Ну, о вирусах, кажется, каждый из нас наслушался страшилок еще с колыбели. Пользователю-новичку порой кажется, что вирус может проникнуть в его компьютер отовсюду, чуть ли не с дуновением ветерка. А поскольку о разрушительных последствиях его работы наслышаны все, то и страх перед вирусной атакой у начинающих пользователей порой неоправданно высок. Хотя страх этот, как мы увидим, отнюдь не мешает тому состоянию фаталистической расслабленности, в которой пребывает добрая половина пользователей. Мол, все равно не убережешься – рок, судьба, понимаете ли...
    Что же это такое – компьютерные вирусы?
   Прежде всего, это – САМОРАЗМНОЖАЮЩИЕСЯ ПРОГРАММЫ. Именно такое определение дал компьютерным вирусам Фрэд Коэн, один из первых исследователей этого феномена. Программы, умеющие по собственной воле, независимо от желания пользователя, создавать свои собственные копии и распространять их на другие компьютеры.
   Это – одна сторона деятельности вируса. Не самая страшная, кстати. Если бы вирус просто размножался, не мешая работе программ, то с ним, наверное, не стоило бы и связываться. Тем более, что значительное число существующих вирусов принадлежит именно к этой, относительно безвредной категории.
   Помимо размножения, у вируса есть еще и другое «хобби» – разрушать, пакостить. Степень «пакостности» вируса может быть разная – одни ограничиваются тем, что выводят на экран навязчивую картинку, мешающую вашей работе, другие, особо не раздумывая, полностью уничтожают данные на жестком диске.
   Смесь правды, полуправды и вымышленных страшилок – все, что многие из нас знают о компьютерных вирусах... А ведь такая информация – тоже своего рода вирус. «Заразившись» им, даже многие взрослые люди совершают абсолютно нелогичные поступки: бывалые компьютерщики и сегодня вспоминают «специалистов», протиравших дискеты спиртом – «для дезинфекции». Другие панически боятся устанавливать любые программы, третьи шарахаются от электронной почты... И даже установив на свой компьютер модный антивирус, такие пользователи остаются абсолютно беззащитными перед лицом настоящей опасности...
   Парадоксально, но кажется, что громадное количество информации о вирусах, которое что ни день обрушивают на нас любимые СМИ, и количество мифов и предрассудков, связанных с вирусами, лишь преумножается. Причем в прямой пропорции. Вот эти-то мифы мы и постараемся развеять, дав заодно несколько советов, как застраховать себя от этой напасти. И что, собственно, она собой представляет.
    Миф первый. Любой вирус способен «убить» компьютер. Если бы дела обстояли именно так, от всех компьютеров в мире давно уже остались бы информационно чистые рожки да ножки. Но, к счастью, по-настоящему «смертоносных» вирусов не так уж много: почти половина вирусного поголовья довольствуется тем, что бесконтрольно размножается и распространяет собственные клоны по другим компьютерам. Это, естественно, никоим образом не значит, что к существованию вирусов надо относиться легкомысленно – для того чтобы устроить вам и вашему компьютеру «праздник», будет вполне достаточно одного злокозненного вируса. Недавно в сети начали распространяться вредоносные программы-«эксплоиты», использующие уязвимость системной защиты для проникновения на компьютер и уничтожения хранящейся на нем информации. И последствия такой атаки могут быть самыми непредсказуемыми...
    Миф второй. Вирусы могут заражать любые файлы. В свое время вирусы действительно паразитировали на мирных программах, внедряя свой код в их тело. Однако сегодня такие экземпляры встречаются крайне редко. Чаще всего современные вирусы распространяются отдельно, маскируясь под полезную программу. Конечно, есть вирусы, поражающие определенные типы документов – например, тексты Word, электронные таблицы и так далее. Но куда большая угроза исходит от обычных электронных писем, которые могут содержать вирусную начинку, от сомнительных сайтов, напичканных вредоносными программами-скриптами. Наконец, существуют вирусы, которые умеют проникать на незащищенный компьютер непосредственно из Сети, пользуясь «дырками» в защите операционной системы! А вот музыкальные файлы, видео или картинки вирусы поражают нечасто. Другое дело, что вирусы могут маскироваться под файлы этих типов, однако обнаружить подмену довольно просто. Как? Об этом мы подробно поговорим ниже...
    Миф третий. Вирусы могут заражать электронные письма!Конечно же, в таком виде эта формулировка – абсолютный вымысел. Вирус не может заражать сами письма, которые представляют собой обычный текст. Другое дело, что вирусы распространяются через каналы электронной почты в виде ВЛОЖЕНИЙ – т. е. файлов, прикрепленных к электронному письму, либо включенных в письмо гиперссылок, щелкнув по которым, вы также можете загрузить вредоносный модуль.
    Миф четвертый. Заражение компьютера наступает в момент появления в нем хотя бы одного экземпляра вируса.И это неправда – лежа на жестком диске, инфицированная программа или документ вреда вам не причинит. Активируется вирус лишь в момент запуска программы или открытия документа – никак не раньше. А потому, получив по электронной почте сомнительный файл, не паникуйте: даже в том случае, если пришедший к вам файл действительно заражен, вам будет достаточно просто удалить письмо с вражеской начинкой. Желательно, конечно, после этого очистить папку Удаленные вашего почтового клиента, а затем, для пущей надежности – еще и Корзину.
    Наконец, миф пятый. Наличие в компьютере любых антивирусных программ – гарантированная защита от вирусов. Бесспорно, хорошая антивирусная программа – это единственный способ снизить шансы на поражение вирусом. Однако сама по себе антивирусная программа мало что может: это всего лишь оболочка, надстройка над самой важной частью – базой данных. Именно благодаря ей программа может выловить заразу, отличив ее от обычного программного файла или документа. Однако новые вирусы появляются каждый день, и если вы нерегулярно следите за обновлением базы данных вашего антивируса, вся его мощь может оказаться бесполезной. Отсюда – вывод: антивирусную базу данных необходимо обновлять не реже раза в неделю, а в идеальном случае – ежедневно. И чем чаще обновляется антивирусная база, тем надежнее вы защищены. Кроме того, сегодня одних антивирусных программ оказывается недостаточно – необходимо обновлять не только их, но и саму операционную систему, закрывая вредоносным программам путь с помощью «заплаток».
   В чем же заключается реальность? А вот в чем: на самом деле вирусы – лишь верхушка айсберга. Видов вредоносных программ куда больше, и каждая из которых уже давно обзавелась излюбленной лазейкой для проникновения в ваш компьютер и обладает собственным уникальным набором пакостей.
   Сегодня науке известно около 50 тысяч компьютерных вирусов – маленьких вредоносных программок, следующих в своей жизни только трем заповедям – Плодиться, Прятаться и Портить. И бороться с ними необходимо по-разному, поскольку универсального средства, увы, не существует...
   Классифицировать вирусы можно по-разному – по их «биологическому виду» либо – по способу распространения. Совершенно необязательно знакомиться с представителями всех групп в рамках этой книги – тем более, что в Сети уже давно существует великолепная вирусная энциклопедия, созданная «Лабораторией Касперского» (http://www.viruslist.com/index.html). Назовем лишь несколько наиболее важных групп.
   Условно и наиболее грубо вирусы можно разделить на программные и скриптовые . Вирусы первой группы представляют собой отдельные и автономные саморазмножающиеся программы, часто снабженные еще и деструктивной, разрушительной функцией. «Скриптовые» вирусы, напротив, являются не отдельными программами, а набором инструкций для какой-либо из популярных программ Windows (Internet Explorer, программы Microsoft Office, Windows Media Player).
   Что же касается типа распространения, то подавляющее большинство самых вредоносных сегодняшних вирусов относятся к типу « интернет-червей », которые распространяются преимущественно в виде файлов-вложений в электронные письма.
   Другими, чуть менее популярными каналами распространения вирусов являются сети каналов IRC (Internet Relay Cat), а также системы обмена файлами типа Kazaa, SoulSeek, EDonkey и ряда других. Правда, пользователей этих систем в России гораздо меньше, чем обладателей адресов электронной почты, поэтому в отдельные группы эти вирусы обычно не выделяют. Да и тактика вирусов в этих случаях не слишком отличается от обычной – они либо маскируются под файлы других типов (картинки, музыка и т. д.) с помощью «двойного расширения», либо, напротив, выдают себя за полезные программы.

Классические вирусы-«паразиты»

   ...А началась эта история ни много ни мало – лет тридцать назад. Именно тогда, в конце 60-х, когда о «персоналках» можно было прочитать лишь в фантастических романах, в нескольких «больших» компьютерах, располагавшихся в крупных исследовательских центрах США, обнаружились очень необычные программы. В отличие от программ нормальных, послушно «ходивших по струнке» и выполнявших все распоряжения человека, эти гуляли сами по себе, подобно киплинговской кошке. Занимались в недрах компьютера какими-то понятными только им делами, по ходу дела сильно замедляя работу компьютера. Хорошо хоть, что ничего при этом не портили и не размножались.
   Однако продлилось это недолго. Уже в 70-х годах были зарегистрированы первые настоящие вирусы, способные к размножению и даже получившие собственные имена: большой компьютер Univac 1108 «заболел» вирусом Pervading Animal, а на компьютерах из славного семейства IBM-360/370 свил гнездо вирус Christmas tree.
   К 1980-м годам число активных вирусов измерялось уже сотнями. А появление и распространение персональных компьютеров породило настоящую эпидемию – счет вирусов пошел на тысячи. Правда, термин «компьютерный вирус» появился только в 1984 году: впервые его использовал в своем докладе на конференции по информационной безопасности сотрудник Ле-хайского Университета США Ф. Коэн.
   Первые «персоналочные» вирусы были существами простыми и неприхотливыми – особо от пользователей не скрывались, «скрашивали» свое разрушительное действие (удаление файлов, разрушение логической структуры диска) выводимыми на экран картинками и каверзными «шутками»: «Назовите точную высоту горы Килиманджаро в миллиметрах! При введении неправильного ответа все данные на вашем винчестере будут уничтожены!!!». Выявить такие вирусы было нетрудно: они «приклеивались» к исполняемым (*.com или *.exe) файлам, изменяя их оригинальные размеры, – чем и пользовались первые антивирусы, успешно выявлявшие нахалов.
   Забавно, что первые вирусы этого типа были созданы в качестве... средства борьбы с пиратами: в 1985 году десятки тысяч компьютеров по всему миру оказались заражены вирусом Brain, разработанным братьями-пакистанцами Алви. Как выяснилось, хитрые пакистанцы, владевшие собственным программным бизнесом, умышленно начиняли свой товар вредоносной начинкой, срабатывавшей только при установке на компьютер нелегальной копии. За десять лет, прошедших с момента появления «пакистанского» вируса, его потомки сумели распространиться по всему миру. Их опасность заключалась в том, что такие вирусы могли укрыться в абсолютно любой программе – точнее, в ее главном, исполняемом файле. Достаточно было одного-единственного запуска программы, чтобы вирус проник на компьютер и начинал активно заражать все остальные файлы с расширениями com и exe.
   «Золотой век» классических вирусов продолжался около десяти лет – сегодня их поголовье резко сократилось и, по оценкам Лаборатории Касперского, составляет не более нескольких процентов от всех вирусов. Бороться с ними умеет любой современный антивирус, да и сама операционная система неплохо защищена от их атак. Некоторые типы вирусов – такие как «boot-вирусы», поражающие загрузочный сектор жесткого диска, сегодня практически истреблены.
   Казалось, фантазия вирусописателей наконец-то истощилась. И когда против stealth-вирусов было наконец-то найдено «противоядие», компьютерный народ вздохнул с облегчением. А все еще только начиналось...

Вирусы-программы (W32)

   Со временем вирусы, прятавшие свой код в теле других программ, сдали свои позиции. Во многом это произошло из-за того, что размеры самих вирусов стали больше, – а спрятать код размером в сотни килобайт не так-то просто. Да и сами программы и операционные системы резко поумнели, научившись проверять целостность собственных файлов.
   В итоге произошло то, что и должно было случиться – «исполняемые» вирусы перестали маскироваться, представ перед публикой в «чистом» виде. Вирус превратился в абсолютно отдельную, независимую программу, не нуждающуюся в «хозяине-переносчике». Однако сразу же перед вирусописателями встал другой вопрос – а как заставить пользователей скачать и запустить у себя на машине этот самый вирус?
   «Программные» вирусы, написанные для операционной системы Windows, решили эту проблему, маскируясь под разные «полезные» утилиты – например, под «ломалки» для условно-бесплатных программ или мультимедийные презентации. Другой излюбленный прием распространителей заразы – наряжать свои детища в «одежду» обновлений для операционной системы или даже... антивирусной программы! Увы, до сих пор многие пользователи, не задумываясь, запускают неизвестные программы, пришедшие в виде вложения в электронные письма якобы от Microsoft или «Лаборатории Касперско-го», – а ведь это самый верный путь поселить на свой компьютер злокозненного паразита!
   Большинство вирусов люди запускают на своем компьютере самостоятельно! – увы, несмотря на все усилия борцов с вирусами, некие стереотипы человеческой психологии оказываются непреодолимыми...
   В 1995–1999 годах на просторах Интернета весело резвилась добрая сотня «Windows-со-вместимых» вирусов. Эти милые зверушки, понятно, резвились не просто так... Только за период лета 1998 – лета 1999 года мир пережил несколько поистине разрушительных вирусных атак: в результате деятельности вируса Win95.CIH, поражающего BIOS системной платы, из строя были выведены около миллиона компьютеров во всех странах мира.
   А в середине 2003 года Сеть оказалась поражена новым «червем» SoBig, распространявшимся в виде вложения в электронные письма. Несмотря на то, что о вредоносных «вложениях» уже давно трубила вся пресса, люди запускали файл-вирус без малейших опасений.
   Впрочем, некоторые вирусы способны атаковать ваш компьютер даже в том случае, если его «тело» физически находится в другом месте. Например, один из самых «модных» вирусов 2003 года – Blaster – был способен атаковать все компьютеры в локальной сети с одной-един-ственной машины! Сканируя локальную сеть, программа обнаруживала бреши в защите каждого компьютера и самостоятельно пропихивала в эту «дырочку» вредоносный код.
   Для борьбы с W32-вирусами одной антивирусной программы, увы, недостаточно – главным условием вашей безопасности является обязательная и регулярная загрузка дополнений к Windows. А именно – файлов-«заплаток», предназначенных для закрытия уже обнаруженных «дыр» в системе защиты операционной системы.
   Для получения новых «заплаток» вам необходимо навестить центр обновления Windows – сайт Windows Update (http://windowsupdate.microsoft.com). При этом совершенно необязательно набирать этот адрес в строке браузера вручную – достаточно зайти в меню Сервис программы Internet Explorer и выбрать пункт Windows Update .
   На открывшейся страничке вы увидите полный список обновлений, доступных для загрузки. Учтите – все обновления из раздела Критические обновления необходимо устанавливать в обязательном порядке!
   Посещайте сайт Windows Update не реже раза в месяц, регулярно обновляйте базы данных вашего антивирусного пакета – и можете считать, что от львиной доли неприятностей вы застрахованы...

Макровирусы

   В эпоху «классических» вирусов любой более-менее грамотный пользователь прекрасно знал: источником вирусной заразы могут быть только программы. И уж вряд ли даже в страшном сне могло присниться, что через несколько лет смертоносной начинкой обзаведутся... текстовые документы! Впрочем, такие сообщения время от времени проскакивали еще в конце 80-х годов. Но появлялись они преимущественно первого апреля, так что никакой реакции, кроме смеха, вызвать не могли.
   Как оказалось, смеялись напрасно...
   В 1995 году после появления операционной системы Windows 95 Microsoft с большой помпой объявила: старым DOS-вирусам конец, Windows защищена от них на 100 процентов, ну а новых вирусов в ближайшее время не предвидится. Если бы! Уже в том же 1995 году было зарегистрировано несколько мощных вирусных атак и создан первый вирус, работающий под Windows 95.
   А меньше чем через полгода человечество было огорошено вирусами нового, совершенно неизвестного типа и принципа действия. В отличие от всех «приличных» вирусов, новички паразитировали не на исполняемых файлах, а на документах, подготовленных в популярных программах из комплекта Microsoft Office.
   Ларчик открывался просто: в текстовый редактор Microsoft Word и в табличный редактор Microsoft Excel был встроен свой собственный язык программирования – Visual Basic for Applications (VBA), предназначенный для создания специальных дополнений к редакторам – макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия зараженного файла вирус активировался и заражал все документы Microsoft Office на вашем диске.
   Первоначально макровирусы – а именно так назвали новый класс вирусов, – вели себя довольно пристойно. В крайнем случае – портили текстовые документы. Однако уже в скором времени они перешли к своим обычным обязанностям – уничтожению информации.
   К такому повороту дел борцы с вирусами явно не были готовы. И потому буквально через несколько дней после своего появления вирус Concept, поражающий документы Word, распространился по всей планете. Зараженные файлы Word с лакомым содержанием (например, списками паролей к интернет-серверам с коллекциями порнографических картинок) путешествовали от пользователя к пользователю через Интернет. Доверчивые пользователи хватали «наживку» не задумываясь – ведь даже самые умные из них с молоком матери впитали тезис: через тексты вирусы не передаются! В итоге за четыре года, прошедших с момента появления первого «макровируса», этот класс вирусов стал самым многочисленным и опасным.
   Одна из самых мощных атак макровирусов была зарегистрирована в марте 1999 года, когда вирус Melissa, созданный программистом Дэвидом Смитом, всего за несколько часов распространился по всему миру. И хотя этот вирус был сравнительно безопасным (Melissa ограничивалась тем, что заражала все существующие документы и рассылала свои копии людям, внесенным в адресную книгу Microsoft Outlook), его появление наделало немало шума. Именно появление Melissa заставило Microsoft срочно оснастить программы Microsoft Office защитой от запуска макросов. При открытии любого документа, содержащего встроенные макросы, умный Word или Excel обязательно спросит пользователя: а вы уверены, гражданин хороший, что вместо всяческих полезностей вам не подсовывают в документе всяческую бяку? И стоит ли эти макросы загружать? Нажмите кнопку Нет – и вирусу будет поставлен надежный заслон. Просто удивительно, что, несмотря на такую простоту защиты, большинство пользователей игнорирует предупреждения программы. И заражаются...
   «Майка лидера» принадлежала макровирусам около пяти лет – срок, по меркам компьютерного мира, немалый. Выжить и преуспеть им помог Интернет – в течение последних лет вирусы этого типа распространялись в основном по электронной почте. Источником заражения мог быть и присланный компьютерной фирмой прайс-лист, и рассказик, отосланный в виде файла-вложения незадачливым другом.
   Сегодня число макровирусов снизилось в несколько раз – им принадлежит не более 15 процентов всего вирусного «рынка». Однако опасность заражения макровирусами по-прежнему высока – и поэтому будьте особенно осторожны, если вам часто приходится иметь дело с документами, созданными на других компьютерах. Качественный антивирус в сочетании с включенной защитой от макросов в программах Microsoft Office могут надежно обезопасить вас от подобной напасти.

Скрипт-вирусы

   На самом деле макровирусы, описанные в предыдущей главе, являются не самостоятельным «видом», а всего лишь одной из разновидностей большого семейства вредоносных программ – скрипт-вирусов. Их обособление связано разве что с тем фактом, что именно макровирусы и положили начало всему этому семейству, к тому же вирусы, «заточенные» под программы Microsoft Office, получили наибольшее распространение из всего клана.
   Общая черта скрипт-вирусов – это привязка к одному из «встроенных» языков программирования. Каждый из них привязан к конкретной «дырке» в защите одной из программ Windows и представляет собой не самостоятельную программу, а набор инструкций, которые заставляют в общем-то безобидный «движок» программы совершать несвойственные ему разрушительные действия.
   С конца 90-х годов скрипт-вирусы сумели «оседлать» великое множество программ. Помимо уже знакомого семейства «макровирусов» встречаются «зверушки», умеющие атаковать Internet Explorer или Windows Media Player различных модификаций.
   Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и так далее) не является криминалом – большинство из них вполне мирно трудится, делая страничку более привлекательной для глаза или более удобной. Чат, гостевая книга, система голосования, счетчик – всем этим удобством наши странички обязаны микропро-граммам-«скриптам». Что же касается Java-апп-летов, то их присутствие на страничке тоже обоснованно – они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором вашей мышки...
   Удобства удобствами, но не стоит забывать, все эти апплеты и скрипты – самые настоящие, полноценные программы. Причем многие из них запускаются и работают не где-то там, «в прекрасном далеке», на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вредоносную начинку, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны – от простой кражи пароля до форматирования жесткого диска.
   Разумеется, со «скриптами-убийцами» вам придется сталкиваться во сто крат реже, чем с обычными вирусами. Кстати, на обычные антивирусы в этом случае надежды мало, однако открытая вместе со страничкой зловредная программа должна будет преодолеть защиту самого браузера, создатели которого прекрасно осведомлены о подобных штучках.
   Вернемся на минутку к настройкам Internet Explorer – а именно в меню Сервис Свойства обозревателя Безопасность .
   Как видим, Internet Explorer предлагает нам несколько уровней безопасности. Помимо стандартного уровня защиты (зона Интернет )мы можем усилить (зона Ограничить )или ослабить свою бдительность (зона Надежные узлы ).Нажав же кнопку Другой , мы можем вручную отрегулировать защиту браузера, разрешив или запретив работу различных «активных элементов» страничек.
   Хотя в системе безопасности того же Internet Explorer полно «дырок», которыми и могут воспользоваться злоумышленники, при грамотном использовании вы застрахуете себя от большинства неприятных неожиданностей. Скажем, входя на сомнительный «хакерский» сайт, защиту можно и усилить...
   Впрочем, большая часть скрипт-вирусов распространяется через электронную почту (напомним, что такие вирусы чаще всего называют «интернет-червями»). Пожалуй, ярчайшими представителями этого семейства являются вирусы LoveLetter и Anna Kournikova, атаки которых пришлись на сезон 2001–2002 года. Оба этих «зверька» использовали один и тот же прием, основанный не только на слабой защите операционной системы, но и на наивности пользователей.
   Мы помним, что переносчиками вирусов в большинстве случаев являются сообщения электронной почты, содержащие вложенные файлы. Помним и то, что зараза может проникнуть в компьютер либо через программы (то есть исполняемые файлы с расширением *.exe или *.com), либо через документы Microsoft Office, которые могут содержать вредоносные участки кода. Нам также известно, что со стороны картинок или звуковых файлов никакая неприятность грозить вроде бы не может. А потому, раскопав нежданно-негаданно в почтовом ящике письмо с прикрепленной к нему (судя по имени файла и расширению) картинкой, тут же радостно ее запускаем... И обнаруживаем, что под личиной картинки скрывался вредоносный вирусный «скрипт». Хорошо еще, если обнаруживаем сразу, а не после того, как вирус успел полностью уничтожить все ваши данные.
   Хитрость создателей вируса проста – файл, который показался нам картинкой, имел двойное расширение! Например
   AnnaCournikova.jpg.vbs
   Вот именно второе расширение и является истинным типом файла, в то время как первое – просто часть его имени. А поскольку расширение vbsWindows хорошо знакомо, она, недолго думая, прячет его от глаз пользователей, оставляя на экране лишь имя
   AnnaCournikova.jpg
   Именно так Windows поступает со всеми зарегистрированными типами файлов: разрешение отбрасывается, а о типе файла должен свидетельствовать его значок. На который, увы, мы редко обращаем внимание.