Страница:
Специальная функция My Recommendations в окне My Files позволяет рекомендовать наиболее интересные для прослушивания музыкальные файлы.
eDonkey2000
BitTorrent
Shareaza
4.8. Архив Интернета
Глава 5
5.1. Вирусы. Мифы и реальность
Классификация вирусов
Пути заражения
5.2. Анатомия spyware
Классификация троянских коней
eDonkey2000
В сети eDonkey2000 (http://www.edonkey2000.com) доступны для обмена практически любые файлы – сеть работает через центральные серверы. Эту сеть еще называют «Осликом».
Принцип ее работы состоит в использовании нескольких центральных серверов: то есть это нечто среднее между одноранговой технологией и клиент-серверной архитектурой.
Серверы играют роль справочника ссылок для закачки, а сама закачка файлов производится по принципу пиринговой сети с одного компьютера на другой. Интересной особенностью является тот факт, что, как только пользователь начал качать какой-то файл, его компьютер тут же становится местом, откуда этот файл можно скачать. Причем, даже если файл переименован, он все равно будет опознан по уникальному индексу.
eMule (http://www.emule-project.net) – это программа-клиент для сети eDonkey2000. Она обладает удобным интерфейсом. Здесь присутствует встроенная поддержка русского языка и нет рекламы. При создании eMule была переработана и оптимизирована процедура загрузки файлов. Например, в первую очередь загружаются наиболее редкие блоки файла, а при повреждении блока повторно скачивается только его поврежденная часть. Кроме того, был улучшен поисковый механизм (рис. 4.22).
Вначале работы программы необходимо определить ресурсы общего доступа на вашем компьютере. Это очень важный этап, так как сеть eDonkey работает по принципу – чем больше вы отдаете, тем больше получаете.
Специальная система очереди и кредитов действует таким образом: пользователь получает нужные ему файлы гораздо быстрее, если закачивает их кому-нибудь еще. При необходимости можно ограничить доступ к спискам сетевых адресов или к именам конкретных клиентов пиринговой сети. eMule может получить список серверов не только с определенного ресурса, но и от партнеров по сети. Кроме того, партнеры могут обмениваться списками источников скачиваемых файлов, что снижает потребность в серверах.
Список файлов, которые пользователь скачивает у других или которые располагаются у него на диске в специальных открытых для доступа папках, при подключении к сети передается на соответствующий сервер, и они становятся доступными для скачивания другим клиентам, подключенным к тому же узлу.
Для любого файла, помещаемого в eDonkey, вычисляется хэш-сумма (специальная контрольная сумма, которая зависит от содержимого файла). В соответствии с ней он однозначно определяется в сети независимо от его названия. Ссылки на файлы имеют следующий вид: ed2k://|file|SomeFile.zip|43573472| 94cb15b58509c52afcf8bed5dd7a4bd|.
Этот цифровой идентификатор файла в сети eDonkey позволяет однозначно определить месторасположения файла. Таким образом, достаточно указать данный адрес, и клиент eMule самостоятельно найдет нужный файл на серверах сети eDonkey и начнет закачку на ваш компьютер.
Функция Предпросмотр позволяет ознакомиться с фильмами и заглянуть в архивы еще до того, как они скачаны до конца. В состав eMule включен планировщик задач, а также небольшой веб-сервер, позволяющий удаленно управлять программой через Интернет или с мобильного телефона, поддерживающего Java.
Принцип ее работы состоит в использовании нескольких центральных серверов: то есть это нечто среднее между одноранговой технологией и клиент-серверной архитектурой.
Серверы играют роль справочника ссылок для закачки, а сама закачка файлов производится по принципу пиринговой сети с одного компьютера на другой. Интересной особенностью является тот факт, что, как только пользователь начал качать какой-то файл, его компьютер тут же становится местом, откуда этот файл можно скачать. Причем, даже если файл переименован, он все равно будет опознан по уникальному индексу.
eMule (http://www.emule-project.net) – это программа-клиент для сети eDonkey2000. Она обладает удобным интерфейсом. Здесь присутствует встроенная поддержка русского языка и нет рекламы. При создании eMule была переработана и оптимизирована процедура загрузки файлов. Например, в первую очередь загружаются наиболее редкие блоки файла, а при повреждении блока повторно скачивается только его поврежденная часть. Кроме того, был улучшен поисковый механизм (рис. 4.22).
Рис. 4.22. Окно программы eMule
После запуска программы часть серверов сразу доступна по умолчанию в базе данных, но специальная кнопка позволяет обновить его. После запуска программа опрашивает серверы и подключается к одному из них, который, в свою очередь, общается с другими серверами сети.Вначале работы программы необходимо определить ресурсы общего доступа на вашем компьютере. Это очень важный этап, так как сеть eDonkey работает по принципу – чем больше вы отдаете, тем больше получаете.
Специальная система очереди и кредитов действует таким образом: пользователь получает нужные ему файлы гораздо быстрее, если закачивает их кому-нибудь еще. При необходимости можно ограничить доступ к спискам сетевых адресов или к именам конкретных клиентов пиринговой сети. eMule может получить список серверов не только с определенного ресурса, но и от партнеров по сети. Кроме того, партнеры могут обмениваться списками источников скачиваемых файлов, что снижает потребность в серверах.
Список файлов, которые пользователь скачивает у других или которые располагаются у него на диске в специальных открытых для доступа папках, при подключении к сети передается на соответствующий сервер, и они становятся доступными для скачивания другим клиентам, подключенным к тому же узлу.
Для любого файла, помещаемого в eDonkey, вычисляется хэш-сумма (специальная контрольная сумма, которая зависит от содержимого файла). В соответствии с ней он однозначно определяется в сети независимо от его названия. Ссылки на файлы имеют следующий вид: ed2k://|file|SomeFile.zip|43573472| 94cb15b58509c52afcf8bed5dd7a4bd|.
Этот цифровой идентификатор файла в сети eDonkey позволяет однозначно определить месторасположения файла. Таким образом, достаточно указать данный адрес, и клиент eMule самостоятельно найдет нужный файл на серверах сети eDonkey и начнет закачку на ваш компьютер.
Функция Предпросмотр позволяет ознакомиться с фильмами и заглянуть в архивы еще до того, как они скачаны до конца. В состав eMule включен планировщик задач, а также небольшой веб-сервер, позволяющий удаленно управлять программой через Интернет или с мобильного телефона, поддерживающего Java.
BitTorrent
Технологию BitTorrent (битовый поток) (http://www.bittorrent.com) создал американский программист Брэм Коэн (Bram Cohen). Уже в 2001 году у него была готова первая версия BitTorrent, а через три года, в июне 2004 года, по данным исследования компании CacheLogic, более трети всего трафика в Интернете передавалось с использованием этого протокола.
Как таковой, глобальной сети BitTorrent не существует. Пиринговая система работает следующим образом. Владелец некоторого файла с помощью специальной программы-клиента разбивает его на фрагменты, для каждого из которых вычисляется определенная контрольная сумма. Полученные в результате этой операции данные вместе с информацией об адресах серверов, на которых размещены фрагменты файла, а также адрес специального tracker-сервера сохраняются в небольшом файле с расширением torrent. Эти файлы размещаются в Интернете. Они являются ссылкой на необходимую информацию. Примечательно то, что BitTorrent – это единственная пиринговая сеть, у которой поиск файлов осуществляется не с помощью программы-клиента, а с помощью любой поисковой системы, например Google.
Другой пользователь скачивает файл с указанным расширением и запускает при помощи специализированной программы (например, Shareaza), после чего уже программа подключается к tracker-серверу. При этом клиент управляет процедурой закачки, обеспечивая эффективное управление скачиванием. Далее ситуация развивается по следующей схеме: искомый файл разбивается на блоки и передается через tracker-сервер по кускам от владельца к скачивающему пользователю. Однако со временем количество людей, копирующих этот конкретный файл, растет, а значит, увеличивается число загруженных ими блоков.
Для работы с сетью BitTorrent существует несколько клиентов, один из них так и называется – BitTorrent (http://www.bitconjurer.org) (рис. 4.23).
Как таковой, глобальной сети BitTorrent не существует. Пиринговая система работает следующим образом. Владелец некоторого файла с помощью специальной программы-клиента разбивает его на фрагменты, для каждого из которых вычисляется определенная контрольная сумма. Полученные в результате этой операции данные вместе с информацией об адресах серверов, на которых размещены фрагменты файла, а также адрес специального tracker-сервера сохраняются в небольшом файле с расширением torrent. Эти файлы размещаются в Интернете. Они являются ссылкой на необходимую информацию. Примечательно то, что BitTorrent – это единственная пиринговая сеть, у которой поиск файлов осуществляется не с помощью программы-клиента, а с помощью любой поисковой системы, например Google.
Другой пользователь скачивает файл с указанным расширением и запускает при помощи специализированной программы (например, Shareaza), после чего уже программа подключается к tracker-серверу. При этом клиент управляет процедурой закачки, обеспечивая эффективное управление скачиванием. Далее ситуация развивается по следующей схеме: искомый файл разбивается на блоки и передается через tracker-сервер по кускам от владельца к скачивающему пользователю. Однако со временем количество людей, копирующих этот конкретный файл, растет, а значит, увеличивается число загруженных ими блоков.
Для работы с сетью BitTorrent существует несколько клиентов, один из них так и называется – BitTorrent (http://www.bitconjurer.org) (рис. 4.23).
Рис. 4.23. Окно клиента BitTorrent, предназначенного для работы с одноименной сетью
Принцип работы программы состоит в следующем: после скачивания файла штатными средствами операционной системы необходимо дважды щелкнуть на нем кнопкой мыши, в результате чего будет запущен клиент и начнется скачивание нужного файла.
Shareaza
По отзывам пользователей, Shareaza (http://www.shareaza.com) является одним из лучших универсальных P2P-клиентов. Он весьма быстро завоевал популярность. Программа работает с четырьмя пиринговыми сетями (Gnutella2, Gnutella1, eDonkey2000/eMule, BitTorrent) и распознает пять видов ссылок (Magnet, Piolet, Gnutella, eDonkey2000/eMule, BitTorrent).
Программе не надо подключаться к каким-либо определенным серверам, она сама находит рабочие серверы и автоматически обновляет их список из Интернета. Она самостоятельно подключается к серверам выбранной пиринговой сети, а также закачивает torrent-файлы.
Можно задать поиск нужного файла – программа представит список файлов, которые можно скачать (рис. 4.24).
Также в Shareaza есть встроенный проигрыватель, позволяющий воспроизводить различные форматы музыки и видео. Причем возможен предварительный просмотр файлов, закачка которых еще не завершена.
В последнее время все большее число гигантов IT-мира стали обращать внимание на эту технологию: например, компания Sun, объявившая о том, что в новый протокол Jxta будет добавлена поддержка карманных компьютеров и мобильных телефонов. Это позволит мобильным устройствам получать доступ к данным и обмениваться информацией в P2P-сетях.
Программе не надо подключаться к каким-либо определенным серверам, она сама находит рабочие серверы и автоматически обновляет их список из Интернета. Она самостоятельно подключается к серверам выбранной пиринговой сети, а также закачивает torrent-файлы.
Можно задать поиск нужного файла – программа представит список файлов, которые можно скачать (рис. 4.24).
Рис. 4.24. Универсальный P2P-клиент Shareaza
Кроме того, в программе реализован весьма быстрый поиск, который к тому же выдает различную полезную информацию, такую, например, как скорость доступного канала.Также в Shareaza есть встроенный проигрыватель, позволяющий воспроизводить различные форматы музыки и видео. Причем возможен предварительный просмотр файлов, закачка которых еще не завершена.
В последнее время все большее число гигантов IT-мира стали обращать внимание на эту технологию: например, компания Sun, объявившая о том, что в новый протокол Jxta будет добавлена поддержка карманных компьютеров и мобильных телефонов. Это позволит мобильным устройствам получать доступ к данным и обмениваться информацией в P2P-сетях.
4.8. Архив Интернета
Интернет – среда, изменяющаяся чрезвычайно быстро, страницы открываются и исчезают, их содержимое тоже непостоянно. Что делать, если вам нужна информация, ссылка на которую уже устарела? Только одно – посетить специальный сайт, своеобразный архив Интернета (http://www.archive.org) (рис. 4.25).
Сервис, называемый The Internet Archive Wayback Machine, позволяет просматривать заархивированные версии сайтов Сети, в том числе за определенный промежуток времени.
Архив Интернета был основан в 1996 году Брюстером Кейлом (Brewster Kahle), который работает в тесном сотрудничестве с Библиотекой Конгресса США.
В декабре 2000 года Конгресс США выделил Библиотеке Конгресса $100 млн для разработки национальной программы сохранения цифровой информации. Помимо оплаты хранения, эти деньги пойдут и на научные исследования стабильности цифровых носителей. За долгие годы человечество научилось хранить бумажные материалы и знает все об их сохранности и долговечности. С цифровыми данными иначе. В первые годы существования компьютеров люди предполагали, что цифровые данные смогут храниться без потерь десятилетиями. Однако сотрудники архивов уже заявляют, что магнитные пленки и гибкие диски, на которых хранится информация, выходят из строя.
Кроме того, цифровые носители постоянно меняются, как изменяются и аппаратные средства для их воспроизведения. Сейчас многие библиотеки и архивы являются обладателями больших собраний музыкальных и иных компакт-дисков, а также DVD, которые тоже стареют год от года.
Не стоит на месте и программное обеспечение, что приводит к появлению большого количества разных форматов, не всегда совместимых между собой. Поэтому специалисты архивного дела стараются хранить данные в таких стандартных форматах, как HTML и ASCII.
Немного статистики: объем накопленной в архиве информации измеряется в PB (petabyte), а растет со скоростью 20 Тбайт в месяц. Архив Интернета обновляется каждые два месяца, планируется переписывать собираемые материалы на новые носители каждые пять лет, чтобы предотвратить потерю данных.
Кроме этого, совместно с архивом Интернета работает специальная поисковая машина Wayback Machine, позволяющая путешествовать в прошлое Интернета и отыскивать сайты, которых уже не существует.
В качестве базы для поиска Wayback Machine использует не сам Интернет, а Архив Интернета.
Wayback Machine очень полезна для журналистов, поскольку сохраняет «снимки» электронных газет так же, как микрофильмы сохраняют старые бумажные издания. Особенно это актуально для электронных изданий, которые не имеют собственного архива, как, например, знаменитый Drudge Report.
Для поиска информации в архиве достаточно указать адрес сайта, в результате чего вы получите список дат, за которые в архиве сохранены его «снимки». Вы можете выбрать нужное значение и просмотреть, как выглядел сайт в определенный день.
Рис. 4.25. Архив Интернета содержит копии всех сайтов
Безусловно, создать точную копию всех сайтов, существовавших когда-либо в виртуальном пространстве, просто нереально. Однако время от времени отслеживать обновления, а главное, не дать исчезнуть вовсе тем сайтам, которые по разным причинам перестали существовать – вот основная задача архива Интернета.Сервис, называемый The Internet Archive Wayback Machine, позволяет просматривать заархивированные версии сайтов Сети, в том числе за определенный промежуток времени.
Архив Интернета был основан в 1996 году Брюстером Кейлом (Brewster Kahle), который работает в тесном сотрудничестве с Библиотекой Конгресса США.
В декабре 2000 года Конгресс США выделил Библиотеке Конгресса $100 млн для разработки национальной программы сохранения цифровой информации. Помимо оплаты хранения, эти деньги пойдут и на научные исследования стабильности цифровых носителей. За долгие годы человечество научилось хранить бумажные материалы и знает все об их сохранности и долговечности. С цифровыми данными иначе. В первые годы существования компьютеров люди предполагали, что цифровые данные смогут храниться без потерь десятилетиями. Однако сотрудники архивов уже заявляют, что магнитные пленки и гибкие диски, на которых хранится информация, выходят из строя.
Кроме того, цифровые носители постоянно меняются, как изменяются и аппаратные средства для их воспроизведения. Сейчас многие библиотеки и архивы являются обладателями больших собраний музыкальных и иных компакт-дисков, а также DVD, которые тоже стареют год от года.
Не стоит на месте и программное обеспечение, что приводит к появлению большого количества разных форматов, не всегда совместимых между собой. Поэтому специалисты архивного дела стараются хранить данные в таких стандартных форматах, как HTML и ASCII.
Немного статистики: объем накопленной в архиве информации измеряется в PB (petabyte), а растет со скоростью 20 Тбайт в месяц. Архив Интернета обновляется каждые два месяца, планируется переписывать собираемые материалы на новые носители каждые пять лет, чтобы предотвратить потерю данных.
Кроме этого, совместно с архивом Интернета работает специальная поисковая машина Wayback Machine, позволяющая путешествовать в прошлое Интернета и отыскивать сайты, которых уже не существует.
В качестве базы для поиска Wayback Machine использует не сам Интернет, а Архив Интернета.
Wayback Machine очень полезна для журналистов, поскольку сохраняет «снимки» электронных газет так же, как микрофильмы сохраняют старые бумажные издания. Особенно это актуально для электронных изданий, которые не имеют собственного архива, как, например, знаменитый Drudge Report.
Для поиска информации в архиве достаточно указать адрес сайта, в результате чего вы получите список дат, за которые в архиве сохранены его «снимки». Вы можете выбрать нужное значение и просмотреть, как выглядел сайт в определенный день.
ПРИМЕЧАНИЕ
Следует заметить, что при использовании ссылок на научные статьи, опубликованные в Интернете, часто требуют указывать ссылку именно на архив Интернета.
Глава 5
Безопасность
• Вирусы. Мифы и реальность
• Анатомия spyware
• Самое главное о безопасности
• Анонимность в сети
• Идентифицируем нового знакомого
• Безопасная электронная почта: шифруем сообщения
• Безопасность паролей
Вопрос безопасности – один из самых важных для пользователей, работающих в Интернете, поскольку именно из Интернета в подавляющем большинстве случаев на компьютер проникают вирусы.
• Анатомия spyware
• Самое главное о безопасности
• Анонимность в сети
• Идентифицируем нового знакомого
• Безопасная электронная почта: шифруем сообщения
• Безопасность паролей
Вопрос безопасности – один из самых важных для пользователей, работающих в Интернете, поскольку именно из Интернета в подавляющем большинстве случаев на компьютер проникают вирусы.
5.1. Вирусы. Мифы и реальность
Вирусы, получившие широкое распространение в компьютерном мире, взбудоражили весь мир. Взлом сетей, грабеж банков и похищение интеллектуальной собственности – все это давно уже не миф, а суровая реальность. Ежегодные убытки, наносимые последствиями вирусной активности, составляют миллиарды долларов.
Основное большинство вирусов – программы, по сути, безобидные, ограничивающие поле своей деятельности текстовыми, звуковыми и видеоэффектами. Написанные любителями, они, в большинстве своем, содержат ошибки программного кода, что не позволяет им в полной мере наносить вред. Помимо такой распространенной неприятности, как, например, форматирование системного диска, вирусы могут наносить ущерб аппаратной составляющей, выжигать люминофор монитора и даже влиять на здоровье (нашумевший вирус 777). Вы, наверное, уже слышали, что вирусы заражают преимущественно EXE– и COM-файлы. Так было до недавнего времени. На сегодняшний день инфицированными документами, созданными в Office, никого не удивишь. Совсем недавно были зарегистрированы случаи распространения вирусов через файлы формата JPEG.
Однако даже в том случае, если компьютер работает без сбоев и не подает никаких признаков вирусной активности, это вовсе не означает, что система не заражена. В системных папках может находиться троянский конь, отсылающий своему хозяину пароли от вашей электронной почты или, еще хуже, от платежной системы WebMoney.
Большинство пользователей даже не подозревают, что являются объектами контроля.
Основное большинство вирусов – программы, по сути, безобидные, ограничивающие поле своей деятельности текстовыми, звуковыми и видеоэффектами. Написанные любителями, они, в большинстве своем, содержат ошибки программного кода, что не позволяет им в полной мере наносить вред. Помимо такой распространенной неприятности, как, например, форматирование системного диска, вирусы могут наносить ущерб аппаратной составляющей, выжигать люминофор монитора и даже влиять на здоровье (нашумевший вирус 777). Вы, наверное, уже слышали, что вирусы заражают преимущественно EXE– и COM-файлы. Так было до недавнего времени. На сегодняшний день инфицированными документами, созданными в Office, никого не удивишь. Совсем недавно были зарегистрированы случаи распространения вирусов через файлы формата JPEG.
Однако даже в том случае, если компьютер работает без сбоев и не подает никаких признаков вирусной активности, это вовсе не означает, что система не заражена. В системных папках может находиться троянский конь, отсылающий своему хозяину пароли от вашей электронной почты или, еще хуже, от платежной системы WebMoney.
Большинство пользователей даже не подозревают, что являются объектами контроля.
Классификация вирусов
Настоящая классификация, как мы надеемся, поможет ориентироваться в многообразии и особенностях вирусов. В ее основе лежит оригинальная классификация вирусов «Лаборатории Касперского».
По среде обитания вирусы бывают:
• файловые, внедряются в исполняемые файлы (СОМ, ЕХЕ, SYS, BAT, DLL);
• загрузочные, внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record);
• макровирусы, внедряются в системы, использующие при работе так называемые макросы (например, Microsoft Word или Microsoft Excel).
Существуют и сочетания. Например, вирусы, заражающие как файлы, так и загрузочные секторы. Они, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, и их труднее обнаружить.
Классификация вирусов по способам заражения.
• Резидентные – при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
• Нерезидентные – не заражают память компьютера и являются активными лишь ограниченное время.
По деструктивным возможностям вирусы можно разделить на такие группы:
• безвредные, то есть никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
• неопасные, влияние которых ограничено уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
• опасные – вирусы, которые могут привести к серьезным сбоям в работе;
• очень опасные? способные привести к потере программ, уничтожению данных, необходимой для работы компьютера информации, записанной в системных областях памяти, и т. д.
Классификация вирусов по особенностям алгоритма следующая.
• «Компаньон»-вирусы – алгоритм их работы состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла MS-DOS первым обнаружит и выполнит СОМ-файл, то есть вирус, который затем запустит и ЕХЕ-файл.
• Вирусы-«черви» (worm) – вариант «компаньон»-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в папках дисков, никаким образом не изменяя других файлов и не используя сом-ехе-прием, описанный выше.
• «Паразитические» – все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон»-вирусами.
• «Студенческие» – крайне примитивные вирусы, часто нерезидентные и содержащие большое количество ошибок.
• «Стелс»-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения MS-DOS к пораженным файлам или секторам дисков и «подставляющие» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие обходить резидентные антивирусные мониторы.
• «Полиморфик»-вирусы (самошифрующиеся, или вирусы-«призраки», polymorphic) – достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же «полиморфик»-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
• Макровирусы – вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее время широко распространены макровирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel.
• Сетевые (сетевые «черви») – вирусы, которые распространяются в компьютерной сети и, как «компаньон»-вирусы, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
По среде обитания вирусы бывают:
• файловые, внедряются в исполняемые файлы (СОМ, ЕХЕ, SYS, BAT, DLL);
• загрузочные, внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record);
• макровирусы, внедряются в системы, использующие при работе так называемые макросы (например, Microsoft Word или Microsoft Excel).
Существуют и сочетания. Например, вирусы, заражающие как файлы, так и загрузочные секторы. Они, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, и их труднее обнаружить.
Классификация вирусов по способам заражения.
• Резидентные – при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.
• Нерезидентные – не заражают память компьютера и являются активными лишь ограниченное время.
По деструктивным возможностям вирусы можно разделить на такие группы:
• безвредные, то есть никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
• неопасные, влияние которых ограничено уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
• опасные – вирусы, которые могут привести к серьезным сбоям в работе;
• очень опасные? способные привести к потере программ, уничтожению данных, необходимой для работы компьютера информации, записанной в системных областях памяти, и т. д.
Классификация вирусов по особенностям алгоритма следующая.
• «Компаньон»-вирусы – алгоритм их работы состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла MS-DOS первым обнаружит и выполнит СОМ-файл, то есть вирус, который затем запустит и ЕХЕ-файл.
• Вирусы-«черви» (worm) – вариант «компаньон»-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в папках дисков, никаким образом не изменяя других файлов и не используя сом-ехе-прием, описанный выше.
• «Паразитические» – все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон»-вирусами.
• «Студенческие» – крайне примитивные вирусы, часто нерезидентные и содержащие большое количество ошибок.
• «Стелс»-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения MS-DOS к пораженным файлам или секторам дисков и «подставляющие» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие обходить резидентные антивирусные мониторы.
• «Полиморфик»-вирусы (самошифрующиеся, или вирусы-«призраки», polymorphic) – достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же «полиморфик»-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
• Макровирусы – вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее время широко распространены макровирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel.
• Сетевые (сетевые «черви») – вирусы, которые распространяются в компьютерной сети и, как «компаньон»-вирусы, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
Пути заражения
Самые популярные способы заражения следующие.
• Через Интернет, так называемым «добровольным» cпособом: когда пользователь скачивает что-либо из Сети. Очень часто под безобидным ускорителем браузера может сидеть самый настоящий WIN95.CIH (WIN95.CIH, или «Чернобыль», перепрошивает BIOS компьютера).
• Через Интернет методом «навязывания»: из-за неграмотной настройки обозревателя вам предлагают (в лучшем случае) загрузить JavaScript, ActiveX и т. д. как подписанный элемент. Результатом такой загрузки могут стать открытые порты (порт – канал взаимодействия между двумя или более компьютерами) для дальнейшей атаки, удаления данных или кражи файлов. Дело в том, что в состав веб-страниц входят не только текст, графика, музыка и анимация (то есть данные), но и активное содержимое, которое включает в себя апплеты Java и элементы ActiveX. Так вот, данные объекты являются программным кодом, выполняющимся на компьютере пользователя. Что мешает злонамеренному пользователю написать такой код, который бы форматировал диск? Конечно же, настройки безопасности Internet Explorer. Поэтому в настройках безопасности интернет-обозревателя необходимо отключить загрузку неподписанных элементов ActiveX и использование элементов ActiveX, не помеченных как безопасные, а еще лучше – установить высокий уровень безопасности.
Вирус из Интернета может проникнуть на ваш компьютер совершенно самостоятельно – для этого достаточно быть подключенным к Сети. По этому механизму распространяется широкоизвестный MSBlast, а также ряд других. Вот один из примеров алгоритма распространения посредством брешей в системе: используя брешь в службе DCOM RPC, «червь» проверяет 135-й порт машин, висящих в сети. При благоприятных результатах проверки открывается порт 4444 для ожидания последующих команд. Далее открывается порт 69 UDP, после чего на компьютер «червь» загружает файл носителя. Поэтому необходимо, чтобы в операционную систему были загружены новые обновления, иначе «черви» могут стать последним кодом, который она обработает.
• Через электронную почту. Несмотря на многочисленные предупреждения и предосторожности, этот способ заражения, как самый распространенный, прогрессирует. Поэтому будьте внимательны и никогда не открывайте прикрепленные файлы, пришедшие с сообщением от незнакомого человека.
• Через дискету или компакт-диск – также довольно распространенный способ заражения. По статистике, пользователи проверяют дискеты чаще, чем диски, если не сказать больше: компакт-диски обычно не проверяют вообще. Однако именно пиратские диски (никто не будет отрицать, что таких у нас большинство) играют значительную роль в распространении вирусов. Почему, когда вирус «Чернобыль» пронесся над Европой и Азией, оказалось, что инфицированы около 1 млн машин, а в США – всего 10 000? Потому что он распространялся через нелегальное программное обеспечение, скопированное на компакт-диски. Поэтому возьмите за правило проверять съемные диски антивирусной программой и регулярно обновляйте антивирусные базы.
Иногда вирус может быть замаскирован под joke-программу, имитирующую вирус, хотя и Kaspersky 5.0 и Panda Platinum определяют его как самый настоящий вирус. Изобретательность создателя вируса в этом случае не знает границ: название такой «шутки» может быть Not virus!Joke! Убедиться в объективности антивирусной проверки можно, лишь дизассемблировав подобную программу. Иногда вирусы могут находиться даже в программном коде антивируса.
• Через Интернет, так называемым «добровольным» cпособом: когда пользователь скачивает что-либо из Сети. Очень часто под безобидным ускорителем браузера может сидеть самый настоящий WIN95.CIH (WIN95.CIH, или «Чернобыль», перепрошивает BIOS компьютера).
• Через Интернет методом «навязывания»: из-за неграмотной настройки обозревателя вам предлагают (в лучшем случае) загрузить JavaScript, ActiveX и т. д. как подписанный элемент. Результатом такой загрузки могут стать открытые порты (порт – канал взаимодействия между двумя или более компьютерами) для дальнейшей атаки, удаления данных или кражи файлов. Дело в том, что в состав веб-страниц входят не только текст, графика, музыка и анимация (то есть данные), но и активное содержимое, которое включает в себя апплеты Java и элементы ActiveX. Так вот, данные объекты являются программным кодом, выполняющимся на компьютере пользователя. Что мешает злонамеренному пользователю написать такой код, который бы форматировал диск? Конечно же, настройки безопасности Internet Explorer. Поэтому в настройках безопасности интернет-обозревателя необходимо отключить загрузку неподписанных элементов ActiveX и использование элементов ActiveX, не помеченных как безопасные, а еще лучше – установить высокий уровень безопасности.
Вирус из Интернета может проникнуть на ваш компьютер совершенно самостоятельно – для этого достаточно быть подключенным к Сети. По этому механизму распространяется широкоизвестный MSBlast, а также ряд других. Вот один из примеров алгоритма распространения посредством брешей в системе: используя брешь в службе DCOM RPC, «червь» проверяет 135-й порт машин, висящих в сети. При благоприятных результатах проверки открывается порт 4444 для ожидания последующих команд. Далее открывается порт 69 UDP, после чего на компьютер «червь» загружает файл носителя. Поэтому необходимо, чтобы в операционную систему были загружены новые обновления, иначе «черви» могут стать последним кодом, который она обработает.
• Через электронную почту. Несмотря на многочисленные предупреждения и предосторожности, этот способ заражения, как самый распространенный, прогрессирует. Поэтому будьте внимательны и никогда не открывайте прикрепленные файлы, пришедшие с сообщением от незнакомого человека.
• Через дискету или компакт-диск – также довольно распространенный способ заражения. По статистике, пользователи проверяют дискеты чаще, чем диски, если не сказать больше: компакт-диски обычно не проверяют вообще. Однако именно пиратские диски (никто не будет отрицать, что таких у нас большинство) играют значительную роль в распространении вирусов. Почему, когда вирус «Чернобыль» пронесся над Европой и Азией, оказалось, что инфицированы около 1 млн машин, а в США – всего 10 000? Потому что он распространялся через нелегальное программное обеспечение, скопированное на компакт-диски. Поэтому возьмите за правило проверять съемные диски антивирусной программой и регулярно обновляйте антивирусные базы.
Иногда вирус может быть замаскирован под joke-программу, имитирующую вирус, хотя и Kaspersky 5.0 и Panda Platinum определяют его как самый настоящий вирус. Изобретательность создателя вируса в этом случае не знает границ: название такой «шутки» может быть Not virus!Joke! Убедиться в объективности антивирусной проверки можно, лишь дизассемблировав подобную программу. Иногда вирусы могут находиться даже в программном коде антивируса.
5.2. Анатомия spyware
В данном разделе поговорим о троянских конях. Сразу следует сказать, что троянский конь – это не вирус. По сравнению с вирусами, которые уничтожают Windows и форматируют диски, они приносят меньший ущерб. Область их компетенции – воровство конфиденциальной информации, паролей с последующей передачей их хозяину. В классическом варианте троянский конь состоит из клиента и сервера. Серверная часть обычно находится на компьютере у жертвы, клиентская – у хозяина, то есть у того, кто создал троянского коня или просто модифицировал его, заставив работать на себя. Связь клиента и сервера осуществляется через какой-либо открытый порт. Протоколом передачи данных обычно является TCP/IP (Transmission Control Protocol/Internet Protocol), но известны троянские кони, которые используют и другие протоколы связи, в частности ICMP (протокол межсетевых управляющих сообщений – Internet Control Message Protocol) и даже UDP (User Dategram Protocol – протокол стека TCP/IP). Тот, кто создает троянских коней, умело маскирует их, например, под полезные программы. При их запуске вначале происходит выполнение кода, который затем передает управление основной программе. Троянский конь также может быть просто, но эффективно замаскирован под файл с любым расширением, например GIF.
Классификация троянских коней
Современная классификация троянских коней выглядит следующим образом.
• Mail Sender – наиболее распространенная разновидность, так как подавляющее большинство троянов, если не все, отсылают хозяину пароли доступа в Интернет, от электронной почты, ICQ, чатов и т. д. в зависимости от изобретательности их создателя. Например: Trojan-PSW.Win32.QQPass.du (ворует пароли Windows), Bandra.BOK (пытается украсть пароли от банковских сайтов), Bancos.LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Banker.XP (собирает конфиденциальные данные, пароли, счета и т. д. и отправляет их хозяину).
• Backdoor – утилиты удаленного администрирования, обычно обладают возможностями Mail Sender и функциями удаленного управления компьютером. Такой троян ждет соединения со стороны клиента (через какой-либо порт), с помощью которого посылает команды на сервер. Например: Backdoor.Win32.Whisper.a (имеет встроенную функцию удаленного управления компьютером), Back Orifice (позволяет полностью контролировать компьютер).
• Программы-дозвонщики – отличаются тем, что могут нанести значительный финансовый урон, соединяясь с зарубежным провайдером. С телефонного номера абонента происходит установка международного соединения, допустим с островами Кука, Сьерра-Леоне и т. д. Например: Trojan – PSW.Win32.DUT или trojan.dialuppasswordmailer.a, Trojan-PSW.Win32.Delf.gj, Not-a-virus:?PSWTool.Win32.DialUpPaper, Not-a-virus: PornWare.Dialer.RTSMini и др.
• Трояны-кейлоггеры – удачно сочетают в себе функции кейлоггера и Send-Mailer. Они способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию своему создателю по почте или прямо на сервер, расположенный в Интернете. Например: Backdoor.Win32.Assasin.20, Backdoor.Win32.Assasin.20.n, Backdoor.Win32.BadBoy, Backdoor.Win32.Bancodor.d (keylogger.trojan) и др.
• Эмуляторы DDos (Distributed Denial of Service) – довольно интересная группа троянов. Серверная часть отслеживает определенный порт и, как только получает команды извне, начинает функционировать как нюкер (приложение, отсылающее на заданный IP шквал некорректно сформированных пакетов, что приводит к отказу в обслуживании).
• Downloader (загрузчики) – загружают из Интернета файлы без ведома пользователя. Это могут быть как интернет-страницы нецензурного содержания, так и просто вредоносные программы. Например: Trojan-Downloader.Win32.Agent.fk (после запуска создает папку под названием %Program Files%\Archive, после чего копирует себя в нее, размер загружаемых файлов может варьироваться), Trojan-Downloader.Win32.Small.bxp и др.
• Dropper (дропперы) – программы, созданные для скрытной установки в систему других троянских программ. Например, Trojan-Dropper.Win32.Agent.vw.
• Прокси-серверы – этот троянский конь устанавливает в вашу систему один из нескольких прокси-серверов (socks, HTTP и т. п.), а затем кто угодно, заплатив хозяину, или сам хозяин совершает интернет-серфинг через этот прокси, не боясь, что его IP вычислят.
Деструктивные троянские программы, помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски, удалять системные файлы и т. д.
• Mail Sender – наиболее распространенная разновидность, так как подавляющее большинство троянов, если не все, отсылают хозяину пароли доступа в Интернет, от электронной почты, ICQ, чатов и т. д. в зависимости от изобретательности их создателя. Например: Trojan-PSW.Win32.QQPass.du (ворует пароли Windows), Bandra.BOK (пытается украсть пароли от банковских сайтов), Bancos.LU (сохраняет пароли во временных файлах, а затем пытается отослать их хозяину), Banker.XP (собирает конфиденциальные данные, пароли, счета и т. д. и отправляет их хозяину).
• Backdoor – утилиты удаленного администрирования, обычно обладают возможностями Mail Sender и функциями удаленного управления компьютером. Такой троян ждет соединения со стороны клиента (через какой-либо порт), с помощью которого посылает команды на сервер. Например: Backdoor.Win32.Whisper.a (имеет встроенную функцию удаленного управления компьютером), Back Orifice (позволяет полностью контролировать компьютер).
• Программы-дозвонщики – отличаются тем, что могут нанести значительный финансовый урон, соединяясь с зарубежным провайдером. С телефонного номера абонента происходит установка международного соединения, допустим с островами Кука, Сьерра-Леоне и т. д. Например: Trojan – PSW.Win32.DUT или trojan.dialuppasswordmailer.a, Trojan-PSW.Win32.Delf.gj, Not-a-virus:?PSWTool.Win32.DialUpPaper, Not-a-virus: PornWare.Dialer.RTSMini и др.
• Трояны-кейлоггеры – удачно сочетают в себе функции кейлоггера и Send-Mailer. Они способны отслеживать нажатия клавиш клавиатуры и отсылать эту информацию своему создателю по почте или прямо на сервер, расположенный в Интернете. Например: Backdoor.Win32.Assasin.20, Backdoor.Win32.Assasin.20.n, Backdoor.Win32.BadBoy, Backdoor.Win32.Bancodor.d (keylogger.trojan) и др.
• Эмуляторы DDos (Distributed Denial of Service) – довольно интересная группа троянов. Серверная часть отслеживает определенный порт и, как только получает команды извне, начинает функционировать как нюкер (приложение, отсылающее на заданный IP шквал некорректно сформированных пакетов, что приводит к отказу в обслуживании).
• Downloader (загрузчики) – загружают из Интернета файлы без ведома пользователя. Это могут быть как интернет-страницы нецензурного содержания, так и просто вредоносные программы. Например: Trojan-Downloader.Win32.Agent.fk (после запуска создает папку под названием %Program Files%\Archive, после чего копирует себя в нее, размер загружаемых файлов может варьироваться), Trojan-Downloader.Win32.Small.bxp и др.
• Dropper (дропперы) – программы, созданные для скрытной установки в систему других троянских программ. Например, Trojan-Dropper.Win32.Agent.vw.
• Прокси-серверы – этот троянский конь устанавливает в вашу систему один из нескольких прокси-серверов (socks, HTTP и т. п.), а затем кто угодно, заплатив хозяину, или сам хозяин совершает интернет-серфинг через этот прокси, не боясь, что его IP вычислят.
Деструктивные троянские программы, помимо своих непосредственных функций сбора и отсылки конфиденциальной информации, могут форматировать диски, удалять системные файлы и т. д.