>

Скриптовые вирусы. Вирусы и защита эвм от них. Так что же такой вирус

Виды компьютерных вирусов

Нет сегодня такого человека, который не слышал о компьютерных вирусах. Что это такое, какие бывают виды компьютерных вирусов и вредоносных программ, попробуем разобраться в этой статье. Итак, компьютерные вирусы можно разделить на следующие виды:

Под рекламными и информационными программами понимаются такие программы, которые, помимо своей основной функции, также демонстрируют рекламные баннеры и всевозможные всплывающие окна с рекламой. Такие сообщения с рекламой порой бывает достаточно нелегко скрыть или отключить. Такие рекламные программы основываются при работе на поведение пользователей компьютера и являются достаточно проблемными по соображениям безопасности системы.

Бэкдоры (Backdoor)

Утилиты скрытого администрирования позволяют, обходя системы защиты, поставить компьютер установившего пользователя под свой контроль. Программа, которая работает в невидимом режиме, дает хакеру неограниченные права для управления системой. С помощью таких backdoor-программ можно получить доступ к персональным и личным данным пользователя. Нередко такие программы используются в целях заражения системы компьютерными вирусами и для скрытой установки вредоносных программ без ведома пользователя.

Загрузочные вирусы

Нередко главный загрузочный сектор вашего HDD поражается специальными загрузочными вирусами. Вирусы подобного типа заменяют информацию, которая необходима для беспрепятственного запуска системы. Одно из последствий действия таковой вредоносной программы это невозможность загрузки операционной системы...

Bot-сеть

Bot-сеть это полноценная сеть в Интернет, которая подлежит администрированию злоумышленником и состоящая из многих инфицированных компьютеров, которые взаимодействуют между собой. Контроль над такой сетью достигается с использованием вирусов или троянов, которые проникают в систему. При работе, вредоносные программы никак себя не проявляют, ожидая команды со стороны злоумышленника. Подобные сети применяются для рассылки СПАМ сообщений или для организации DDoS атак на нужные сервера. Что интересно, пользователи зараженных компьютеров могут совершенно не догадываться о происходящем в сети.

Эксплойт

Эксплойт (дословно брешь в безопасности) – это такой скрипт или программа, которые используют специфические дырки и уязвимости ОС или какой-либо программы. Подобным образом в систему проникают программы, с использованием которых могут быть получены права доступа администратора.

Hoax (дословно шутка, ложь, мистификация, шутка, обман)

Уже на протяжении нескольких лет многие пользователи сети Интернет получают электронные сообщения о вирусах, которые распространяются якобы посредством e-mail. Подобные предупреждения массово рассылаются со слезной просьбой отправить их всем контактам из вашего личного листа.

Ловушки

Honeypot (горшочек меда) – это сетевая служба, которая имеет задачу наблюдать за всей сетью и фиксировать атаки, при возникновении очага. Простой пользователь совершенно не догадывается о существовании такой службы. Если же хакер исследует и мониторит сеть на наличие брешей, то он может воспользоваться услугами, которые предлагает такая ловушка. При этом будет сделана запись в log-файлы, а также сработает автоматическая сигнализация.

Макровирусы

Макровирусы - это очень маленькие программы, которые написаны на макроязыке приложений. Такие программки распространяются только среди тех документов, которые созданы именно для этого приложения.

Для активации таких вредоносных программ необходим запуск приложения, а также выполнение инфицированного файла-макроса. Отличие от обычных вирусов макросов в том, что заражение происходит документов приложения, а не запускаемых файлов приложения.

Фарминг

Фарминг - это скрытая манипуляция host-файлом браузера для того, чтобы направить пользователя на фальшивый сайт. Мошенники содержат у себя сервера больших объемов, на таких серверах хранятся большая база фальшивых интернет-страниц. При манипуляции host-файлом при помощи трояна или вируса вполне возможно манипулирование зараженной системой. В результате этого зараженная система будет загружать только фальшивые сайты, даже в том случае, если Вы правильно введете адрес в строке браузера.

Фишинг

Phishing дословно переводится как "выуживание" личной информации пользователя при нахождении в сети интернет. Злоумышленник при своих действиях отправляет потенциальной жертве электронное письмо, где указано, что необходимо выслать личную информацию для подтверждения. Нередко это имя и фамилия пользователя, необходимые пароли, PIN коды для доступа к счетам пользователя онлайн. С использованием таких похищенных данных, хакер вполне может выдать себя за другое лицо и осуществить любые действия от его имени.

Полиморфные вирусы

Полиморфные вирусы – это вирусы, использующие маскировку и перевоплощения в работе. В процессе они могут изменять свой программный код самостоятельно, а поэтому их очень сложно обнаружить, потому что сигнатура изменяется с течением времени.

Программные вирусы

Компьютерный вирус - это обычная программа, которая обладает самостоятельно прикрепляться к другим работающим программам, таким образом, поражая их работу. Вирусы самостоятельно распространяют свои копии, это значительно отличает их от троянских программ. Также отличие вируса от червя в том, что для работы вирусу нужна программа, к которой он может приписать свой код.

Руткит

Руткит – это определенный набор программных средств, который скрыто устанавливается в систему пользователя, обеспечивая при этом сокрытие личного логина киберпреступника и различных процессов, при этом делая копии данных.

Скрипт-вирусы и черви

Такие виды компьютерных вирусов достаточно просты для написания и распространяются в основном посредством электронной почты. Скриптовые вирусы используют скриптовые языки для работы чтобы добавлять себя к новым созданным скриптам или распространяться через функции операционной сети. Нередко заражение происходит по e-mail или в результате обмена файлами между пользователями. Червь это программа, которая размножается самостоятельно, но которая инфицирует при этом другие программы. Черви при размножении не могут стать частью других программ, что отличает их от обычных видов компьютерных вирусов.

Шпионское ПО

Шпионы могут переслать личные данные пользователя без его ведома третьим лицам. Шпионские программы при этом анализируют поведение пользователя в сети Интернет, а также, основываясь на собранных данных, демонстрируют пользователю рекламу или pop-up (всплывающие окна), которые непременно заинтересуют пользователя.

Файловые вирусы

Загрузочные вирусы

Это компьютерные вирусы, записывающиеся в первый сектор гибкого или жесткого диска и выполняющиеся при загрузке компьютера

Скриптовые вирусы

Требуют наличия одного из скриптовых языков (Javascript, VBScript) для самостоятельного проникновения в неинфицированные скрипты. Вирусы, поражающие исходный код Вирусы данного типа поражают или исходный код программы, либо её компоненты (OBJ-, LIB-, DCU- файлы) а также VCL и ActiveX компоненты

Стелс-вирусы

Вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т.д.)

Кейлоггеры

Модули для перехвата нажатий клавиш на компьютере пользователя, включаемые в состав программ-вирусов

«Кролики» размножаются.

Мнения по поводу даты рождения первого компьютерного вируса расходятся. Доподлинно известно только то, что в самом первом механическом компьютере, так называемой машине Беббиджа, их не было.

В середине 70-х был обнаружен один из первых настоящих вирусов -- «The Creeper», который мог самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с ним создали первую известную антивирусную программу-- «The Reeper».

Те, кто начал работать на IBM-PC в середине 80-х, наверняка помнят повальную эпидемию вирусов «Brain», «Vienna», «Cascade». Буквы сыпались на экранах, а толпы пользователей осаждали специалистов по ремонту мониторов. Затем компьютер заиграл «Yankee Doodle», правда, чинить динамики теперь никто не бросился -- уже было понятно, что это вирус.

Время шло, вирусы плодились. Все они были похожи друг на друга -- лезли в память, цеплялись к файлам и секторам, периодически убивали дискеты и винчестеры. Летом 1991 года появился вирус-невидимка «Dir-II», противоядие для которого нашли далеко не сразу...

В августе 1995 года, когда все прогрессивное человечество праздновало выход новой операционной системы Windows 95 от Microsoft, практически незамеченным прошло сообщение о вирусе, заражающем документы Microsoft Word. Он получил имя «Concept» и в мгновение ока проник в тысячи (если не в миллионы) компьютеров -- ведь передача текстов в формате MS Word стала одним из стандартов. Для того чтобы заразиться вирусом, требовалось всего лишь открыть зараженный документ, и все остальные редактируемые документы также «заболевали», В результате, получив по Интернету зараженный файл и прочитав его, пользователь, сам того не ведая, оказывался разносчиком компьютерной заразы. Опасность заражения MS Word, учитывая возможности Интернета, стала одной из са­мых серьезных проблем за всю историю существования вирусов.

Но MS Word дело не ограничилось. Летом 1996 года появился вирус «Laroux», поражающий таблицы MS Excel. (В 1997 году этот вирус вызвал эпидемию в Москве.) К лету 97-го число макровирусов достигло нескольких сотен...

18 сентября этого года на Тайване был повторно арестован создатель знаменитого «Чернобыля» Чен Ин-Хау. (Первый раз Чен Ин-Хау задержали в апреле 1999 года, но он избежал наказания, поскольку на тот момент не имелось официальных жалоб от тайваньских компаний. Поводом для нового ареста послужили обвинения, предъявленные тайваньским студентом, который пострадал от вируса «Чернобыль» уже в апреле этого года.) Этот вирус был обнаружен на Тайване в июне 98-го. Тогда его автор заразил компьютеры университета, в котором учился. «Больные» файлы расползлись по местным Интернет-конференциям, и вирус выбрался за пределы Тайваня. Через неделю эпидемия поразила Австрию, Австралию, Израиль и Великобританию. Затем вирус проявил себя и в других странах, в том числе и в России.

Примерно через месяц зараженные файлы появились на нескольких американских Web-серверах, распространяющих игровые программы, что, видимо, и послужило причиной последовавшей глобальной эпидемии «Чернобыля». 26 апреля 1999 года взорвалась «логическая бомба», заложенная в его код. По различным оценкам, в этот день по всему миру пострадало около 500 тыс. компьютеров -- были уничтожены данные на жестких дисках, а в некоторых случаях даже испорчены микросхемы на материнских платах. Никогда еще вирусные эпидемии не приносили таких убытков. Через какое-то время «Чернобыль» сработал вновь. Ущерб, нанесенный им только в Южной Корее, оценивается в $250 млн.

22 октября этого года на Филиппинах арестовали 19-летнего хакера, подозреваемого в распространении вирусов. (Позднее он был отпущен на свободу до окончания расследования.) Власти Филиппин, видимо, решили таким образом реабилитироваться после нескольких неудачных попыток привлечь к ответственности распространителей вируса «LoveLetter», причинившего огромный ущерб в мае этого года.

Сегодня в базе одного из самых мощных отечественных, да и, пожалуй, мировых средств антивирусной защиты, «AVP Евгения Касперского», содержится информация о 40 393 вирусах (на б ноября 2000 года), а также соответствующие средства обнаружения, лечения и удаления.

На самом деле макровирусы являются не самостоятельным «видом», а всего лишь одной из разновидностей большого семейства вредоносных программ - скрипт-вирусов. Их обособление связано разве что с тем фактором, что именно макровирусы положили начало всему этому семейству, к тому же вирусы, «заточенные» под программы Microsoft Office, получили наибольшее распространение из всего клана. Следует отметить также что скрипт-вирусы являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.).

Общая черта скрипт-вирусов - это привязка к одному из «встроенных» языков программирования. Каждый вирус привязан к конкретной «дырке» в защите одной из программ Windows и представляет собой не самостоятельную программу, а набор инструкций, которые заставляют в общем-то безобидный «движок» программы совершать не свойственные ему разрушительные действия.

Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и т.д.) не является криминалом, - большинство из них вполне мирно трудится, делая страничку более привлекательной или более удобной. Чат, гостевая книга, система голосования, счётчик - всем этим удобствам наши странички обязаны микропрограммам-«скриптам». Что же касается Java-апплетов, то их присутствие на страничке тоже обоснованно - они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором мышки…

Удобства удобствами, но не стоит забывать, все эти апплеты и скрипты - самые настоящие, полноценные программы. Причём многие из них запускаются и работают не где-то там, на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вирус, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны - от простой кражи пароля до форматирования жесткого диска.

Разумеется, со «скриптами-убийцами» вам придётся сталкиваться во сто крат реже, чем с обычными вирусами. Кстати, на обычные антивирусы в этом случае надежды мало, однако открытая вместе со страничкой зловредная программа должна будет преодолеть защиту самого браузера, создатели которого прекрасно осведомлены о подобных штучках.

Настройка уровня безопасности Internet Explorer.

Вернёмся на минутку к настройкам Internet Explorer, - а именно в меню Сервис/ Свойства обозревателя/ Безопасность. Internet Explorer предлагает нам несколько уровней безопасности. Помимо стандартного уровня защиты (зона Интернет) мы можем усилить (зона Ограничить) или ослабить свою бдительность (зона Надёжные узлы). Нажав кнопку Другой, мы можем вручную отрегулировать защиту браузера.Впрочем, большая часть скрипт-вирусов распространяется через электронную почту (такие вирусы чаще называют «Интернет-червями»). Пожалуй, ярчайшими представителями этого семейства являются вирусы LoveLetter и Anna Kournikova, атаки которых пришлись на сезон 2001-2002 г. Оба этих вируса использовали один и тот же приём, основанный не только на слабой защите операционной системы, но и на наивности пользователей.

Мы помним, что переносчиками вирусов в большинстве случаев являются сообщения электронной почты, содержащие вложенные файлы. Помним и то, что вирус может проникнуть в компьютер либо через программы (исполняемые файлы с расширением *.exe, *.com.), либо через документы Microsoft Office. Помним и то, что со стороны картинок или звуковых файлов нам никакая неприятность грозить вроде бы не может. А потому, раскопав нежданно-негаданно в почтовом ящике письмо с прикреплённой к нему (судя по имени файла и расширению) картинкой, тут же радостно её запускаем… И обнаруживаем, под картинкой скрывался вредоносный вирусный «скрипт». Хорошо ещё, что обнаруживаем сразу, а не после того, как вирус успел полностью уничтожить все ваши данные.

Хитрость создателей вируса проста - файл, который показался нам картинкой, имел двойное расширение! Например, AnnaKournikova.jpg.vbs

Вот именно второе расширение и является истинным типом файла, в то время как первое является просто частью его имени. А поскольку расширение vbs Windows хорошо знакомо, она, не долго думая, прячет его от глаз пользователей, оставляя на экране лишь имя AnnaKournikova.jpg

И Windows поступает так со всеми зарегистрированными типами файлов: разрешение отбрасывается а о типе файла должен свидетельствовать значок. На который, увы, мы редко обращаем внимание.

Хороша ловушка, но различить её легче лёгкого: фокус с «двойным расширением» не проходит, если мы заранее активируем режим отображения типов файлов. Сделать это можно с помощью меню Свойства папки на Панели управления Windows: щёлкните по этому значку, затем откройте закладку Вид и снимите галочку со строчки Скрывать расширения для зарегистрированных типов файлов.

Запомните: в качестве «вложения» в письмо допустимы лишь несколько типов файлов. Относительно безопасны файлы txt, jpg, gif, tif, bmp, mp3, wma.

А вот список безусловно опасных типов файлов:

  • § asx com inf msi
  • § bas cpl ins pif
  • § bat crt js reg
  • § cmd exe msc vbs

Собственно говоря, список потенциальных «вирусоносителей» включает ещё не один десяток типов файлов. Но эти встречаются чаще других.

Следует отметить также скрипт-вирусы, являющиеся подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.

Троянские программы.

Троянские программы различаются между собой по тем действиям, которые они производят на зараженном компьютере.

Backdoor - троянские утилиты удаленного администрирования

Троянские программы этого класса являются утилитами удаленного администрирования компьютеров в сети. По своей функциональности они во многом напоминают различные системы администрирования, разрабатываемые и распространяемые фирмами-производителями программных продуктов.

Единственная особенность этих программ заставляет классифицировать их как вредные троянские программы: отсутствие предупреждения об инсталляции и запуске. При запуске "троянец" устанавливает себя в системе и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях троянца в системе. Более того, ссылка на "троянца" может отсутствовать в списке активных приложений. В результате "пользователь" этой троянской программы может и не знать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Утилиты скрытого управления позволяют делать с компьютером все, что в них заложил автор: принимать или отсылать файлы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т.д. В результате эти троянцы могут быть использованы для обнаружения и передачи конфиденциальной информации, для запуска вирусов, уничтожения данных и т.п. - пораженные компьютеры оказываются открытыми для злоумышленных действий хакеров.

Таким образом, троянские программы данного типа являются одним из самых опасных видов вредоносного программного обеспечения, поскольку в них заложена возможность самых разнообразных злоумышленных действий, присущих другим видам троянских программ.

Отдельно следует отметить группу бэкдоров, способных распространяться по сети и внедряться в другие компьютеры, как это делают компьютерные черви. Отличает такие "троянцы" от червей тот факт, что они распространяются по сети не самопроизвольно (как черви), а только по специальной команде "хозяина", управляющего данной копией троянской программы.

Trojan-PSW - воровство паролей

Данное семейство объединяет троянские программы, "ворующие" различную информацию с зараженного компьютера, обычно - системные пароли (PSW - Password-Stealing-Ware). При запуске PSW-троянцы ищут сиcтемные файлы, хранящие различную конфиденциальную информацию (обычно номера телефонов и пароли доступа к интернету) и отсылают ее по указанному в коде "троянца" электронному адресу или адресам.

Существуют PSW-троянцы, которые сообщают и другую информацию о зараженном компьютере, например, информацию о системе (размер памяти и дискового пространства, версия операционной системы), тип используемого почтового клиента, IP-адрес и т.п. Некоторые троянцы данного типа "воруют" регистрационную информацию к различному программному обеспечению, коды доступа к сетевым играм и прочее.

Trojan-AOL - семейство троянских программ, "ворующих" коды доступа к сети AOL (America Online). Выделены в особую группу по причине своей многочисленности.

Trojan-Clicker - интернет-кликеры

Семейство троянских программ, основная функция которых - организация несанкционированных обращений к интернет-ресурсам (обычно к веб-страницам). Достигается это либо посылкой соответствующих команд браузеру, либо заменой системных файлов, в которых указаны "стандартные" адреса интернет-ресурсов (например, файл hosts в MS Windows).

У злоумышленника могут быть следующие цели для подобных действий:

увеличение посещаемости каких-либо сайтов с целью увеличения показов рекламы;

организация DoS-атаки (Denial of Service) на какой-либо сервер;

привлечение потенциальных жертв для заражения вирусами или троянскими программами.

Trojan-Downloader - доставка прочих вредоносных программ

Троянские программы этого класса предназначены для загрузки и установки на компьютер-жертву новых версий вредоносных программ, установки "троянцев" или рекламных систем. Загруженные из интернета программы затем либо запускаются на выполнение, либо регистрируются "троянцем" на автозагрузку в соответствии с возможностями операционной системы. Данные действия при этом происходят без ведома пользователя.

Информация об именах и расположении загружаемых программ содержится в коде и данных троянца или скачивается троянцем с "управляющего" интернет-ресурса (обычно с веб-страницы).

Trojan-Dropper - инсталляторы прочих вредоносных программ

Троянские программы этого класса написаны в целях скрытной инсталляции других программ и практически всегда используются для "подсовывания" на компьютер-жертву вирусов или других троянских программ.

Данные троянцы обычно без каких-либо сообщений (либо с ложными сообщениями об ошибке в архиве или неверной версии операционной системы) сбрасывают на диск в какой-либо каталог (в корень диска C:, во временный каталог, в каталоги Windows) другие файлы и запускают их на выполнение.

Обычно структура таких программ следующая:

Основной код

"Основной код" выделяет из своего файла остальные компоненты (файл 1, файл 2,.), записывает их на диск и открывает их (запускает на выполнение).

Обычно один (или более) компонентов являются троянскими программами, и как минимум один компонент является "обманкой": программой-шуткой, игрой, картинкой или чем-то подобным. "Обманка" должна отвлечь внимание пользователя и/или продемонстрировать то, что запускаемый файл действительно делает что-то "полезное", в то время как троянская компонента инсталлируется в систему.

В результате использования программ данного класса хакеры достигают двух целей:

скрытная инсталляция троянских программ и/или вирусов;

защита от антивирусных программ, поскольку не все из них в состоянии проверить все компоненты внутри файлов этого типа.

Trojan-Proxy - троянские прокси-сервера

Семейство троянских программ, скрытно осуществляющих анонимный доступ к различным интернет-ресурсам. Обычно используются для рассылки спама.

Trojan-Spy - шпионские программы

Данные троянцы осуществляют электронный шпионаж за пользователем зараженного компьютера: вводимая с клавиатуры информация, снимки экрана, список активных приложений и действия пользователя с ними сохраняются в какой-либо файл на диске и периодически отправляются злоумышленнику.

Троянские программы этого типа часто используются для кражи информации пользователей различных систем онлайновых платежей и банковских систем.

Trojan - прочие троянские программы

К данным троянцам относятся те из них, которые осуществляют прочие действия, попадающие под определение троянских программ, т.е. разрушение или злонамеренная модификация данных, нарушение работоспособности компьютера и прочее.

В данной категории также присутствуют "многоцелевые" троянские программы, например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.

Rootkit - сокрытие присутствия в операционной системе

Понятие rootkit пришло к нам из UNIX. Первоначально это понятие использовалось для обозначения набора инструментов, применяемых для получения прав root.

Так как инструменты типа rootkit на сегодняшний день "прижились" и на других ОС (в том числе, на Windows), то следует признать подобное определение rootkit морально устаревшим и не отвечающим реальному положению дел.

Таким образом, rootkit - программный код или техника, направленная на сокрытие присутствия в системе заданных объектов (процессов, файлов, ключей реестра и т.д.).

Для поведения Rootkit в классификации "Лаборатории Касперского" действуют правила поглощения: Rootkit - самое младшее поведение среди вредоносных программ. То есть, если Rootkit-программа имеет троянскую составляющую, то она детектируется как Trojan.

ArcBomb - "бомбы" в архивах

Представляют собой архивы, специально оформленные таким образом, чтобы вызывать нештатное поведение архиваторов при попытке разархивировать данные - зависание или существенное замедление работы компьютера или заполнение диска большим количеством "пустых" данных. Особенно опасны "архивные бомбы" для файловых и почтовых серверов, если на сервере используется какая-либо система автоматической обработки входящей информации - "архивная бомба" может просто остановить работу сервера.

Встречаются три типа подобных "бомб": некорректный заголовок архива, повторяющиеся данные и одинаковые файлы в архиве.

Некорректный заголовок архива или испорченные данные в архиве могут привести к сбою в работе конкретного архиватора или алгоритма разархивирования при разборе содержимого архива.

Значительных размеров файл, содержащий повторяющиеся данные, позволяет заархивировать такой файл в архив небольшого размера (например, 5ГБ данных упаковываются в 200КБ RAR или в 480КБ ZIP-архив).

Огромное количество одинаковых файлов в архиве также практически не сказывается на размере архива при использовании специальных методов (например, существуют приемы упаковки 10100 одинаковых файлов в 30КБ RAR или 230КБ ZIP-архив).

Trojan-Notifier - оповещение об успешной атаке

Троянцы данного типа предназначены для сообщения своему "хозяину" о зараженном компьютере. При этом на адрес "хозяина" отправляется информация о компьютере, например, IP-адрес компьютера, номер открытого порта, адрес электронной почты и т.п. Отсылка осуществляется различными способами: электронным письмом, специально оформленным обращением к веб-странице "хозяина", ICQ-сообщением.

Данные троянские программы используются в многокомпонентных троянских наборах для извещения своего "хозяина" об успешной инсталляции троянских компонент в атакуемую систему.

Макро-вирусы.

Наибольшее распространение получили макро-вирусы для интегрированного офисного приложения Microsoft Office (Word, Excel, PowerPoint и Access). Макро-ви­русы фактически являются макрокомандами (макросами) на встроенном языке программирования Visual Basic for Applications (VBA), которые помещаются в документ.

При работе с документом пользователь выполняет раз­личные действия: открывает документ, сохраняет, печатает, закрывает и т. д. При этом приложение ищет и выполняет соответствующие стандартные макросы. Макро-вирусы со­держат стандартные макросы, вызываются вместо них и за­ражают каждый открываемый или сохраняемый документ. Вредные действия макро-вирусов реализуются с помощью встроенных макросов (вставки текстов, запрета выполнения команд меню приложения и т. д.).

Макро-вирусы являются ограниченно резидентными,

В августе 1995 года началась эпидемия первого мак­ро-вируса «Concept» для текстового процессора Microsoft Word. Макро-вирус «Concept» до сих пор имеет широ­кое распространение, и на сегодняшний момент изве­стно около 100 его модификаций.

Профилактическая защита от макро-вирусов состоит в предотвращении запуска вируса. При открытии документа в приложениях Microsoft Office сообщается о присутствии в них макросов (потенциальных вирусов) и предлагается за­претить их загрузку. Выбор запрета на загрузку макросов надежно защитит ваш компьютер от заражения макро-виру­сами, однако отключит и полезные макросы, содержащиеся в документе.

Особой разновидностью вирусов явля­ются активные элементы (программы) на языках JavaScript или VBScript, которые могут содержаться в файлах Web-страниц. Заражение локального компьютера происходит при их передаче по Всемирной паутине с серверов Интернета в браузер локального компьютера.

В ноябре 1998 года появился первый скрипт-вирус VBScript.Rabbit, заражающий скрипты Web-страниц, а через полтора года, в мае 2000 года грянула глобаль­ная эпидемия скрипт-вируса «LoveLetter». Сейчас этот тип вирусов прочно удерживает первое место в списке наиболее распространенных и опасных вирусов.

Профилактическая защита от скрипт-вирусов состоит в том, что в браузере можно запретить получение активных элементов на локальный компьютер.

ЗНАТЬ

Компьютерные вирусы являются вредоносными программами, которые могут «размножаться» и скрытно внедрять свои копии в исполнимые файлы, загрузочные секторы дисков и документы. Активи­зация компьютерного вируса может вызывать унич­тожение программ и данных.



Разнообразны последствия действия вирусов. По вели­чине вредных воздействий вирусы можно разделить на:

  • неопасные, влияние которых ограничивается умень­шением свободной памяти на диске, графическими, звуковыми и другими внешними эффектами;
  • опасные, которые могут привести к сбоям и «зависа­ниям» при работе компьютера;
  • очень опасные, активизация которых может привести к потере программ и данных (изменению или удалению файлов и каталогов), форматированию винчестера и т. д.

В настоящее время известно несколько десятков тысяч вирусов, заражающих компьютеры различных операцион­ных систем. По способу сохранения и исполнения своего кода вирусы можно разделить на загрузочные, файловые, макро-вирусы и скрипт-вирусы.

Загрузочные вирусы заражают за­грузочный сектор гибкого или жесткого диска. Принцип действия загрузочных вирусов основан на алгоритмах запус­ка операционной системы при включении или перезагрузке компьютера.

Файловые вирусы различными спо­собами внедряются в исполнимые файлы и обычно активизиру­ются при их запуске. После запуска зараженного файла ви­рус находится в оперативной памяти компьютера и являет­ся активным вплоть до момента выключения компьютера или перезагрузки опе­рационной системы.

Макро-вирусы являются ограниченно резидентными, т. е. они находятся в оперативной памяти и заражают докумен­ты, пока открыто приложение. Кроме того, макро-вирусы заражают шаблоны документов и поэтому активизируются уже при запуске зараженного приложения.

Контрольные вопросы

1. Какие типы компьютерных вирусов существуют, чем они отлича­ются друг от друга и какова должна быть профилактика зараже­ния?

2. Почему даже чистая отформатированная дискета может стать ис­точником заражения вирусом?

3. С использованием Вирусной энциклопедии ознакомиться с клас­сификацией вирусов и методами антивирусной защиты.