты и сбора информации о вас (например, какие сайты вы постоянно посещаете). Часто такая реклама заманивает людей на платные сайты.
Рекламные программы могут попасть на компьютер двумя способами:
- с бесплатным или условно-бесплатным программным обеспечением; как правило, от их установки можно отказаться; доходы от рекламы дают авторам возможность продолжать разработку и совершенствование этих программ;
- через заражённые веб-сайты без вашего ведома; для проникновения на ваш компьютер они могут использовать ошибки (уязвимости) в браузерах или загружаться с помощью троянской программы.
Антивирус — это программа, предназначенная для борьбы с вредоносными программами.
Антивирусы выполняют три основные задачи:
- не допустить заражения компьютера вирусом;
- обнаружить присутствие вируса в системе;
- удалить вирус без ущерба для остальных данных.
Код большинства вирусов содержит характерные цепочки байтов — сигнатуры (от лат. signare — подписать). Если в файле обнаруживается сигнатура какого-то вируса, можно предположить, что файл заражён. Такой подход используется всеми антивирусными программами. Сигнатуры известных вирусов хранятся в базе данных антивируса, которую нужно регулярно обновлять через Интернет.
Современные антивирусы — это программные комплексы, состоящие из нескольких программ. Чаще всего они включают антивирус-сканер (иногда его называют антивирус-доктор) и антивирус-монитор.
Для того чтобы антивирус-сканер начал работу, пользователь должен его запустить и указать, какие файлы и папки нужно проверить. Это «защита по требованию». Сканеры используют два основных метода поиска вирусов:
- поиск в файлах сигнатур вирусов, которые есть в базе данных; после обнаружения файл с вирусом можно вылечить, а если это не получилось — удалить;
- эвристический анализ, при котором программа ищет в файле код, похожий на вирус. Эвристический анализ часто позволяет обнаруживать полиморфные вирусы (изменяющие свой код с каждым новым заражением), но не гарантирует это. Кроме того, случаются ложные срабатывания, когда «чистый» файл попадает под подозрение.
Главный недостаток сканеров состоит в том, что они не могут предотвратить заражение компьютера, потому что начинают работать только при ручном запуске.
Антивирусы-мониторы — это программы постоянной защиты, они находятся в памяти в активном состоянии. Их основная задача — не допустить заражения компьютера и получения зараженных файлов извне. Для этого мониторы:
- проверяют «на лету» все файлы, которые копируются, перемещаются или открываются в различных прикладных программах;
- проверяют используемые флэш-накопители;
- перехватывают действия, характерные для вирусов (форматирование диска, замена и изменение системных файлов) и блокируют их;
- проверяют весь поток данных, поступающий из Интернета (сообщения электронной почты, веб-страницы, сообщения мессенджеров).
Мониторы ведут непрерывное наблюдение, блокируют вирус в момент заражения. Иногда они могут перехватить и неизвестный вирус (сигнатуры которого нет в базе), обнаружив его подозрительные действия.
Главный недостаток антивирусов-мониторов — значительное замедление работы системы, особенно на маломощных компьютерах. Кроме того, мониторы фактически встраиваются в операционную систему, поэтому ошибки разработчиков антивируса могут привести к печальным последствиям (вплоть до удаления системных библиотек и вывода ОС из строя). Бывает и так, что при запущенном мониторе некоторые программы работают неправильно или вообще не работают. Тем не менее не рекомендуется отключать монитор, особенно если вы работаете в Интернете или переносите файлы с помощью флэш-накопителей.
Кроме вредоносных программ современные антивирусы частично защищают компьютер от:
- фишинга — выманивания паролей для доступа на сайты Интернета с помощью специально сделанных веб-страниц, которые внешне выглядят так же, как «официальные» сайты;
- рекламных баннеров и всплывающих окон на веб-страницах;
- спама — рассылки нежелательных рекламных сообщений по электронной почте.
Большинство антивирусных программ — условно-бесплатные (shareware), пробные версии с ограниченным сроком действия можно свободно загрузить из Интернета. Наиболее известны антивирусы Антивирус Касперского (www.kaspersky.ru), DrWeb (www.drweb.com), Nod32 (www.eset.com), McAfee (home.mcafee.com).
На многих сайтах (kaspersky.ru, freedrweb.com) доступны для скачивания лечащие программы-сканеры, которые бесплатны для использования на домашних компьютерах. В отличие от полных версий в них нет антивируса-монитора, и базы сигнатур не обновляются.
Существуют антивирусы, бесплатные для использования на домашних компьютерах, например, Microsoft Security Essentials, Avast Home, Antivir Personal, AVG Free. Антивирус ClamAV распространяется свободно с исходным кодом.
На сайтах некоторых компаний можно найти онлайновые антивирусы. Они устанавливают на компьютер специальный сканирующий модуль и проверяют файлы и оперативную память.
Как правило, онлайновые антивирусы могут обнаружить вирусы, но не удаляют их, предлагая приобрести коммерческую версию.
Для защиты отдельных компьютеров и сетей от атак из Интернета (в том числе и вирусных) используются брандмауэры (нем. Brandmauer — стена между зданиями для защиты от распространения огня). Их также называют сетевыми экранами или файрволами (от англ, firewall). Брандмауэры запрещают передачу данных по каналам связи, которые часто используют вирусы и программы для взлома сетей.
Главный вред, который могут нанести вредоносные программы, — это потеря данных или паролей доступа к закрытой информации.
Чтобы уменьшить возможный ущерб, рекомендуется регулярно делать резервные копии важных данных на CD (DVD)-дисках или флэш-накопителях.
Если вы работаете в сети, желательно включать антивирус- монитор и брандмауэр. Монитор также сразу сообщит об опасности, если вставленный флэш-накопитель содержит вирус. Все новые файлы (особенно программы!) нужно проверять с помощью антивируса -сканера.
Не рекомендуется открывать подозрительные сообщения электронной почты, полученные с неизвестных адресов, особенно файлы-приложения (помните про методы социальной инженерии — заинтересовать жертву и заставить запустить программу). Опасно также переходить по ссылкам в тексте писем, с большой вероятностью они ведут на сайты, зараженные вирусами.
Если компьютер заражён, нужно отключить его от Интернета и запустить антивирус-сканер. Очень часто это позволяет удалить вирус, если его сигнатура есть в базе данных. Если антивирус не был установлен раньше, можно попробовать установить его на заражённый компьютер, но это не всегда приводит к успеху (вирус может блокировать установку антивируса).
Если антивирус-сканер не обнаруживает вирус или не может его удалить, можно попытаться (желательно с другого компьютера) найти в Интернете бесплатную утилиту для лечения с новыми базами сигнатур. Например, утилита Curelt не требует установки и может быть запущена с флэш-накопителя. Даже если удалить вирус не удалось, скорее всего, он будет обнаружен, и программа покажет его название. Следующий шаг — искать в Интернете утилиту для удаления именно этого вируса (например, ряд утилит можно найти на сайте support.kaspersky.ru).
В особо тяжёлых случаях для уничтожения вирусов приходится полностью форматировать жёсткий диск компьютера, при этом все данные теряются.