Вирусите: битката едва сега започва

Въпреки крехката си възраст, компютърните вируси все по-често са номер едно в заглавията на вестниците. Дали щетите, които могат да нанесат, са реални или въображаеми, зависи от много фактори, но те силно тревожат потребителите, още повече че малцина имат реална политика за сигурност. Michelangelo, Melissa, CIH, Papa, LadyDi… В настоящия момент компютърните вируси наброяват около 40 хиляди. Родоначалникът на всички - Brain (мозък) - e създаден през 1996 г. от двама пакистанци, които искали да накажат чуждестранните туристи, дошли да купят от тях пиратски софтуер. Колкото до теорията за вирусите, тя е документирана за първи път предходната година от един американски изследовател. Още през 60-те години се говореше за "червеи" - програми, чиято единствена функция е да се размножават, т.е. да унищожат системата, която ги е подслонила. Какво всъщност представлява ком-пютърният вирус? Подобно на биологичния си събрат информационният вирус има 2 функции: да се разпространява и да оказва в по-голяма или по-малка степен "злонамерено" въздействие върху домакина. Тази програмка е уникална по рода си. Днес съществуват 3 големи фамилии вируси. Първи бяха "boot" вирусите Те се крият в т.нар. "boot" сектор на устройствата за съхранение на данни, в който се съдържа специфична информация за формата на устройството, записаните на него данни, както и малка програмка, зареждаща системните файлове на DOS или даваща съобщението за грешка. При изпълнението ґ вирусът попада в паметта, а оттам на харддиска. Brain, първият вирус в историята, беше именно "boot" вирус. След това се появиха и файловите, които могат да заразят всяка програма. Първите вируси от този род атакуваха единствено 16-битовите приложения под DOS. Те бяха сравнително лесно откриваеми, тъй като приютилите ги файлове увеличаваха значително размера си. При първото изпълнение на програмата вирусът се настанява в паметта и оттам се опитва да зарази стартираните впоследствие здрави програми. Поради голямото разпространение на Windows приложенията, целите на този вирус са силно ограничени. На програмистите им трябваше все пак известно време да приспособят файловите вируси към Windows приложения и да пуснат на свобода първите 32-битови "бацили". Тези вируси са вече добре известни, въпреки че програмирането им е доста трудоемко - един от най-прочутите е Чернобил (CIH). Най-страшни обаче се оказват не "boot" и файловите. В действителност те атакуват части на PC, които са лесно заменими. Така инфектиран boot сектор може да бъде заменен с проста DOS команда. А заразена програма просто се изтрива и заменя от нова здрава версия. Именно поради тази причина третата фамилия вируси - тази на макровирусите има такъв успех. Тя атакува най-ценното на твърдия диск - данните. Представете си, че не можете да спасите доклад от 200 страници, изтрит от вирус - загубата на време и ресурси за потребителя е ужасна. Според изданието Virus Buletin (справочно издание за професионалистите, занимаващи се с антивирусен софтуер) повече от две трети от регистрираните вирусни атаки са били от макровируси. Как действа макровирусът? Този тип вируси се базира главно на автоматизираните макроси, т.е. те се изпълняват без заявка от потребителя, например при отваряне на файл, в момента на разпечатването му или при съхранението му. Тогава вирусът започва злосторничествата си: той се крие във файлове като шаблона по подразбиране на Word, който служи за база при създаване на всички текстови документи. Microsoft, чийто офис пакети са основни цели за почти всички макровируси, сама подаде оръжието за атака. Търсейки да обобщи език като VBA (Visual Basic for Applications), тя предложи на създателите на вируси мечтана платформа за развитие. Вирус, създаден под Word на PC, може да зарази също Excel на Mac или WordPerfect на PC. Първите многоплатформени вируси си подадоха вече носовете, а потребителите продължават да се обливат в студена пот. Някои издатели размахват редовно опасността от Java или ActivX вируси, които се разпространяват по Интернет. За щастие тези вируси съществуват само в някои лаборатории. Като цяло защитите, предвидени от Sun и Microsoft, ограничават силно възможностите за инфекция. За 13 г. съществуват "само" 3 фамилии вируси. Като се има предвид успеха на макровирусите, не се очаква в скоро време създаването на нов вид. Още повече че в другия лагер създателите на антивирусни програми отблъскват атаките и се опитват да спрат заразите. Има три основни метода за откриване и изкореняване. Първият, който е и най-разпространен, е сканирането. Той се основава на принципа, че всеки вирус остава някакъв отпечатък, който позволява разпознаването му. Следите на всички познати вируси се съхраняват в БД и антивирусът се опира на нея при опита си да открие евентуалното присъствие на злонамерена програма. Този метод обаче поставя много проблеми. При сканирането се откриват само познатите вируси, т.е. възможно е промъкването на някой нов. Този аспект е маловажен за големите предприярия, където обновяванията са автоматизирани и сравнително чести, затова пък средният и дребен бизнес може сериозно да пострада. Днес вирусите са все по-многобройни, базите данни имат тенденции за неограничено нарастване, което пък увеличава времето за детекция. Някои създатели на антивирусни програми премахват от своите БД вирусите, считани за затихнали (според статистика за инфекции). Обновяването на БД не включва и поправяне на инфектираните файлове, като VirusScan на Network Associates. Продукт като Norton Utilities не проверява целостта на много програми като excel.exe и winword.exe. Инфектирани, те не се възстановяват, и остават източник на зараза за твърдия диск. Вижда се, че пропагандираният метод на сканирането не е достатъчен. Добре е той да бъде комбиниран с друг - като един от най-известните е проверка на целостта. Той се състои в изчисляването на контролна сума за всеки файл, податлив на зарази, после преизчислява тази сума при всяка нова проверка. В случай че констатира изменения, потребителят трябва само да възстанови с или без помощта на антивирусен софтуер заразения файл. Въпреки това контролът на целостта е неефективен срещу макровирусите. В действителност документите, които могат да приютят такъв вирус, често са модифицирани от потребителя, което променя и контролната сума. Какво представлявава евристичният метод. Антивирусният продукт проверява във всеки момент поведението на компютъра и предупреждава потребителя в случай на подозрителни операции (форматиране на диска, модификация на boot сектора….). Евристичният метод е ефикасен по отношение на новите вируси, които все още не са вписани в базата данни при сканиране. Това обаче води до многобройни фалшиви тревоги , които нервират и обезкуражават потребителя, който деактивира антивирусният софтуер. Изводът е налице - няма нито един класически метод за откриване и ограничаване на вирусите, на когото можем спокойно да се доверим. Ситуацията е неравна за платформите Файловите и boot вируси за Macintosh са много малко в сравнение със събратята им за PC. Освен това концепцията им е достатъчно стара, за да се разпознават и овладяват. Това не се отнася обаче за макровирусите, които са еднакво ефикасни при офис инструментите на Microsoft за Mac и PC. Макровирус, създаден под Word за PC, може безпроблемно да инфектира документи, създадени под Mac. Именно поради тази причина софтуеристите на антивирусни продукти за Mac като Symantec със SAM предлагат нови версии на програмите си. Ситуацията е същата и за OS/2: тази система е девствена за всякакви вируси. Могат да ги атакуват само минаващите през Microsoft Office. В настоящия момент няма нито един вирус за Linux. Трите вирусни фамилии Boot вирус: от тази категория са Stoned, Antiexe, Michaelangelo Проникване: При стартиране на PC-то чрез поставена във флопито дискета, съдържаща вируса Заразяване: Вирусът се настанява в паметта и инфектира boot сектора на твърдия диск Копиране: Вирусът се разпостранява Заразни 32-битови изпълними програми (*.exe), напр. CIH, Boza File.exe + вирус Затруднения: Сравнително сложни за разработка, вирусите, заразяващи 32-битови изпълними файлове, са и най-опасни. Те могат да "измамят" антивирусната защита, да останат резидентни и да атакуват директно системните ресурси на машината Поява: чрез инфектиран *.exe файл. File.exe здрав File.exe здрав + вирус Заразяване: Той заразява здрав изпълним файл Разпространение: Вече и здравият файл е заразен 10 препоръки за ефикасна защита Ограничете достъпа до компютъра до малък брой потребители. Увеличете броя на паролите за достъп. Използвайте поне два различни антивирусни продукта. Никога не отваряйте директно преточените от Интернет файлове. Анализирайте прикачените към електронната поща файлове. Не използвайте офис инструментите на Microsoft или в най-лошия случай дезактивирайте автоматичните макроси. Съхранявайте често данните си. Слагайте данните си на отделен логически дял или в мрежата. В случай че използвате определен антивирусен софтуер за сканиране, обновявайте го по-често. Никога не използвайте пиратски софтуер. По Distributique

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!