Часть первая. Не столько о тех, кто защищает, сколько о тех, от кого защищаются
Вам никогда в детстве не было интересно, как работают часы? Вы их не разбирали? А заводные машинки (для прекрасного пола - говорящие куклы)? Если да, то, возможно, занятно "разобрать" по косточкам и антивирус.
Но вначале давайте обсудим один немаловажный момент - от кого же защищают нас антивирусы. Первая часть знакомства с их внутренним устройством будет посвящена именно вредоносному программному обеспечению. Ведь чтобы создать качественную защиту, необходимо понимать, как же именно оно работает.
Немного истории
Вирусы исторически стали первым из вредоносного программного обеспечения, с которым столкнулось прогрессивное человечество. Теоретическую базу для создания "компьютерной жизни" в виде вирусов заложил не кто-нибудь, а легендарный Джон фон Нейман, который предположил возможность создания самовоспроизводящихся механизмов (а было это в 1951 году). Следующим человеком в списке теоретиков компьютерных вирусов обычно называют жену нобелевского лауреата по физике Р. Пенроуза Л. С. Пенроуз. По материалам ее статьи Ф. Ж. Шталь запрограммировал биокибернетическую модель, в которой существа двигались, питаясь словами. При поедании некоторого числа символов "животное" размножалось, причём интересно то, что потомки могли мутировать. Ну а если оно ничего не ело, то вскоре погибало. Но всё это хоть и умело размножаться без посторонней помощи, тем не менее ещё мало походило на то, что мы сейчас называем вирусами.
Первый же вирус собственной персоной появился на свет только в 1981 году. То есть, может, появился он и раньше, но впервые вирусы были зафиксированы именно тогда. Первыми известными человечеству компьютерными вирусами являются Virus 1,2,3 и Elk Cloner, паразитировавшие на программах компьютера Apple II. Elk Cloner выдавал своё присутствие, печатая на экране следующий текст:
ELK CLONER:
THE PROGRAM WITH A PERSONALITY
IT WILL GET ON ALL YOUR DISKS
IT WILL INFILTRATE YOUR CHIPS
YES, IT'S CLONER
IT WILL STICK TO YOU LIKE GLUE
IT WILL MODIFY RAM, TOO
SEND IN THE CLONER!
Компьютеры Apple были довольно популярны, а никаких средств для противостояния вирусам тогда ещё не придумали, потому обстановка накалялась. В сентябре 1984 была опубликована статья Ф. Коэна, в которой автор исследовал разновидность файлового вируса - одно из первых академических исследований проблемы вирусов. И именно Коэна принято считать автором термина "компьютерный вирус".
Со временем вирусов становилось всё больше. Но и пользователи не дремали. 1984 принято считать годом рождения первого антивируса. Именно тогда Анди Хопкинс написал программы CHK4BOMB и BOMBSQAD. Первая из них позволяла проанализировать текст загрузочного модуля и выявляла все текстовые сообщения и "подозрительные" участки кода (команды прямой записи на диск и другие, потенциально используемые вирусами) и благодаря своей простоте и эффективности CHK4BOMB получила изрядную популярность у пользователей тогдашних ПК. Вторая из программ Хопкинса, BOMBSQAD.COM, перехватывала операции записи и форматирования, выполняемые через BIOS, и при выявлении запрещенной операции можно было разрешить её выполнение. В 1985 году другой программист, Ги Вонг, написал утилиту DPROTECT - резидентную программу, перехватывающую попытки записи на дискеты и винчестер, которая блокировала все операции, выполняемые через BIOS: в случае выявления такой операции программа требовала перезапуска системы.
Однако до 1987 года всё было сравнительно спокойно: вирусов было не слишком много, и эти нехитрые антивирусные инструменты вполне успешно справлялись с их не слишком яростными атаками. Но в 1987 году всё в корне изменилось... Первая эпидемия была вызвана вирусом Brain (он также известен под названием "Пакистанский вирус"), разработанным братьями Амджатом и Базитом Алви. Только в США вирус сумел заразить более восемнадцати тысяч компьютеров. При всём при том цель, которую преследовали авторы при его создании, была весьма скромна по сравнению с результатом: программа должна была наказать местных пиратов, ворующих программное обеспечение у их фирмы. Трудно поверить, но в программке даже значились имена, адрес и телефоны братьев. Brain являлся первым стелс-вирусом - при попытке чтения зараженного сектора он "подставлял" его незараженный оригинал. Но в 1987 это была не единственная эпидемия - в ноябре другой вирус уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра одного из университетов, а также неисчислимое количество личных дискет студентов. За время эпидемии вирусом было заражено около четырех тысяч компьютеров. Ну и последняя вирусная эпидемия разразилась перед самым Новым годом, 30 декабря 1987. Её вызвал вирус из Иерусалимского университета, но он, хоть и распространился по всему миру, был практически безвреден.
Можно было бы ещё очень долго рассказывать об истории появления вирусов. О том, как Билл Гейтс, выступая по поводу выпуска Windows 95, сказал, что с компьютерными вирусами отныне покончено... О том, как в 2004-м вирусы добрались даже до такой экзотичной операционной системы, как MenuetOS... Но лучше я перейду к рассказу о том, какими бывают вредоносные программы. Это знать гораздо полезнее, чем историю их появления на нашей планете.
Вирусы
Компьютерные вирусы - это, пожалуй, самое странное изобретение человечества. Потому что главное их свойство - самостоятельно размножаться - никогда и никем ещё не было применено на благо. А ведь фантасты давно уже мечтают о том, чтобы искусственный интеллект, аналогично человеческому, возник благодаря эволюции - а начаться она, по мнению многих, должна именно с компьютерных вирусов. Например, очень интересно об этом написано у Дэна Симмонса. Кстати, рекомендую почитать этого автора всем любителям научной фантастики.
Итак, вирусы отличаются тем, что они не представляют собой самостоятельных исполняемых программных модулей, а являются чистым программным кодом, внедряющимся в другие исполняемые файлы. Повторюсь: главная отличительная черта этого класса "злыдней" - умение самотиражироваться. Ни один другой вид вредоносного ПО этого делать не умеет. Поскольку вирусу для запуска себя, любимого, нужен внешний исполняемый файл, все рассказы о том, что вирус де заразил MP3'шки или AVI'шки не есть правда. Даже если вирус и допишет себя в тело такого файла - на этом его дальнейшее распространение и кончится, потому что запуститься он не сможет. Значит, это будет не заражение, а банальная порча данных.
Отдельно стоят макровирусы - вирусы, паразитирующие не на исполняемых двоичных файлах, а на скриптах или существующие как самостоятельные саморазмножающиеся скрипты. Появились они позже своих бинарных сородичей, но успели распространиться не менее широко.
В общем-то, сейчас вирусы не столь актуальная угроза, как раньше. Хотя и не стоит говорить, как некогда оптимист Крис Касперски: "Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Эпоха вирусов закончилась вместе с крушением MS-DOS". Вирусы и сейчас наводят ужас на мирных обывателей, но их стало меньше, значительно меньше. Просто злодеи переключились на создание других видов вредоносного ПО.
Трояны
Троянские кони, они же, для краткости, трояны - это разновидность вредоносных программ, которые выполняют какие-то действия на компьютере втайне от пользователя (подразумеваются, что эти действия наносят вред самому пользователю или кому-то ещё). В отличие от вирусов, трояны не умеют распространяться самостоятельно, поэтому должны засылаться на пользовательский компьютер извне или приноситься самим пользователем. Обычно трояны маскируются под какие-либо служебные программы системы, чтобы не слишком разбирающиеся в компьютерных делах пользователи их не заметили. Как правило, этот нехитрый трюк срабатывает. Так что целевая аудитория троянов - это, в основном, плохо подготовленные ко встрече с ними пользователи. Хотя, конечно, и опытным компьютерщикам стоит быть начеку.
Основная задача троянов (название, которых, кстати, происходит от словосочетания "троянский конь") - "зомбирование" компьютеров. Нередки случаи, когда целая армия заражёнными троянами компьютеров осуществляла атаку на какой-нибудь сервер, который почти всегда не выдерживал нагрузки. Часто трояны лезут в адресную книгу пользователя и потом осуществляют рассылку спама по найденным там адресам.
Этот вид вредоносных программ, так же как и вирусы, умеет распространяться самостоятельно, но уже, в отличие от вирусов, не нуждается в паразитировании на других исполняемых файлах. Распространяются они тоже различными способами. Часть из них приходит по электронной почте, и потом пользователь, получая файл а-ля Photo.jpg.exe, собственными руками запускает его и тем самым инфицирует свой компьютер. Часть умеет пролезать на компьютер жертвы через сеть самостоятельно, сканируя открытые порты.
Черви - головная боль всех системных администраторов. Даже если они и не слишком вредят пользователю, то сети они вредят всегда, потому что из-за распространения червей через сеть нагрузка на неё существенно увеличивается. Впрочем, это верно и для других видов вредоносных программ.
Эксплойты
Этот вид компьютерной гадости возник из-за того, что в программном обеспечении всегда есть какие-нибудь ошибки. Пусть не слишком большие, пускай и незаметные - но они есть, и в умелых руках становятся страшным оружием. Результат действия эксплойта, который проникает на компьютер (а иногда может даже и не проникать) из-за ошибки в сетевых приложениях, бывает различен. Например, в результате взламываемая система может приобрести троян или вирус, или сбросить настройки, или перезагрузиться. Так что эксплойты - одни из самых опасных вредоносных программ, существующих на сегодняшний день. Большая часть пользователей сталкивается с ними, когда злоумышленники находят очередную уязвимость в браузере (особенно этим славится Internet Explorer, но и Mozilla Firefox с Opera тоже изредка "радуют" пользователей). Усугубляется дело тем, что большая часть пользователей редко обновляет свои браузеры, хотя это, пожалуй, наиболее простой и действенный способ борьбы с эксплойтами.
Остальные
Это основные виды вредоносных программ, но есть и другие. Например, руткиты - программы, которые пишутся хакерами для получения полного контроля над нужным компьютером. Или ronsomware - программы, которые попадая на компьютер шифруют часть информации и требуют выкупа за пароль к ней. Есть ещё логические бомбы - фактически, не способные к самовоспроизведению и самораспространению аналоги сетевых червей. Очень распространены вредители типа spyware - программы-шпионы, которые собирают данные о пользователе и отсылают их через интернет злоумышленникам. Список, как видите, велик, но беда не в этом, а в том, что он постоянно пополняется. Поэтому не факт, что, прочитав статью через год или даже полгода, вы встретите здесь самый опасный на этот момент вид вредоносного ПО. Злоумышленник не дремлет, так что не спите и вы: безопасность - это важно.
Вадим СТАНКЕВИЧ
Версия для печати
