Что такое антивирусная программа, как она борется с угрозами и какой антивирус выбрать

Общее определение компьютерного вируса

Автор этой книги часто сталкивался с ситуацией, когда
высококвалифицированные системные администраторы и опытные пользователи
компьютера не могли дать четкого и правильного определения компьютерного
вируса.

В данном курсе мы придерживаемся следующего определения:

Вирусом называется специально созданный программный код, способный самостоятельно
распространяться в компьютерной среде

Положения этого определения требуют дополнительных
разъяснений.

Прежде всего, в определении делается акцент на том, что
вирусом может называться только такой код, который создан специально для
дальнейшего самостоятельного распространения, а не для достижения каких либо
других целей.

Таким образом, под определение компьютерного вируса не
попадают «обычные» коммерческие и некоммерческие компьютерные программы,
основным назначением которых является выполнение других функций, не связанных с
самостоятельным распространением.

Далее, в определении сделан акцент именно на самостоятельное
распространение.

Дело в том, что многие программы содержат в себе средства
распространения, например, по узлам локальной интрасети. В качестве примера
можно привести программные агенты систем резервного копирования данных, агенты мониторинга сетевой активности и пр.

Но, несмотря на специально созданные для упомянутых агентов
средства распространения, эти программы нельзя считать вирусными, т.к. они
распространяются не самостоятельно, а по инициативе и под руководством
системного администратора.

В определении компьютерного вируса намеренно не делается
акцент на вредоносных действиях.

Дело в том, что существуют компьютерные вирусы, не
обладающие таким действием. Единственной функцией этих вирусов является
распространение. Некоторые вирусы могут даже делать что-то «полезное»,
например, уничтожать другие вирусы, оптимизировать использование дискового
пространства и т.п.

Тем не менее, отсутствие указания на вредоносный характер
программного кода в определении компьютерного вируса не означает, что могут
быть «безвредные» вирусы. Все компьютерные вирусы следует рассматривать как
вредоносные, потому что уже сам факт их распространения может нанести ущерб
информационной системе.

Загрузочные вирусы

Процесс загрузки операционной системы (ОС) с диска или дискеты производится в несколько шагов. На первом шаге программа загрузки считывает
содержимое специальных областей диска, называемых загрузочными записями.

Загрузочные записи обычно расположены в самом начале диска
(или дискеты), и содержат программный код, необходимый для выполнения следующих
шагов загрузки ОС.

Главная загрузочная запись, находящаяся на жестком диске, называется MasterBootRecord (MBR). Аналогичная запись на дискете носит название BootRecord (BR).

Этим обстоятельством воспользовались создатели компьютерных
вирусов, создавшие так называемый загрузочный вирус:

Загрузочный
вирус — такой вирус, который записывает свой код в главную загрузочную
запись Master Boot Record диска или загрузочную запись Boot Record диска и дискет.

Загрузочный
вирус активизируется после загрузки компьютера

Загрузочный вирус получает управление до программы загрузки
ОС, в результате чего процедура управления выполняется под контролем вируса.

При заражении дискеты или жесткого диска компьютера
загрузочный вирус заменяет загрузочную запись или главную загрузочную запись.
Настоящая загрузочная запись или главная загрузочная при этом запись обычно не
пропадает (хотя так бывает не всегда). Вирус копирует их в один из свободных
секторов (см. рис. 1-4).

Рис. 1-4. Загрузочный вирус сохраняет исходное
содержимое загрузочного сектора

Загрузочные вирусы распространяются через загрузочные записи
дискет. Обычно это происходит, если пользователь предпринимает попытку
загрузить ОС с зараженной дискеты. Чаще всего это происходит, когда
пользователь забывает вынуть дискету из компьютера после окончания работы.

На рис. 1-5 мы показали исходное содержимое загрузочного
сектора.

Рис. 1-5. Исходное содержимое загрузочного сектора

На рис. 1-6 представлен тот же сектор, что и на рис. 1-5, но
зараженный вирусом Form.

Рис. 1-6. Фрагмент вируса Form в загрузочном секторе

1.3 Признаки заражения вирусом

Если вы подозреваете, что компьютер заражен вирусом, или уверены в этом,
то ниже перечислены некоторые основные признаки заражения компьютера:

.        Компьютер работает медленнее, чем обычно.

.        Компьютер перестает отвечать или периодически блокируется.

.        В работе компьютера происходит сбой, затем он перезагружается
каждые несколько минут.

.        Компьютер самопроизвольно перезагружается. Кроме того, компьютер
работает не так, как обычно.

.        Приложения, установленные на компьютере, работают неправильно.

.        Не удается получить доступ к дискам.

.        Не удается правильно распечатать документы.

.        Появляются необычные сообщения об ошибках.

.        Меню и диалоговые окна отображаются в искаженном виде.

.        Недавно открытое вложение имеет двойное расширение (JPG, VBS,
GIF или EXE).

.        Антивирусная программа почему-то оказалась отключена. Кроме
того, ее не удается запустить снова.

.        Антивирусную программу невозможно установить или запустить.

.        На рабочем столе появляются новые значки, которые туда никто не
помещал, или значки, не связанные с последними установленными программами.

.        Динамики неожиданно воспроизводят странные звуки или музыку.

.        С компьютера самопроизвольно удаляются приложения.

Макрокомандные вирусы

В середине 90-х годов впервые появились компьютерные вирусы,
атакующие не программные файлы, а файлы документов пакета программ MicrosoftOffice.

В отличие от ранее известных вирусов, вирусы, заражающие
файлы документов, состоят не из команд центрального процессора компьютера, а из макрокоманд языка WordBasic.

Эти вирусы получили название макрокомандных вирусов:

Макрокомандный
вирус прикрепляется к файлам офисных документов и распространяется вместе с
ними.

Макрокомандные
вирусы написаны с использованием интерпретируемого языка программирования,
встроенного в офисные приложения для автоматизации обработки офисных
документов

Первый главный секрет первого вируса WinWord.Concept и практически всех остальных известных нам сегодня вирусов для текстового
процессора Microsoft Word, заключается в том, что он использовал возможность
сохранения файла документа в формате файла стилей.

Файл, зараженный макрокомандным вирусом, можно открыть как
обычный файл документа. Его можно редактировать и сохранить изменения на диске.
Единственное, что нельзя с ним сделать, так это сохранить файл в другом
формате, например в формате документа или в формате RTF.

Если выбрать из меню File строку Save As, то в
открывшемся диалоговом окне Save As список Save File as Type,
будет показан серым цветом и не доступен для выбора. Такой «дефект» трудно
заметить, потому что операция сохранения файла в другом формате выполняется
достаточно редко.

Рис. 1-7. Диалоговаое окно Save As

Макрокомандный вирус размножается, изменяя код стандартных
макрокоманд, предназначенных, например, для открытия и сохранения файла. Вместе
с выполнением полезных функций измененные макрокоманды будут сохранять тело
вируса в других документах MicrosoftOffice.

Макрокомандные вирусы получили широкое хождение после
возникновения и широкого распространения пакета программ MicrosoftOffice.

Хотя первые макрокомандные вирусы поражали только документы
Microsoft Word, вскоре появились макрокомандные вирусы и для других приложений MicrosoftOffice.

Фактически макрокомандные вирусы можно создать для
документов, создаваемых любыми приложениями, если помимо данных внутри
документов хранятся макрокоманды, а язык макрокоманд допускает не только
чтение, но и запись файлов.

Современные антивирусы обнаруживают макрокомандные вирусы,
сканируя содержимое документов.

Компьютерные вирусы, их свойства и классификация

Сегодня используются такая структура персональных компьютеров, при которой пользователю доступны все машинные ресурсы. Именно эта организация позволила появиться угрозе, названной компьютерным вирусом. Вирусом является компьютерная программа. Этот простой посыл развеял большое количество легенд о запредельных свойствах вирусов. Вирусная программа способна повернуть картинку на дисплее, но не способна повернуть сам дисплей. Легенды о вирусах, способных уничтожить пользователя путём отображения на мониторе смертельной гаммы цветов в двадцать пятом кадре, являются только легендами, не имеющими ничего общего с действительностью.

Вирусная программа обладает свойством самовоспроизведения. Этим свойством обладают все типы вирусов. Но это свойство присуще не только вирусам. Все операционные системы и некоторые программы обладают возможностью формировать свои копии. Но вирусные копии не обязательно во всём совпадают с оригиналом, более того, они могут быть полностью другими.

На текущий момент существует больше пяти тысяч вирусных программ, они классифицируются по таким признакам:

1. Среда обитания.
2. Методы заражения среды обитания.
3. Осуществляемые действия.
4. Применяемый алгоритм.

По среде обитания вирусы делятся на сетевые, файловые, загрузочные и комбинированные (файловые и загрузочные). Сетевые вирусы внедряются в разнообразные компьютерные сети. Файловые вирусы проникают обычно в файлы, имеющие исполняемое расширение, то есть расширения COM и EXE.

Целью загрузочных вирусов являются Boot-сектора (загрузочные) или сектора, которые содержат загрузочный модуль системного диска (Master Boot Re-cord). Файлово-загрузочные вирусные вложения проникают в обе эти системы.

По методу заражения вирусные программы подразделяются на резидентные и нерезидентные. Резидентные вирусы засылают свою базовую часть в оперативную память компьютера, которая затем получает контроль над обращениями операционной системы к различным файлам и выполняет внедрение в них. Нерезидентные вирусные программы не поражают оперативную память и могут быть в активном состоянии в течение определённого времени.

По осуществляемым действиям вирусные программы подразделяются на такие типы:

1. Не представляющие опасности, то есть они не мешают функционированию компьютера, но сокращают объём доступной оперативной памяти и дисковой памяти. Их действия могут проявляться в графике или эффектах звука.
2. Вирусы, представляющие опасность, то есть они вызывают нарушения работы компьютера.
3. Чрезвычайно опасные вирусы, то есть такие которые уничтожают данные.

По алгоритмическим особенностям вирусы сложно классифицировать, так как здесь имеется очень большое разнообразие.

Что лучше — предустановленный или сторонний антивирус

На большинстве устройств антивирусы предустановлены. Например, на устройствах Apple это система XProtect, а на компьютерах Windows — Microsoft Defender. Разберёмся, в чём разница между предустановленными и сторонними программами.

Поговорим о предустановленных антивирусах на примере Microsoft Defender. Он защищает устройство в реальном времени и включает в себя брандмауэр. Это программа, которая контролирует подключение к интернету и защищает от сетевых угроз. Например, она не даст открыть вредоносный сайт. Дополнительных функций — например, защиты платежей — в Microsoft Defender нет. Обычно их нет и в других предустановленных программах.

Бизнес-аналитик «Философии.ИТ» Никита Саввин говорит, что Microsoft Defender и подобные ей программы предоставляют базовую защиту. Они могут защитить устройство от простого вируса и предупредить, если вы заходите на вредоносный сайт.

Если нужно хранить и обрабатывать конфиденциальные данные, использовать онлайн-банкинг или решать другие подобные задачи, нужен коммерческий антивирус, считает руководитель отдела разработки и внедрения программного обеспечения в Comrad Николай Попадюк.

Поэтому лучше установить сторонний антивирус. Для этого придётся отключить встроенный. Он может запретить скачивание сторонней антивирусной программы, потому что посчитает её вредоносной.

Почтовые вирусы

Вместе с ростом популярности Интернета повсеместно
распространилась электронная почта, представляющая собой один из наиболее
важных сервисов этой всемирной сети.

По каналам электронной почты передается огромное количество
деловой и личной почты, а от работоспособности этого сервиса зависит успешность
деятельности огромного количества компаний.

Популярностью электронной почты воспользовались разработчики
вирусов, создав новый тип вирусов — почтовые вирусы:

Почтовый
вирус использует для своего распространения каналы электронной почты.

Заражение
почтовым вирусом происходит в результате действий пользователей,
просматривающих почту, а также из-за ошибок в почтовых программах и
операционных системах

Известно, что вместе с электронным сообщением можно предать
любые файлы (рис. 1-8). Такие файлы называются присоединенными или файлами вложений (attachment file).

Рис. 1-8. Файл вложения внутри сообщения электронной
почты

Файлы вложений таят в себе угрозу для компьютера —
через них на компьютер может проникнуть вирус, червь, троянская или другая
вредоносная программа.

Кроме того, сообщение электронной почты может передаваться в
виде документа HTML, которые обычно служат основой для создания Web-сайтов Интернета.

Привлекательность такого формата для сообщений электронной
почты заключается в том, что он допускает произвольное форматирование текста
сообщения, а также добавление в сообщение ссылок на ресурсы Интернета,
изображений и активных компонентов, таких как аплеты Java и  элементы управления ActiveX.

Если сообщение электронной почты передается в формате HTML, то оно представляет потенциальную угрозу для
получателя. Сообщение может содержать ссылку на вредоносный компонент,
размещенный где-либо в Интернете, а также вредоносный программный код,
активизирующийся при просмотре сообщения.

Попав на компьютер пользователя, почтовый вирус может разослать
свой код по адресам, извлеченным из книги электронных адресов почтовой
программы, установленной на компьютере. Это позволяет почтовому вирусу быстро
распространяться по Интернету.

Обычные антивирусные программы, рассчитанные на проверку
файлов и дисков, не всегда способны обнаружить вирусы в сообщениях электронной
почты. Это происходит потому, что такие сообщения хранятся в базах данных
почтовых программ, имеющих различный формат.

Современные антивирусы умеют не только сканировать базы
данных сообщений распространенных почтовых программ, но и нейтрализуют почтовые
вирусы непосредственно на почтовых серверах, а также на рабочих станциях
(персональных компьютерах) до того, как сообщения попадут в почтовую программу.

С этой целью почтовые программы сканируют «на лету» потоки
данных протоколов SMTP, POP3 и IMAP, предназначенных для передачи сообщений электронной почты.

В настоящее время почтовые вирусы представляют собой
наибольшую опасность, так как они встречаются намного чаще вирусов других
типов.

Известные и неизвестные вирусы

В нашей книге мы будем часто упоминать такие понятия, как
известные и неизвестные вирусы. С этими понятиями тоже возникает путаница из-за
их неоднозначного толкования.

Все основные компании, специализирующиеся на создании
антивирусных программ и средств, собирают по всему миру информацию о
существующих и новых вредоносных программах и обмениваются этой информацией.

Собранная таким образом информация добавляется антивирусными
компаниями в так называемые вирусные базы данных. Вирусные базы данных являются важнейшим компонентом всех антивирусных программ, так как они содержат
сведения об обнаруженных вредоносных программных объектах.

Вот правильное определение известного компьютерного вируса:

Известный
вирус — ранее обнаруженный и изученный компьютерный вирус, добавленный в
базу данных антивирусной программы

Как видите, основным критерием принадлежности вирусов к
категории известных является факт добавления его в вирусную базу данных
антивирусной программы.

Если тот или иной вирус содержится в базе данных
антивирусной программы, то такой вирус будет для этой программы известным, а
если нет — неизвестным.

Неизвестный
вирус — компьютерный вирус, описание которого отсутствует в базе данных
антивирусной программы

Что же касается распространенности сведений о вирусе среди
компьютерной общественности, то в рамках нашего определения этот аспект не
имеет никакого значения.

Все антивирусные программы в состоянии обнаружить и
нейтрализовать известные вирусы. Поэтому для успешной антивирусной защиты
необходимо заботиться о постоянном обновлении вирусной базы данных.

13.4.Какие бывают вирусы

Рассмотрим основные виды вирусов. Существует большое число различных классификаций вирусов:

• по среде обитания:
  • сетевые вирусы, распространяемые различными компьютерными сетями;
  • файловые — инфицируют исполняемые файлы, имеющие расширение exe и com.
    К этому же классу относятся и макровирусы, написанные с помощью макрокоманд.
    Они заражают неисполняемые файлы (в Word, Excel);
  • загрузочные — внедряются в загрузочный сектор диска или в сектор,
    содержащий программу загрузки системного диска. Некоторые вирусы
    записываются в свободные секторы диска, помечая их в FAT-таблице как плохие;
  • загрузочно-файловые — интегрируют черты последних двух групп;
• по способу заражения (активизации):
  • резидентный вирус логически можно разделить на две части — инсталятор
    и резидентный модуль. При запуске инфицированной программы управление получает инсталятор,
    который выпоняет следующие действия:
    1. размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того,
       чтобы последний хранился в ней постоянно;
    2. подменяет некоторые обработчики прерываний, чтобы резидентный модуль
       мог получать управление при возникновении определенных событий.
  • нерезидентный вирусы не заражают оперативную память и проявляют свою
    активность лишь однократно при запуске инфицированной программы;
• по степени опасности:
  • не опасные — звуковые и видеоэффекты;
  • опасные — уничтожают часть файлов на диске;
  • очень опасные — самостоятельно форматируют жесткий диск;
• по особенностям алгоритма:
  • компаньон-вирусы не изменяют файлы. Алгоритм их работы состоит в том, что
    они создают для exe-файлов новые файлы-спутники (дубликаты), имеющие то же имя, но
    с расширением com. (com-файл обнаруживается первым, а затем вирус запускает exe-файл);
  • паразитические — при распространении своих копий обязательно изменяют
    содержимое дисковых секторов или файлов (все вирусы кроме компаньонов и червей);
  • черви (репликаторы) — аналогично компаньонам не изменяют файлы и
    секторы диска. Они проникают в компьютер по сети, вычисляют сетевые адреса других
    компьютеров и рассылают по этих адресам свои копии. Черви уменьшают пропускную
    способность сети, замедляют работу серверов;
  • невидимки (стелс) — используют набор средств для маскировки своего
    присутствия в ЭВМ. Их трудно обнаружить, т.к. они перехватывают обращения ОС
    к пораженным файлам или секторам и подставляют незараженные участки файлов;
  • полиморфики (призраки, мутанты) — шифруют собственное тело
    различными способами. Их трудно обнаружить, т.к. их копии практически не
    содержат полностью совпадающих участков кода;
  • троянская программа — маскируется под полезную или интересную
    программу, выполняя во время своего функционирования еще и разрушительную работу
    или собирает на компьютере информацию, не подлежащую разглашению. В отличие от вирусов,
    троянские программы не обладают свойством самовоспроизводства.
• по целостности:
  • монолитные — программа представляет единый блок;
  • распределенные — программа разделена на части. Эти части содержат инструкции,
    которые указывают как собрать их воедино, чтобы воссоздать вирус.

Способы защиты от компьютерных вирусов

Чтобы защитить персональный компьютер от вирусов можно применять:

1. Общие методы информационной защиты, которые нужны, как и защита от непосредственной поломки жёстких дисков, неправильных пользовательских действий.
2. Методы профилактики, которые существенно уменьшают возможность вирусного заражения.
3. Специальные программные приложения, защищающие от вирусов.

Общие методы информационной защиты защищают не только от вирусов, и существуют такие их типы:

1. Резервное копирование информации.
2. Установка уровней доступа к данным.

Общие методы информационной защиты имеют важное значение, но, тем не менее, этого мало. Следует применять специальные антивирусные программы

Антивирусы делятся на следующие виды:

1. Программы детекторы.
2. Докторские программы.
3. Программы ревизоры.
4. Программы, совмещающие докторские и функции ревизора.
5. Программы иммунизации (вакцины и фильтры).

Вирусы для пиринговых сетей

В современном Интернете имеется большое количество сетей,
предназначенных для обмена файлами без применения централизованного сервера.
Эти сети позволяют пользователям Интернета свободно обмениваться музыкальными
файлами, программами и другой информацией.

Эти сети часто называются файлообменными или пиринговыми. Последнее из этих названий происходит от названия применяемого в
таких сетях способа обмена данными узел-узел (Peer-To-Peer).

Для пиринговых сетей разработчиками вредоносных программ
были созданы специальные вирусы, называемые вирусами для пиринговых сетей:

Вирус
пиринговых сетей  — это вредоносная программа, специально предназначенная
для систем обмена файлами между компьютерами пользователей Интернета, такими
как Kazaa, Windows Messenger, ICQ и т.д.

Чтобы такой вирус попал на компьютер пользователя пиринговой
сети, пользователю требуется выполнить какое либо действие, например, загрузить
и запустить на выполнение файл.

1.2 Выяснение сведений о вирусе

Если какая-либо из программ-детекторов сообщит о том, что она нашла
известный ей вирус, то желательно прочесть в её документации или встроенном
справочнике сведения о данном типе вируса. Например, в комплект поставки
программ-детекторов Aidstest и Doctor
Web входят текстовые файлы с описаниями знакомых им вирусов. Сведения о вирусах
позволят Вам оценить возможные последствия заражения и выбрать необходимые меры
по их устранению. Например, если компьютер оказался заражён неопасным
загрузочным вирусом, то кроме удаления вируса с жёсткого диска и дискет,
которыми Вы пользовались, делать ничего не надо. А устранение последствий
устранения вирусом, изменяющим случайно выбранные участки диска, могут быть
гораздо серьёзнее — обычно при этом приходиться заново устанавливать все пакеты
программ с дистрибутивов, а собственные данные — с резервных копий.

Что такое антивирус

Антивирус (или антивирусная программа) — это программа, которая борется с вирусами. Она делает так, чтобы вирус не смог попасть на устройство, а если вирус всё-таки попал — обнаруживает и уничтожает его.

Компьютерные вирусы — это вредоносные программы. Они могут попасть на устройство разными путями. Например, есть опасность заразить компьютер или телефон, если скачивать файлы из интернета, переходить по подозрительным ссылкам и подключать флешки.

Вирусы выводят из строя устройства, крадут или повреждают данные. Они способны незаметно включать микрофон или камеру гаджета и следить за пользователем. Могут заблокировать доступ к файлам и потребовать денежный выкуп.

В зависимости от поведения вирусы можно разделить на типы.

Черви. Червь — вредоносная программа, которая копирует себя и распространяется, используя уязвимости сети. Червь попадает на устройство, например, через вложения в электронной почте или скачивание файлов из соцсетей. Черви похищают конфиденциальную информацию.

Adware. Это программы, которые устанавливаются на устройство без разрешения пользователя. Они показывают рекламу: большое количество баннеров, рекламных объявлений и видеороликов. Разработчики таких вирусов получают доход за счёт показа рекламы.

Боты. Вредоносные алгоритмы, запрограммированные на взлом учётных записей пользователей, сбор контактной информации и рассылку спама. Часто попадают на устройство через загрузку под видом картинок или видео.

Вымогатели. Эти программы блокируют экран устройства или даже шифруют данные. После этого они показывают сообщение с требованием перевести деньги за разблокировку экрана или дешифровку данных по указанным реквизитам.

Руткиты. Вредоносные программы, которые маскируются под часть операционной системы. Злоумышленники используют их, чтобы украсть персональные данные или вывести из строя устройство. Также их могут применять для криптоджекинга — ресурсы компьютера будут уходить на добычу криптовалюты для владельца вируса.

Трояны. Вирусы, которые маскируются под обычные программы. После взлома они контролируют устройство, извлекают личные данные или загружают другое ПО. У них есть разновидности:

• Дропперы устанавливают на устройство другое вредоносное ПО.
• Шпионские программы следят за работой приложений, считывают вводимые с помощью клавиатуры данные, делают скриншоты.
• Банковские трояны получают доступ к банковским счетам.
• Бэкдоры повышают уязвимость системы, открывая доступ для других вирусов.

Кроме того, есть SMS-трояны, похитители игровых аккаунтов, трояны для DDoS-атак, имитаторы антивирусов, кликеры и другие типы троянских вирусов.

Сложно сказать, какой вирус самый опасный, считает эксперт в вопросах информационной безопасности Сергей Белов. Уровень угрозы зависит от многих факторов. Одним из самых опасных вирусов считают сетевого червя WannaCry, который шифровал файлы. Его распространили в мае 2017 года по компьютерам под управлением Windows. Он быстро расходился и заражал среди прочего большие организации.

Кроме обычных вирусов, в интернете есть и другие угрозы, говорит бизнес-аналитик компании «Философия.ИТ» Саввин Никита. Например, хакерские и фишинговые атаки. Но это не значит, что антивирусы не нужны — их стоит использовать и на личных, и на рабочих устройствах.