Текст книги "Защити свой компьютер на 100% от вирусов и хакеров"

Статья 361. Незаконное вмешательство в работу электронно-вычислительных машин (компьютеров), систем и компьютерных сетей.

1. Незаконное вмешательство в работу автоматизированных электронно-вычислительных машин, их систем или компьютерных сетей, которое привело к искажению или уничтожению компьютерной информации или носителей такой информации, а также распространение компьютерного вируса путем применения программных и технических средств, предназначенных для незаконного проникновения в эти машины, системы или компьютерные сети и способных повлечь за собой искажение или уничтожение компьютерной информации или носителей такой информации, – наказываются штрафом до семидесяти необлагаемых налогом минимумов доходов граждан или исправительными работами на срок до двух лет, или ограничением свободы на такой же срок.

2. Те же действия, если они причинили существенный вред или совершены повторно или по предварительному сговору группой лиц, – наказываются ограничением свободы на срок до пяти лет или лишением свободы на срок от трех до пяти лет.

Статья 362. Похищение, присвоение, вымогательство компьютерной информации или завладение ею путем мошенничества или злоупотребления служебным положением.

1. Похищение, присвоение, вымогательство компьютерной информации или завладение ею путем мошенничества или злоупотребления служебным лицом своим служебным положением, – наказываются штрафом от пятидесяти до двухсот необлагаемых налогом минимумов доходов граждан или исправительными работами на срок до двух лет.

2. Те же действия, совершенные повторно или по предыдущему сговору группой лиц, – наказываются штрафом от ста до четырехсот необлагаемых налогом минимумов доходов граждан или ограничением свободы на срок до трех лет, или лишением свободы на тот же срок.

3. Действия, предусмотренные частями первой или второй этой статьи, если они причинили существенный вред, – наказываются лишением свободы на срок от двух до пяти лет.

Статья 363. Нарушение правил эксплуатации автоматизированных электронно-вычислительных систем.

1. Нарушение правил эксплуатации автоматизированных электронно-вычислительных машин, их систем или компьютерных сетей лицом, отвечающим за их эксплуатацию, если это повлекло за собой похищение, искажение или уничтожение компьютерной информации, средств ее защиты, или незаконное копирование компьютерной информации, или существенное нарушение работы таких машин, их систем или компьютерных сетей, – наказывается штрафом до пятидесяти необлагаемых налогом минимумов доходов граждан или лишением права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет, или исправительными работами на срок до двух лет.

2. То же самое деяние, если оно причинило существенный вред, – карается штрафом до ста необлагаемых налогом минимумов доходов граждан или исправительными работами на срок до двух лет, или ограничением свободы на срок до пяти лет, с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.

После всего, что было отмечено выше, стоит отметить, что законодательство нашей страны, а также наших соседей по СНГ достаточно лояльно относится к нарушениям подобного рода. Так, к примеру, законодательством КНР предусмотрено пожизненное заключение и даже смертная казнь за некоторые из видов хищения конфиденциальной информации посредством информационных технологий.

Глава 4
Защита от вредоносного ПО

♦ Краткая классификация вредоносного ПО

♦ Выбираем лучший антивирус

♦ Защищаем свой компьютер от троянских коней

♦ Практический экзорцизм – изгоняем "зло-код" голыми руками

Новейшие версии вредоносного ПО, которое не определяется антивирусами даже с самыми свежими базами, и модификации уже существующих вредоносных программ уже давно стали фоном современного киберпространства. Вирусописатели всячески изощряются: сегодня уже никого не удивишь вредоносной программой, замаскированной под JPEG-файл. Посещение веб-страницы может запросто обернуться подгрузкой на ваш ПК самого настоящего троянского коня, а выход в Интернет с Microsoft Windows SP1 – MS Blast, сидящим в самом чреве вашей системы. И тут вопрос даже не в том, что количество вновь появившихся уязвимостей ПО имеет экспоненциальный рост. Человек, занимающийся написанием вредоносного ПО, всегда на шаг впереди того, кто делает от него защиту.

Цель данной главы – ознакомить читателя с современной классификацией вредоносного ПО (malware). Здесь же рассматриваются классическая схема защиты и вопрос выбора оптимального антивирусного продукта. В заключительном разделе главы читателя ждет овладение практическими навыками борьбы с вредоносным кодом "вручную".

4.1. Краткая классификация вредоносного ПО

По классификации «Лаборатории Касперского» ( www.virusList.com) условно всю разновидность вредоносного программного обеспечения можно разделить на следующие категории:

♦ классические файловые вирусы;

♦ троянские кони;

♦ сетевые черви;

♦ хакерские утилиты и прочие программы, наносящие заведомый вред компьютеру, на котором они запускаются на выполнение, или другим компьютерам в сети.

Термин "компьютерный вирус" вошел в обиход с появлением программ, выполняющих некие действия (обычно деструктивного характера) без ведома пользователя и способных заражать другие файлы.

Упоминания о первом компьютерном вирусе своими корнями уходят в те далекие времена, когда привычный нам ПК, или "комп", работал под операционной системой MS DOS и гордо назывался ПЭВМ (персональная электронно-вычислительная машина). Происхождение термина "компьютерный вирус" в большей степени обязано понятию биологического вируса. Наверное, потому что так же, как и биологический вирус, компьютерный заражает объект (файл), после чего, размножаясь, заражает другие объекты. Эта упрощенная схема, несмотря на ее некоторую примитивность, оказалась чрезвычайно эффективна как способ существования, причем неважно, о чем идет речь: о вирусе биологическом или компьютерном.

Сегодня, в век высоких технологий, проблема компьютерных вирусов стоит особенно остро. В настоящее время количество вирусов стремительно растет: по некоторым оценкам, сейчас их около 500 тыс. видов.

Перейдем к рассмотрению типов компьютерных вирусов. Различные типы компьютерных вирусов могут различаться между собой по среде обитания и способу заражения.

По среде обитания выделяют следующие типы вирусов:

♦ загрузочные;

♦ файловые;

♦ макровирусы;

♦ скриптовые.

Чтобы размножиться, файловые вирусы могут:

♦ инфицировать исполняемый файл, который, будучи запущенным, заразит другие;

♦ создавать так называемые файлы-двойники (такие вирусы носят название компаньон-вирусов);

♦ просто самопроизвольно начать создавать множество своих копий на жестком диске;

♦ использовать специфические особенности структуры файловой системы (link-вирусы).

Вот пример из жизни.

Достаточно часто встречающимся механизмом распространения вирусного кода является заражение флэш-карты. При работе в зараженной среде вирус копирует себя на флэшку. Далее она попадает на другой компьютер, и тут начинается самое интересное. Пользователь сам запускает на исполнение вирусный код, даже не подозревая об этом. Еще бы! Ведь заражение системы происходит в момент попытки просмотреть содержимое диска! Почему так происходит? Все дело в том, что для своего распространения вирус использует функцию автозапуска содержимого диска. Картина заражения при этом следующая:

♦ в контекстном меню, открываемом при щелчке правой кнопкой мыши на флэш-диске, появляется выделенная полужирным строка Автозапуск (рис. 4.1);

Рис. 4.1. Автозапуск содержимого уже «в силе»!

♦ в корне флэш-диска можно обнаружить файл автозапуска – AutoRun.inf (он скрытый и имеет атрибут Системный);

♦ там же или в какой-либо другой папке – исполняемый файл.

Загрузочные вирусы прописывают себя на автозапуск одним из следующих способов:

♦ записав себя в загрузочный сектор диска (boot-сектор);

♦ записав себя в сектор, содержащий MBR (Master Boot Record – системный загрузчик);

♦ просто поменяв указатель на активный boot-сектор.

Следует отметить, что популярность загрузочных вирусов пришлась на 1990-е годы. Однако вскоре количество загрузочных вирусов значительно уменьшилось, что связано с переходом на 32-битные операционные системы и отказом от использования дискет как основного съемного носителя информации.

Принцип работы загрузочных вирусов можно свести к тому, чтобы заставить систему при перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Интересно отметить, что при инфицировании диска такой вирус, как правило, переносит оригинальный boot-сектор в какой-либо другой сектор диска (чаще всего в первый свободный).

Вышеперечисленные коварства загрузочных вирусов – отнюдь не исчерпывающий список. Заражение таким вирусом может обернуться не просто крахом системы, но и невозможностью последующей установки Windows. Как показывает практика, проблемы подобного рода успешно решаются, если использовать специализированные утилиты вроде Norton Disc Doctor.

Макровирусы распространяются, используя богатые возможности макроязыков (рис. 4.2).

Рис. 4.2. Один из макровирусов

Активация макровируса происходит в момент открытия инфицированного документа формата Microsoft Office (Word, Excel и PowerPoint). Принцип работы макровируса основан на том, что офисное приложение при своей работе имеет возможность использовать (а в большинстве случаев использует постоянно) макросы. Такие макросы (например, автомакросы) автоматически исполняются в зависимости от состояний программы. Так, к примеру, когда мы открываем документ с расширением

DOC, Microsoft Word проверяет его содержимое на присутствие макроса AutoOpen. При наличии такого макроса Word выполняет его. Когда мы закрываем документ, автоматически выполняется макрос AutoClose.

Запускаем Word – автоматически вызывается макрос AutoExec, завершаем работу – AutoExit.

Макровирусы, поражающие файлы Office, как правило, действуют одним из трех способов.

♦ Автомакрос присутствует (и, соответственно, выполняется) в самом вирусе.

♦ Вирус переопределяет один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню).

♦ Макрос вируса запускается, если пользователь нажимает какую-либо клавишу/сочетание клавиш. Получив управление, такой вирус заражает другие файлы – обычно те, которые в данный момент открыты.

Продолжим наше знакомство с классификацией.

По способу заражения вирусы делятся на:

♦ перезаписывающие (overwriting);

♦ паразитические (parasitic);

♦ вирусы-компаньоны (companion);

♦ вирусы-ссылки (link);

♦ вирусы, заражающие объектные модули (OBJ);

♦ вирусы, заражающие библиотеки компиляторов (LIB);

♦ вирусы, заражающие исходные тексты программ.

Рассмотрим каждый из перечисленных типов подробнее.

Перезаписывающие вирусы. Вирусы данного типа характеризуются тем, что заражают файлы путем простой перезаписи кода программы. «Стиль» работы такого вируса можно назвать достаточно грубым, так как перезаписанная программа (файл) перестает работать, к тому же из-за особенностей своей «вероломной» работы вирусы подобного рода легко обнаружить.

Паразитические вирусы. Особенностью паразитических вирусов является их способ заражения файлов, а именно: вирус просто «вклинивается» в код файла, не нарушая его работоспособность.

Такие вирусы можно разделить по способу внедрения в тело файла.

♦ В начало файлов (prepending):

• когда вирус копирует начало заражаемого файла в его конец, а сам при этом копируется в освободившееся место;

• вирус просто дописывает заражаемый файл к своему коду.

♦ В середину файлов (inserting). При таком способе заражения вирус просто "раздвигает" файл и записывает свой код в свободное место. Некоторые из вирусов при таком способе заражения способны сжать перемещаемый блок файла, так что конечный размер файла будет идентичным тому, который был до заражения.

Возможен и другой вариант внедрения в середину файла – так называемый метод "cavity", при котором вирус записывает свое тело в неиспользуемые области файла. Такими неиспользуемыми, "пустыми" областями могут быть области заголовка EXE-файла, "пробелы" между секциями EXE-файлов либо область текстовых сообщений компилятора.

♦ В конец файлов (appending). Внедрение вируса в конец файла подразумевает, что вирусный код, оказавшись в конце файла, изменяет начало файла, так что первыми выполняются команды вируса. Это достигается путем коррекции стартового адреса программы (адрес точки входа) в заголовке файла.

EPO-вирусы – вирусы без точки входа. Особую группу вирусов представляют так называемые вирусы без «точки входа» (EPO-вирусы – Entry Point Obscuring viruses). Такие вирусы при заражении файла не изменяют адрес точки старта. Как же они работают, ведь в любом случае вирус должен получить управление? Все дело в том, что такие вирусы записывают команду перехода на свой код в середине файла. Стартуют такие вирусы не при запуске зараженного файла, а при вызове определенной процедуры, передающей управление на тело вируса. Запуск такой процедуры может произойти в редких случаях, в результате чего вирус может ждать внутри файла многие годы.

Вирусы-двойники. К данной категории относят вирусы, создающие для заражаемого файла файл-двойник. Алгоритм работы в данном случае обычно таков.

1. При заражении вирус переименовывает файл-жертву.

2. Записывает свой код на место зараженного файла под его именем.

3. Получив управление, вирус запускает оригинальный системный файл.

Скрипт-вирусы, как оно и следует из названия, написаны на различных языках сценариев, таких, например, как VBS, JS, BAT, PHP и т. д. Вирусы данного типа не являются исполняемыми файлами формата EXE, их код скорее похож на команды, выполняемые другими программами, виртуальной DOS-машиной и т. д.

К данному типу относят программы, в основном специализирующиеся на воровстве паролей и другой конфиденциальной информации, удаленном управлении и т. д. Более подробно о троянских конях читайте в разд. 4.3.

Рис. 4.3. «Антивирус Касперского 7.0» распознал mac2006 (инструмент для подмены mac-адреса) как самый настоящий Hack-Tool!

Сам термин «rootkit» был заимствован из UNIX-среды. Понятие rootkit использовалось для описания инструментов, применяемых для взлома – получения прав root.

В контексте других операционных систем, и прежде всего Windows, rootkit следует рассматривать как программный код или технику, позволяющую скрыть самые разнообразные объекты (процессы, файлы и т. д.). В простейшем случае под rootkit можно понимать любое вредоносное ПО, использующее продвинутые техники для своего сокрытия в системе (более подробную информацию о руткитах вы можете получить в подразд. "Руткит-технологии" разд. 5.3 следующей главы).

Если средой распространения вирусов можно считать файловую систему операционной системы, то средой распространения червей является сеть. Сетевые черви для своего распространения могут использовать самые разнообразные из сетей/ сетевых технологий:

♦ Интернет и электронная почта;

♦ системы обмена мгновенными сообщениями;

♦ файлообменные сети типа P2P;

♦ IRC-сети;

♦ LAN-сети;

♦ сети мобильных устройств (телефоны, карманные компьютеры) и т. д.

Черви, так же как и вирусы, распространяются в виде исполняемых файлов, но некоторые из них ("пакетные" черви) существуют как набор пакетов.

Чтобы инфицировать удаленную систему, черви могут использовать самые разнообразные технологии, но самым популярным и по сей день остается проникновение посредством брешей в системе безопасности операционной системы и сетевых приложений.

Ярким примером червя является MS Blast, наделавший в свое время много шума.

ПРИМЕЧАНИЕ

Изначально червь писался, чтобы в n-ое время одновременно с зараженных компьютеров осуществить DoS-атаку на сервер Microsoft, однако из-за ошибки в его коде этого не произошло. Вместо скоординированной атаки на сервер зараженные машины пользователей начинали стихийно перезагружаться.

Кратко рассмотрим некоторые из разновидностей червей.

♦ E-mail-Worm – почтовые черви. Как оно и следует из названия, черви данного типа распространяются, используя возможности электронной почты. Запустившись на локальном компьютере (такое часто происходит, если пользователь безответственно относится к прикрепленным файлам, пришедшим невесть от кого и откуда), такие черви автоматически сканируют содержимое жесткого диска в поиске новых адресов электронных почтовых ящиков, чтобы отправить свои копии.

♦ IM-Worm – черви, использующие интернет-пейджеры. Данная категория червей для своего распространения активно использует список контактов интернет-пейджера.

♦ IRC-Worm – черви в IRC-каналах. Для своего распространения используют IRC-каналы.

♦ P2P-Worm – черви для файлообменных сетей. Черви данной категории распространяются по Р2Р-сети банальным копированием своих копий в общедоступные каталоги.

Эксплоит (Exploit), HackTool. К данной категории относят утилиты, предназначенные (особенно касается эксплоитов) для выполнения произвольного кода либо DoS (Denial of Service – отказ в обслуживании) на удаленной системе. Эксплоит, как правило, – программа на C++, PHP либо Perl-сценарий, использующий уязвимость операционной системы либо приложения, установленного на атакуемом компьютере. HackTool – более широкое понятие, подразумевающее какой-либо инструмент, используемый хакером для взлома (см. рис. 4.3).

Constructor – конструкторы вирусов и троянских коней. Программы подобного типа способны генерировать как исходные тексты вирусов, так и непосредственно сами исполняемые файлы. Как правило, инструменты подобного рода включают в себя модули самошифровки, противодействия отладчику и другие инструменты против обнаружения антивирусной программой.

FileCryptor, PolyCryptor – сокрытие от антивирусных программ. К данной категории относят утилиты, способные шифровать вирусный код, делая его неузнаваемым со стороны антивирусных программ (более подробно о сокрытии вирусного кода читайте в разд. 5.3).

Nuker – фатальные сетевые атаки. Утилиты данного типа способны организовать удаленный отказ в обслуживании системы (DoS) путем отправки на удаленный хост специальным образом сформированного запроса (серии запросов). Как пример – SmbDie, реализующий уязвимость службы NetBios.

Bad-Joke, Hoax – злые шутки, введение пользователя в заблуждение. К данной категории относят, по сути, безвредные программы, способные выводить различного рода неординарные сообщения (например, о форматировании диска, хотя никакого форматирования на самом деле не происходит).

4.2. Выбираем лучший антивирус

Совершенный антивирус – утопия или продукт ближайшего будущего?

Совершенного продукта быть не может в принципе. О каком бы антивирусном продукте ни шла речь, как бы его ни расхваливали создатели, все, что мы имеем на сегодняшний день, – это всего лишь попытка ответить на вызов вирусописателей, не упав лицом в грязь.

Ну что ж, чтобы разогреть читателя, в качестве живого примера уместно привести, пожалуй, следующий. Данный пример особенно интересен тем, что его реализация не требует знания языков программирования.

Итак, сейчас мы напишем простейший учебный вирус, который будет ни много ни мало – форматировать диск D: (рис. 4.4).

Рис. 4.4. Исходный код нашего учебного скрипт-вируса

Одна строка – и вирус готов. Удивлены? Ничего удивительного! Все гениальное просто.

ПРИМЕЧАНИЕ

Не пытайтесь запустить вирус под Windows XP: код актуален для систем, использующих autoexec.bat.

Пропускаем нашего «зверя» через сканер «Антивируса Касперского 7.0» (рис. 4.5).

Как видите, результат не заставил себя ждать. Но подождите, это не самое интересное. Сейчас мы подправим один символ (из быстрого форматирование превратится в медленное) (рис. 4.6).

Наш код преспокойно проходит проверку (рис. 4.7).

Итак, если после наших экспериментов у вас не отпало желание устанавливать какой-либо антивирус вообще, значит, вы на правильном пути. Ведь главное – понять: совершенного продукта нет, однако к этому можно приблизиться.

Рис. 4.5. Реакция «Антивируса Касперского7.0» на скрипт-вирус

Рис. 4.6. Слегка модифицируем нашего «зверя»

Рис. 4.7. Опасных объектов не обнаружено!

Так что же нам выбрать и какой антивирус все-таки лучший? Не в силах больше сопротивляться первому вопросу, попытаемся объективно ответить, определив круг наиболее достойных и выбрав из них одного лучшего.

Основанием нашей оценки послужат результаты:

♦ ведущих антивирусных лабораторий мира;

♦ независимых экспертных групп, включая результаты наблюдений и активных тестов самого автора.

Начнем, пожалуй, с результатов тестов независимого российского информационно-аналитического портала по информационной безопасности (www.anti-maLware.ru).