1.    Виды вирусов

Среди всего разнообразия вирусов можно выделить следующие основные группы:

-  загрузочные

-  файловые

-  файлово-загрузочные

Теперь поподробнее об каждой из этих групп.

Загрузочные вирусы

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты.

Что  происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.

Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:

Всякая дискета размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.

Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах  не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один - т.н. сектор начальной загрузки (boot-sector).

В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части - т.н. голову и т.н. хвост. Хвост, вообще говоря, может быть пустым.

Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

-                       выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)

-                       копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор

-                       замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой

-                       организует цепочку передачи управления .

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

появляется новое звено:

ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА

Мораль ясна: никогда не оставляйте (случайно) дискет в дисководе А.

Мы рассмотрели схему функционирования простого загрузочного вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы  дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие  загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов - программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.[1]

Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину» (т.е. самой программе).

Какие же действия выполняет вирус? Он ищет новый объект для заражения - подходящий по типу файл, который еще не заражен (в том случае, если вирус «приличный», а то попадаются такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит  от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

-                       он не обязан менять длину файла

-                       неиспользуемые участки кода

-                       не обязан менять начало файла

Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Рассмотрим в качестве примера схему функционирования  вирусов известного семейства Dir-II. Нельзя не признать, что появившись в 1991 г., эти вирусы стали причиной настоящей эпидемии чумы в России. Рассмотрим модель, на которой  ясно видна основная идея вируса. Информация о файлах хранится  в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и т.н. резервные байты. Последние оставлены «про запас» и самой MS-DOS не используются.

При запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir-II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.[2]

Загрузочно-файловые вирусы

Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой новой информации вы при этом не узнаете. Но здесь представляется удобный случай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию. Наиболее «смертельное» действие - просто переписать новый здоровый MBR. Главное - не паникуйте. Взвесьте все спокойно, посоветуйтесь со специалистами.[3]

2.    Обнаружение, обезвреживание и защита от наиболее распространенных вирусов: JS и Troyn Seeker

Основными путями проникновения вирусов JS и  Troyn Seeker в компьютер являются съемные диски (гибкие и лазерные), а также компьютерные сети. Заражение жесткого диска вирусами JS и  Troyn Seeker может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть и случайным, например, если дискету не вынули из дисковода А и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо проще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и, например, прочитали ее оглавление.

Вирусs JS и  Troyn Seeker, как правило, внедряется в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов. Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, BAT. Крайне редко заражаются текстовые файлы.

После заражения программы вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И наконец, не забывает возвратить управление той программе, из которой был запущен. Каждое выполнение зараженной программы переносит вирус в следующую. Таким образом, заразится все программное обеспечение.

При заражении компьютера вирусом JS и  Troyn Seeker важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов JS и  Troyn Seeker. К ним можно отнести следующие:

-                       прекращение работы или неправильная работа ранее успешно функционировавших программ

-                       медленная работа компьютера

-                       невозможность загрузки операционной системы

-                       исчезновение файлов и каталогов или искажение их содержимого

-                       изменение даты и времени модификации файлов

-                       изменение размеров файлов

-                       неожиданное значительное увеличение количества файлов на диске

-                       существенное уменьшение размера свободной оперативной памяти

-                       вывод на экран непредусмотренных сообщений или изображений

-                       подача непредусмотренных звуковых сигналов

-                       частые зависания и сбои в работе компьютера

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Итак, некий вирусописатель (вирьмейкер) создает вирус JS или  Troyn Seeker и запускает его в «жизнь». Некоторое время он, возможно, погуляет вволю, но рано или поздно «лафа» закончится. Кто-то заподозрит что-нибудь неладное. Как правило, вирусы обнаруживают обычные пользователи, которые замечают те или иные аномалии в поведении компьютера. Они, в большинстве случаев, не способны самостоятельно справиться с заразой, но этого от них и не требуется.

Необходимо лишь, чтобы как можно скорее вирус JS или  Troyn Seeker попал в руки специалистов. Профессионалы будут его изучать, выяснять, «что он делает», «как он делает», «когда он делает» и пр. В процессе такой работы собирается вся необходимая информация о данном вирусе, в частности, выделяется сигнатура вируса - последовательность байтов, которая вполне определенно его характеризует. Для построения сигнатуры обычно берутся наиболее важные и характерные участки кода вируса. Одновременно становятся ясны механизмы работы вируса, например, в случае загрузочного вируса важно знать, где он прячет свой хвост, где находится оригинальный загрузочный сектор, а в случае файлового - способ заражения файла. Полученная информация позволяет выяснить:

-                       как обнаружить вирус, для этого уточняются методы поиска сигнатур в потенциальных объектах вирусной атаки - файлах и \ или загрузочных секторах

-                       как обезвредить вирус, если это возможно, разрабатываются алгоритмы удаления вирусного кода из пораженных объектов

Для обнаружения, удаления и защиты от компьютерных вирусов  JS и  Troyn Seeker разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:

-                       программы-детекторы

-                       программы-доктора или фаги

-                       программы-ревизоры

-                       программы-фильтры

-                       программы-вакцины или иммунизаторы

Существуют программы ,которые сомещают в себе несколько функций из вышеперечисленных ,например AVP(Antivirus Toolkit Pro) – по праву считается лучшей антивирусной программой.

Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.

Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: Aidstest, Scan, Norton AntiVirus, Doctor Web.

Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей диска тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки операционной системы. При сравнении проверяются длина файла, код циклического контроля  (контрольная сумма файла), дата и время модификации, другие параметры. Программы-ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ-ревизоров относится широко распространенная в России программа Adinf.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

-  попытки коррекции файлов с расширениями COM, EXE

-  изменение атрибутов файла

-  прямая запись на диск по абсолютному адресу

-  запись в загрузочные сектора диска

-  загрузка резидентной программы

При попытке какой-либо программы произвести указанные действия «сторож» посылает пользователю сообщение и предлагает запретить или разрешить соответствующее действие. Программы-фильтры весьма полезны, так как способны обнаружить вирус на самой ранней стадии его существования до размножения. Однако, они не «лечат» файлы и диски. Для уничтожения вирусов требуется применить другие программы, например фаги. К недостаткам программ-сторожей можно отнести их «назойливость»(например, они постоянно выдают предупреждение о любой попытке копирования исполняемого файла), а также возможные конфликты с другим программным обеспечением. Примером программы-фильтра является программа Vsafe, входящая в состав пакета утилит MS DOS.

Вакцины или иммунизаторы - это резидентные программы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «лечащие» этот вирус. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины имеют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.[4]

3.    Персональный идентификационный номер

Bce бaнкoвcкиe кapтoчки зaщищaютcя oт нecaнкциoниpoвaннoгo дocтyпa к cчeтy oблaдaтeля кapтoчки пpи пoмoщи PIN (тaк нaзывaeмoгo пepcoнaльнoгo идeнтификaциoннoгo нoмepa). Kaк пpaвилo, PIN - чeтыpexзнaчнoe чиcлo, пpи пoмoщи кoтopoгo oблaдaтeль кapтoчки пoлyчaeт дocтyп к cвoeмy cчeтy чepeз бaнкoмaт для cнятия нaличныx. Boзмoжнocть пoдбopa PIN в cлyчae нeзaкoннoгo зaвлaдeния кapтoчкoй oгpaничeнa, тaк кaк oбычнo пocлe тpex нeyдaчныx пoпытoк ввoдa PIN (пpичeм нeвaжнo, в oднoм бaнкoмaтe или в нecкoлькиx paзныx) кapтoчкa изымaeтcя бaнкoмaтoм, o чeм cтaвитcя в извecтнocть бaнк и влaдeлeц cчeтa (или cчeтoв). Oблaдaтeль кapтoчки дoлжeн xpaнить cвoй PIN в ceкpeтe. Пoлyчaeт oн eгo в бaнкe вмecтe c плacтикoвoй кapтoчкoй в cпeциaльнoм зaпeчaтaннoм кoнвepтe; caм нoмep PIN пeчaтaeтcя cпeциaльным aвтoмaтичecким ycтpoйcтвoм, тaк чтo кpoмe клиeнтa бaнкa никтo нe cмoжeт eгo yвидeть, либo выбиpaeтcя caмим клиeнтoм, чтo в Poccии вcтpeчaeтcя peдкo. 3aпoмнив пpиcвoeнный PIN, пoлyчeнный кoнвepт клиeнтy лyчшe yничтoжить. Ecли вдpyг oблaдaтeль кapтoчки зaбyдeт пpиcвoeнный eмy PIN, oн мoжeт oбpaтитьcя в бaнк и зaпpocить пoвтopнyю выдaчy кoнвepтa c кoдoм.

Сейчас, чтобы расплатиться картой, достаточно ее авторизации банком-эмитентом, которую производит кассир, и подписи владельца карты. Из-за участившихся случаев мошенничества многие магазины требуют также паспорт держателя карты. Теперь вместо подписи на чеке от владельцев карт будет требоваться введение PIN-кода на специальном устройстве (PIN-паде), как это делается при снятии наличных в банкомате. Банки-эквайеры не хотят отвечать за мошенничество с "пластиком" и в большинстве оборудуют торговые точки PIN-падами. Для не успевающих к сроку альтернатива - отказ от обслуживания карт в своих магазинах

Набор PIN-кода поможет оградить держателей карт от посягательств не только банальных воришек "пластика", но и организованных мошенников.[5]