15 лет назад 10 марта 2004 в 15:14 77

Основная особенность компьютерных вирусов – возможность самопроизвольного внедрения в различные объекты операционной системы – присуща многим вполне безобидным программам. Г-н Касперский, автор популярного антивирусного пакета, считает, что точного определения вируса нет до сих пор и в обозримом будущем оно вряд ли появится. Так от чего же мы пытаемся защититься?

IT-МИНЗДРАВ ПРЕДУПРЕЖДАЕТ
В настоящее время компьютерную инфекцию принято классифицировать по следующим признакам:
– среда обитания;
– операционная система (OC);
– особенности алгоритма работы;
– деструктивные возможности.

По среде обитания вирусы делятся на файловые, загрузочные, макро- и сетевые. Загрузочные вирусы записывают самих себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий главную загрузочную область (MBR, Master Boot Record). BIOS многих материнских плат содержит опцию защиты от вирусов, но на деле такой “щит” всего лишь запрещает изменять загрузочную запись и не более того.

Макровирусы являются в кошмарных снах труженикам дебета-кредита и заражают документы и электронные таблицы нескольких популярных редакторов, в частности файлы Microsoft Word и Excel. В качестве инструмента борьбы с ними давно используется простой и элегантный способ – запрет исполнения макросов. Кроме того, гипотетически зараженный документ с расширением doc можно пересохранить как RTF, поскольку в таком формате макровирусы не выживают.

Файловые вирусы различными способами внедряются в выполняемые файлы, создают файлы-двойники (так называемые компаньон-вирусы), а также могут использовать особенности организации файловой системы (link-вирусы).

Сетевые вирусы распространяются с помощью протоколов или команд компьютерных сетей и электронной почты. Это всевозможные электронные черви вида I-Worm.

Есть и гибридные варианты – например, файлово-загрузочные вирусы. Они характеризуются сложным алгоритмом работы, часто применяют оригинальные методы проникновения в систему и маскировки в ней, используют стелс- и полиморфик-технологии. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Следующий признак – заражаемая операционная система, точнее, ОС, объекты которой подвержены заражению. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких систем – DOS, Windows 2000, Win95/NT, OS/2 и так далее. При этом макровирусы, как уже говорилось, любят заражать файлы форматов Word и Excel.

Третий главный признак классификации – особенности алгоритма работы вирусов. Здесь принято выделять следующие дополнительные свойства программы: резидентность; использование стелс-алгоритмов; самошифрование и полиморфичность, а также применение нестандартных приемов.

Вирус-резидент оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и сохраняют активность вплоть до выключения компьютера или перезагрузки операционной системы. (Вирус, который оставляет в оперативной памяти небольшую резидентную программу, не распространяющую вирус, считается нерезидентным.)

В многозадачных операционных системах (Windows 2000/XP) жизнь резидентного DOS-вируса коротка и ограничена моментом закрытия зараженного DOS-окна. Активность же загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение или запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо предлагают вместо себя незараженные участки информации.

Методы полиморфичности и самошифрования используются практически всеми типами вирусов для того, чтобы максимально осложнить нам процесс опознания “врага”. Полиморфик-вирусы не содержат ни одного постоянного участка кода. В большинстве случаев в кодах двух образцов одного и того же полиморфик-вируса не обнаруживается ни одного совпадения. Такой эффект достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Что касается различных нестандартных приемов, то они часто используются в вирусах для того, чтобы те могли как можно глубже спрятать себя в ядре операционной системы (так, в частности, поступает “Зараза”), защитить от обнаружения свою резидентную копию и затруднить лечение (например, поместив свою копию в Flash BIOS).

По деструктивным возможностям (четвертый пункт основной классификации) вирусы часто разделяют на:
– Безвредные, то есть никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения).
– Неопасные – влияние ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами. Типичными представителями являются вирусы семейства Jokes – после запуска Java-скрипта, который содержится внутри html-документа, у пользователя начинает произвольно передвигаться по экрану окно Internet Explorer.
– Опасные, которые могут привести к серьезным сбоям в работе компьютера. К этому классу можно отнести вирусы, именуемые “интернет-червями” (всевозможные I-Worm.Hybris и I-Worm.Tanatos).
– Очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и вывести из строя микросхемы BIOS. Типичный пример – WIN95.CIH (“Чернобыль”).

Отдельная группа – вредоносные программы, которые именуются троянскими программами или просто “троянами”. По сравнению с вирусами “трояны” не получают широкого распространения в силу простых причин – они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и в гневе уничтожаются пострадавшим пользователем. Иногда внедрение такого “коня” происходит при сетевой атаке на незащищенный компьютер: хакер просто-напросто оставляет на диске своей жертвы “логическую бомбу”, которая затем передает взломщику информацию, хранимую на ПК, в том числе и пароли доступа. Типичные представители – вирусы семейств Backdoor.Nethief и Trojan.Win32.

АНТИВИРУСНЫЕ ПРОГРАММЫ
Основная задача антивирусной программы – полное и надежное определение вируса, а также корректное лечение зараженных объектов (удаление из них тела вируса) и восстановление объектов в первоначальном виде. Немаловажную роль играет наличие большой антивирусной базы. Чем больше вирусов “знает” антивирусная программа, тем лучше. Третья задача антивирусного продукта – быстрое реагирование на новые вирусы, которе воплощается в частом выпуске новых версий или обновлении антивирусных баз.

Следующий критерий – наличие мощного эвристического механизма для борьбы с еще не известными программе вирусами. Если не вдаваться в подробности, то принцип действия эвристики таков: по характерным для вирусов участкам кода можно с определенной степенью вероятности утверждать о наличии неизвестного программе вируса в объекте. В любом подобном механизме, конечно, возможны ложные срабатывания. Однако процент таких отказов должен быть минимален, и именно он определяет качество эвристики (в таких вопросах лучше немного перестраховаться).

Еще одна важная особенность антивирусного продукта – возможность проверки архивных и упакованных файлов, поскольку некоторые вирусы могут распаковать файл, заразить его и запаковать снова (впрочем, уже запакованный файл тоже может быть заражен).

Возможность проверки файлов “на лету” также является достаточно важной чертой антивируса. Моментальная и принудительная проверка приходящих на компьютер файлов и вставляемых дискет является практически стопроцентной гарантией от заражения вирусом. В пакет должна входить резидентная антивирусная программа (так называемый “монитор”), которая постоянно находится в оперативной памяти, контролируя обращения к файлам и запрещая доступ к объекту, если в нем обнаружен вирус.

Рассмотрим наиболее популярные в России антивирусные пакеты (для тестирования использовалась машина на базе P4 1500 МГц, 512 Мб SDRAM, Windows XP Pro SP1 + MUI (NTFS)).

DR. WEB 4.30
Российская разработка, автор – Игорь Данилов (www.dialognauka.ru, 3,9 Мб). Стоимость годовой лицензии – 899 рублей. Программа предназначена для использования в 32-битных операционных системах Windows 95/98/2000/ME/XP, а также Windows NT 4.0 и выше (рис. 2).

В комплект поставки входит дополнительный модуль для постоянного мониторинга электронной почты – SpIDer Mail – и резидентный монитор SpIDer Guard, который перехватывает обращения к файлам и системным областям дисков, проверяя их “на лету”. При обнаружении вируса монитор обезвреживает (лечит, удаляет, перемещает в заранее заданную область) или блокирует инфицированный файл (запрещает доступ к нему).

Dr. Web для Windows выпущена в двух вариантах: с графическим интерфейсом (DrWeb32w) и без него (DrWebwcl). Оба варианта поддерживают одинаковый набор параметров (ключей) командной строки. В DrWeb32w все настройки могут производиться из диалоговых панелей, зато DrWebwcl требует меньше ресурсов.

Часть настроек продукта осуществляется на стадии установки: по умолчанию предлагается использовать эвристический анализ, проверять память и осуществлять поиск в загрузочных секторах, архивах, запакованных и exe-файлах, а также контролировать почту. В процессе инсталляции Dr.Web обновит свои антивирусные базы (рис. 3), а затем начнет сканировать все разделы дисковой системы. Если вы цените свое время, на этом этапе проверку лучше отключить.

При каждом запуске Dr. Web производит автоматическую проверку памяти. Выбор дисков и отдельных каталогов для проверки осуществляется в меню “Файл” > “Проверить путь” (F5). По окончании сканирования пользователю предоставляется подробный отчет об инфицированных файлах (рис. 4). Для зараженных, подозрительных и безнадежно больных файлов можно выбрать необходимую “меру наказания” посредством кнопки “Настройки” главного окна > вкладка “Действия” (F9). Ко всему прочему можно начать антивирусную проверку по команде “Проверить Dr. WEB” контекстного меню: достаточно щелкнуть правой кнопкой по значку файла или каталога.

В системном трее помимо значков SpIDer Mail и SpIDer Guard находится иконка DrWeb Scheduler, позволяющего производить необходимые операции по расписанию. При запуске почтового клиента влияние SpIDer Mail практически неощутимо. Впрочем, в настройках планировщика есть опция, отключающая автозапуск этого инструмента, а “рефреш” без труда осуществляется нажатием кнопки обновлений главного окна Dr.Web. Кстати, звуковые эффекты, выдающие “сигнал тревоги”, по умолчанию отключены: “Настройки” > “События” > “Звуки”.

Настройки SpIDer Guard удобно проводить, дважды щелкнув по значку монитора в трее: по умолчанию включен эвристический анализ и “Оптимальный” режим проверки файлов “на лету”. Впрочем, можно назначить проверку как при запуске файла, так и при его записи на диск (вкладка “Проверка”). Изначально задана проверка по формату, поскольку тотальная проверка всех файлов ощутимо замедлит работу системы. В определенных случаях есть смысл задать антивирусный контроль либо для определенных файловых расширений, либо по маске (вкладка “Типы файлов”).

По умолчанию резидентный монитор будет только информировать пользователя о наличии вирусной инфекции (вкладка “Действия” > “Инфицированные объекты”). Однако наилучшим вариантом станет автоматическое лечение зараженных объектов. Для “безнадежных больных” предусмотрены меры по удалению или перемещению в программный каталог Infected. Те же действия назначены для архивов и почтовых файлов (вкладка “Архивы”), причем опция “Вылечить” будет недоступной.

Безусловным преимуществом этого продукта является демократичный размер дистрибутива и практически неощутимое влияние на работу системы в целом (конфигурацию машины автора см. выше). Недостатком же можно считать полное сканирование системы на этапе установки, ощутимо сказывающееся на времени инсталляции.

АНТИВИРУС КАСПЕРСКОГО 4.5
Еще один российский продукт (www.avp.ru), выпущенный в нескольких инкарнациях: e-Lite (9 Мб), Personal (13 Мб, $39) и Personal Pro (14 Мб, $69). В отличие от Dr.Web не работает под Windows 95. Функционально состоит из нескольких модулей, выбираемых в процессе установки: AVP Control Center, AVP Monitor, AVP Mail Checker, AVP Script Checker и т. д. По окончании инсталляции автоматическая проверка системы не производится.

После установки программы AVP Control Center прописывается в трее и выполняет следующие функции: назначение или отмена какой-либо задачи, показ статистики, запуск любого компонента, приостановка или отмена его выполнения. Да и настройку программ пакета удобнее производить, пользуясь одним интерфейсом на всех. Другими словами, можно приказать “Центру управления” запускать сканер для проверки дисков каждый день после обеда или, к примеру, обновлять содержимое антивирусных баз с утра по четным пятницам.

У пользователя есть возможность создания загрузочных восстановительных дискет на базе Linux (для этого понадобится комплект из четырех флоппи-дисков). Встраиваемый модуль Mail Checker не только удаляет вирусы из тела письма, но и полностью восстанавливает его оригинальное содержимое. Вот только предназначен данный инструмент исключительно для MS Outlook. При работе с Outlook Express он абсолютно бесполезен, а проверка почты в программе The Bat! превращается в сущую пытку: при сканировании содержимого писем этот почтовый клиент просто-напросто зависает.

Нельзя не отметить, что в АVP интегрирована уникальная технология поиска неизвестных вирусов, основанная на принципах эвристического анализа второго поколения. Классические антивирусные мониторы не способны защитить от действия скрипт-вирусов в оперативной памяти компьютера. Зато универсальный перехватчик скрипт-вирусов Script Checker полностью решает эту проблему, интегрируясь в операционную систему в качестве фильтра между скрипт-программой и ее обработчиком. Это обеспечивает антивирусную проверку всех запускаемых скриптов до того, как они будут выполнены. В особенности это актуально при посещении сайтов сомнительного характера.

ОСОБЕННОСТИ НАСТРОЙКИ AVP
При двойном щелчке по значку монитора в области уведомлений открывается окно настроек с четырьмя кнопками: “Объекты”, “Параметры”, “Настройка” и “Статистика”. К сожалению, при работе в фоновом режиме монитор заметно притормаживает работу системы. По умолчанию (кнопка “Объекты”) выбрана проверка только тех объектов, которые могут быть заражены (рис. 6), и нет никакой нужды включать проверку всех файлов. Дело в том, что при включении дополнительных опций сканирования архивов и самораспаковывающихся файлов мы получим снижение производительности системы. (Об этом нас честно предупреждают разработчики продукта.)

Кроме того, по умолчанию в параметрах “Монитора” включены проверка памяти, секторов и составных объектов – самораспаковывающихся архивов и вложений. Для ускорения работы системы в целом проверку секторов можно отключить.

Для того чтобы при выполнении заведомо безопасных задач (например, при кодировании звука или написании статьи) монитор не досаждал вам своим рвением, постоянный контроль можно отключить, выбрав в контекстном меню значка монитора команду “Отключить мониторинг” (но не “Выгрузить…” монитор”!).

Обратите внимание на включенный параметр “Ограничить размер составных сканируемых объектов” (кнопка “Параметры” окна монитора): по умолчанию разработчики ограничивают “вес” таких объектов (например, многотомных архивов) до 4 Мб.

Проверка на наличие обновлений производится через 14 дней. Изменение этого промежутка времени, равно как и отключение проверки обновлений, доступно посредством кнопки “Настройка” > “Проверять необходимость обновления”.

С тотальной проверкой всех объектов справится другой инструмент – AVP Scanner. Здесь-то и будет актуальным включение проверки всех системных объектов и документов (раздел “Объекты”). Ко всему прочему в этом разделе уже включены опции проверки баз данных Outlook Express и объектов, исполняемых на старте системы.

При обнаружении вируса пользователь может приказать сканеру либо автоматически лечить объект (наиболее разумный выход), либо, если “медицина бессильна”, удалять инфицированный файл. Если же вы являетесь поборником радикальных методов (“умерла так умерла”), то имеется опция для удаления инфицированных объектов сразу, минуя стадию “консилиума”.

Пользователь может создать несколько профилей для разных задач (например, сканирование тех или иных объектов) и загружать их по мере необходимости: “Файл” > “Сохранить профиль как…” и “Файл” > “Загрузить профиль”. Если же планируется каждый раз сканировать раз и навсегда выбранные объекты и применять одну “меру наказания”, достаточно в меню “Файл” выбрать команду “Сохранить профиль по умолчанию”.
Запуск сканера для проверки избранных файлов и каталогов удобно проводить командой Kaspersky Anti-Virus Scanner контекстного меню. Окно обнаружения вируса весьма информативно (рис. 7) и по умолчанию сопровождается отвратительным звуком.

Безупречна работа утилиты автоматического обновления: обновления антивирусных баз появляются ежедневно (даже во время праздником редко бывают задержки ежедневных обновлений), и в среднем раз в квартал выходят кумулятивные обновления. Все антивирусные базы свободно загружаются с сайта производителя.

Разумеется, существует русская версия этого продукта. Ко всему прочему круглосуточная служба технической поддержки даст консультацию по вопросам использования AVP и по телефону (проверено автором).

Для работы в среде Windows 9x/ME мы бы рекомендовали найти старую добрую версию за номером 3.5.1.6, которая не оказывает сколь-нибудь заметного влияния на работоспособность системы (если не считать крайне подозрительного отношения к rar-архивам).

NORTON ANTIVIRUS 2004
Антивирусный пакет корпорации Symantec (www.symantec.com, 69 Мб, $50). В последнее время это приложение входит в состав пакета Norton Internet Security 2004, содержащего, помимо всего прочего, и брандмауэр Norton Personal Firewall. Поддержка русского языка отсутствует. На диске требуется от 85 (Windows 2000/XP) до 125 Мб (для Windows 98/ME). Пользователей Windows 95 просят не беспокоиться.
Процесс установки длится очень долго: вначале предлагается просканировать все разделы, а это отнимает очень много времени (у автора 7 дисков общей емкостью 80 Гб).

После установки программа предложит совершить таинство активации с последующим обновлением программных файлов и антивирусных баз (совокупно – несколько мегабайт). Программа обновления “обрадовала” сообщением о неудачной установке программных файлов, предложив свои варианты исправления ситуации, оказавшиеся, впрочем, бесполезными.

В конечном итоге антивирус приступил к работе не спросясь: началось повторное сканирование всей системы. Чуть позже выяснилось, что помимо антивируса в систему по собственной инициативе интегрировалось приложение Norton UnErase Wizard, знакомое нам по другому продукту: Norton Utilities. Для настройки параметров антивируса используется кнопка Options главного окна.

По умолчанию включена автоматическая защита всего, что можно защитить (рис.10): блокировка вредоносных скриптов, контроль за областью загрузки, сканирование исходящей и входящей электронной почты. Инструмент эвристического анализа Bloodhound, обнаруживающий новые угрозы, даже если для них еще не существует описаний в антивирусных базах, также готов к бою.

Пользователи интернет-пейджеров (AOL Instant Messenger, Yahoo! Instant Messenger и Windows Messenger) обретут дополнительную защиту в разделе Internet: для этого необходимо отметить опции используемого приложения.

Защита офисных документов, включенная по умолчанию, оберегает “бюрократические” файлы от воздействия макровирусов: раздел MS Office > Other > Miscellaneous. Однако за эту услугу вам придется расплачиваться собственным временем: при включенной автоматической защите офисных документов почти безобидный doc-файл с этим материалом (89 Кб) открывался более 10 секунд! При отключении плагинов для MS Office ситуация нормализуется.

Антивирус умеет сканировать и при необходимости лечить как вложения в мгновенных сообщениях, так и электронные письма: по умолчанию предлагается именно исправление документов (Automatically repair the infected file). Технология Worm Blocking фиксирует присутствие в исходящей почте таких червей, как Nimda, и предотвращает их дальнейшее распространение на другие компьютеры. Технология Script Blocking обеспечивает защиту от быстро распространяющихся вирусов на основе скриптов (например, ILOVEYOU и Anna Kournikova).

Однако при автоматическом сканировании почты весьма заметно снижается производительность как почтового клиента, так и системы в целом. Выбор дисков и каталогов осуществляется в разделе Scan for Viruses главного окна. Как и другие антивирусные приложения, Norton Antivirus умеет проверять выбранные документы – для этого предназначена команда Scan with NortonAntiVirus контекстного меню.
При обнаружении вируса выводится информационное окно без звуковых эффектов, в котором можно выбрать как лечение документа, так и его удаление. За это отвечает раздел Repair Wizard.

Продукт автоматически загружает новые антивирусные базы благодаря встроенной утилите Live Update , кнопка вызова которой расположена в верхней части главного окна.

Впечатление от работы с Norton Antivirus 2004 осталось противоречивое: с одной стороны – простота конфигурации продукта и понятный интерфейс. С другой – огромный размер дистрибутива, очень долгий процесс установки и обновлений (подчас неудачных), совмещенный с большим количеством программных директорий, разбросанных по диску.

Многолетняя практика пользователей подсказывает простые рецепты, которые позволят свести к минимуму риск общения с опасными кусками программного кода, именуемыми “вирусами”.

1. Обязательно установите антивирусную программу последней версии и обновите антивирусные базы по состоянию на текущий день.
2. В дополнение к такому приложению более чем разумно обзавестись программой-файрволлом, учитывая русский интерфейс и полную бесплатность некоторых версий.

3. Ни при каких обстоятельствах не открывайте файлы, прикрепленные к письму от незнакомого адресата, – никто не знает, какой свежий вирус, незнакомый антивирусной программе, скрывается в таком вложении.
4. Любой носитель с информацией, будь то флоппи-диск или CD-ROM, попавший к вам в руки, перед началом работы обязательно проверяйте антивирусной программой.
5. Не заходите на сайты с подозрительным контентом и массой всплывающих окон с “веселыми картинками”.
6. Незнакомые офисные документы перед запуском переведите в формат RTF: так вы избавитесь от макровирусов.
7. Регулярно проверяйте систему антивирусным сканером.

Печальная хронология

Один из первых вирусов появился в начале 1970-х годов: специально для операционной системы Tenex был создана программа The Creeper, использовавшая для своего распространения глобальные компьютерные сети. Вирус был в состоянии самостоятельно войти в сеть через модем и передать свою копию удаленной системе. Для борьбы с ним была создана программа The Reeper – по сути, первая в мире антивирусная программа.

В декабре 1987 года началась первая компьютерная эпидемия. Она была вызвана сетевым вирусом Cristmas Tree, написанным на языке программирования REXX и распространявшимся в операционной среде VM/CMS. 9 декабря вирус был запущен в сеть Bitnet в одном из университетов Западной Германии, проник через шлюз в European Academic Research Network (EARN), а затем – в сеть IBM VNet. Через четыре дня он парализовал сеть, забив ее своими копиями. При запуске Cristmas Tree выводил на экран изображение новогодней елки и рассылал свои копии всем пользователям сети, чьи адреса присутствовали в соответствующих системных файлах NAMES и NETLOG.

В июле 1990 года английский компьютерный журнал PC Today выпустил текущий номер с флоппи-диском… зараженным вирусом DiskKiller. Номер разошелся тиражом более 50 тыс. экземпляров.
В 1998 году разразилась пандемия вируса Win95.CIH (“Чернобыль”). Появившись в Тайване, вирус затем пробрался в США, где по недосмотру зараженными оказались сразу несколько популярных игровых веб-серверов. В зависимости от текущей даты (как правило, 26 апреля) вирус стирал Flash BIOS, что в многих случаях приводило к выходу из строя материнской платы.

Хит-парад

Рассмотрим наиболее активные вирусы по состоянию на конец декабря 2003 года. Первое место прочно удерживала команда из одиннадцати сетевых червей I-Worm: Swen (червь пытается блокировать работу в памяти и запуск различных антивирусов и межсетевых экранов), Mimail (версии a, c и g), Tanatos, Sober, Klez, Lentin (несколько модификаций) и, как ни странно, старый Sobig.

Еще более невероятным выглядит лидерство замшелых “бюрократов” – семейка макровирусов Macro.Word97.Thus-based (содержит процедуры Document_Open, Document_Close и Document_New; атакует область системных макросов при открытии зараженного документа, остальные документы заражает при их открытии, закрытии и создании; 13 декабря вирус ищет и удаляет все файлы в корневом каталоге и всех подкаталогах диска C:) и Macro.Word97.Saver.

Не отстает и троян Backdoor.Agobot.3.gen: после саморегистрации в реестре он соединяется с различными серверами IRC, подключается к указанному в ее теле каналу и получает команды удаленного управления от “хозяина”, позволяя, в частности, загружать и запускать на компьютере удаленные файлы, сканировать другие компьютеры на наличие уязвимых мест и в случае их обнаружения устанавливаться на эти компьютеры.

Замыкают двадцатку лидеров “народный любимец” Worm.Win32.Lovesan и VBS.Redlof. Последний написан на языке Visual Basic Script (VBS) и зашифрован (VBE, Visual Basic encoded script). При первом запуске создает файл со своим исполняемым кодом в системном каталоге Windows с именем kernel.dll. Кроме того, создает файлы kjwall.gif в каталогах System32 и Web, а также копирует себя во все каталоги на других дисках зараженного компьютера в виде файла настройки отображения файлов и папок MS Explorer – folder.htt.

Не ждали…

PDF-формат до недавнего времени считался защищенным от компьютерных вирусов. Но компания McAfee, которая занимается разработкой антивирусного ПО, объявила о появлении первого вируса, передающегося через файлы этого формата.

Вирус по имени Peachy использует возможность создания в Adobe Acrobat так называемых вложений – файлов других форматов (от VBScript-программ до исполняемых файлов), под видом которых и распространяется злыдень (кстати, написанный неким Zulu из Аргентины). Большинство пользователей пока может не волноваться: простой просмотр PDF-файлов при помощи программы Acrobat Reader не таит в себе опасности. Дело в том, что код для распознавания вложений, который есть в Acrobat, в Acrobat Reader не реализован.

Угроза массового распространения PDF-вирусов невелика. Но уязвимость формата PDF открывает новый канал для распространения вирусов. Как заявили в Adode, популярные программы всегда становятся объектом взлома со стороны хакеров, и Acrobat уже перешагнула этот порог популярности.

Инфекционная графомания

Основная часть вирусов создается студентами и школьниками, которые только что изучили основы программирования и горят желанием попробовать свои силы, но не находят им достойного применения. Такие вирусы пишутся для самоутверждения и через некоторое время умирают вместе с дискетами, на которых хранятся.

Вторую группу составляют также молодые люди (чаще – студенты), которые еще не полностью овладели искусством программирования, но уже решили посвятить себя написанию и распространению вирусов. Единственная причина, по которой подобные индивидуумы создают вирусы, – это, скорее всего, комплекс неполноценности, который проявляется в компьютерном хулиганстве.

Медвежью услугу таким “писателям” оказал выход конструкторов, при помощи которых можно создавать новые вирусы, не имея никакого представления о строении операционной системы. Их жизнь стала еще легче после появления макровирусов, поскольку вместо сложного ассемблера для написания макровирусов достаточно изучить довольно простой бейсик.

Третья, наиболее опасная группа – талантливые программисты-профессионалы, создающие и запускающие в мир тщательно продуманные и отлаженные вирусы. Такие программы нередко используют достаточно оригинальные алгоритмы, недокументированные и мало кому известные способы проникновения в системные области данных. Зачастую они выполнены по технологии стелс и/или являются полиморфик-вирусами, заражая не только файлы, но и загрузочные секторы дисков (а иногда и выполняемые файлы Windows и OS/2).