Файловые черви. Файловые черви создают собственные копии с привлекательными для пользователя названиями (например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.
Вирусы-звенья. Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе.
Паразитические вирусы. Паразитические вирусы — это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу.
Вирусы, поражающие исходный код программ. Вирусы данного типа поражают исходный код программы или её компоненты (.OBJ, .LIB, .DCU), а также VCL и ActiveX-компоненты. После компиляции программы оказываются встроенными в неё. В настоящее время широкого распространения не получили.
Каналы распространения.
Дискеты. Самый распространённый канал заражения в 1980-90 годы. Сейчас практически отсутствует из-за появления более распространённых и эффективных каналов и отсутствия флоппи-дисководов на многих современных компьютерах.
Флеш-накопители (флешки). В настоящее время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В последней версии MSWindows под торговым названием Windows 7 возможность автозапуска файлов с переносных носителей была устранена. Флешки — основной источник заражения для компьютеров, не подключённых к Интернету.
Электронная почта. Сейчас один из основных каналов распространения вирусов. Обычно вирусы в письмах электронной почты маскируются под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В некоторых письмах могут содержаться действительно только ссылки, то есть в самих письмах может и не быть вредоносного кода, но если открыть такую ссылку, то можно попасть на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.
Системы обмена мгновенными сообщениями. Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через другие программы мгновенного обмена сообщениями.
Веб-страницы. Возможно также заражение через страницы Интернета ввиду наличия на страницах всемирной паутины различного «активного» содержимого: скриптов, ActiveX-компонент.
В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи, зайдя на такой сайт, рискуют заразить свой компьютер.
Интернет и локальные сети (черви). Черви — вид вирусов, которые проникают на компьютер-жертву без участия пользователя. Черви используют так называемые «дыры» (уязвимости) в программном обеспечении операционных систем, чтобы проникнуть на компьютер. Уязвимости — это ошибки и недоработки в программном обеспечении, которые позволяют удаленно загрузить и выполнить машинный код, в результате чего вирус-червь попадает в операционную системы и, как правило, начинает действия по заражению других компьютеров через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.
Вирусописатели.
На настоящий момент технологии создания вирусов продвинулись настолько, что в создании новых вредоносных программ необходимо не только соответствующее образование, но и, можно так сказать, некоторая гениальность. По всему миру действуют группы вирусописателей, работающих в командах. Время одиночек постепенно уходит. На настоящий момент известны следующие команды (известны, по крайней мере, их названия): 29А[iv], Phalcon/SKISM[v], MisdirectedYouth, и пр. Эти группы на своих сайтах рекрутируют в свои ряды новых членов, и зачастую базируются физически в тех местах, откуда их нелегко достать юридически.
Вирусописание – это своеобразная религия. Вот несколько заповедей от одного из самых почитаемых в сети авторов – TheDarkAvenger[vi]. Вот один из вариантов, переведенный с болгарского его последователями[vii]:
1. Пиши свой собственный код, ибо нет Искусства в копировании. Учись у других, но будь оригинальным.
2. Не забывай о разрушительном коде, ибо в нашем мире уважают лишь тех, кто имеет оружие.
3. Не программируй переписывающие коды, оставь сие сосункам и займись стоящим делом.
4. Помни о том, что программирование вирусов — это высокое Искусство, и оно должно оставаться таким.
5. Не отказывайся от творчества даже в угоду деньгам, ибо глупо писать бесполезные коды.
6. Вирусы — наши дети. Когда ты создал и вырастил их, отпусти своих деток в мир как дар своего мастерства для услады других творцов и в назидание невежественным пользователям.
7. Не выдавай секретов братства подлым слугам империи Авиров (создателей антивирусов).
8. Сражайся за свои права. Сеть дала людям право на свободный доступ к любой информации. Не позволяй лишать себя и других этого бесценного дара. Используй Искусство и свои навыки против захватчиков свободы и информации.
9. Поощряй стремление к Искусству у других людей и обучай любого, кто стремится к истинному знанию.
10. Продолжай исследовать и развивать Искусство до конца своей жизни.
Сейчас эти заповеди часто подаются в таком виде: 1. Не создавай переписывающие вирусы. 2. Не воруй готовые вирусы и не меняй копирайты. 3. Не распространяй сырые коды. 4. Не пересылай исходные коды антивирусным компаниям. 5. Не хвались своими вирусами. 6. Не распространяй свои вирусы среди друзей. 7. Не инфицируй свою машину. 8. Пиши вирусы только в Ассемблере. 9. Не вставляй в вирусы тупые сообщения. 10 Не выставляйся в Сети как создатель вирусов. Отловят — пожалеешь.
Все эти заповеди окрашены некой мистикой, возвышенностью, но на самом деле это преступления. Процесс поиска вирусописателей идет, их находят, штрафуют, приговаривают к тюремному заключению. В Российской Федерации противодействовать авторам вирусов пытается Управление «К» ФСБ России[viii].
Антивирусные пакеты
При огромном количестве антивирусных пакетов, предоставляемых независимыми лабораториями, зачастую неспециалисту трудно разобраться, какой же из них устанавливать на свой компьютер. Все антивирусные программы имеют свои особенности, в обнаружении каких-то вирусов они хороши, каких-то просто не замечают. Казалось бы, установка нескольких пакетов могла бы помочь делу, но и тут не все так просто: антивирусные программы часто используют те же технологии и схемы для поиска вирусов, что и сами вирусы. Допустим, один антивирусный пакет стал лечить какой-либо файл, то есть фактически изменять его, а другой в это же время будет кричать пользователю о вирусе под названием антивирус. Тем не менее, в этом случае лучше перестраховаться, чем оставить дыры. Поставщики разработали рекомендации по установке, которые следует читать внимательно. Иногда стоит установить несколько, и одна будет хороша в поиске троянов, другая – вирусов, руткитов и пр.
Выбор антивируса для своего рабочего места – дело серьезное. Существует огромное количество рейтингов и тестов, и часто результаты грешат необъективностью. Всегда можно создать такие условия теста, в которых тестируемая программа покажет лучшие результаты, чем ее соперники. Подобрать такие вирусы для анализа, которые требуемый фаворит узнает в 100 из 100 случаях, добавить несколько не опознающихся программой, чтобы не было подозрительных 100%, и требуемый победитель побеждает. При анализе этих тестов видно, тем не менее, что некоторые программы работают лучше, чем другие, практически во всех случаях. Можно даже гордиться тем, что лучшие из них – именно российские. Вот примерный топ антивирусных пакетов по вирусозащите на февраль 2010 года по версии сайта anti-malware.ru[ix], который, как кажется, довольно объективен.
1-2 место: Dr.WebAnti-Virus ( «Доктор Вэб», Россия), KasperskyAnti-Virus («Лаборатория Касперского», Россия);
3. Avast! Professional Edition (Avira GmbH, Германия);
Далее идет огромное количество антивирусных пакетов, начиная от Microsoft Security Essentials (Microsoft, США) и заканчивая слабыми пакетами, такими, как Fortinet, Comodo, BitDefender.
Отечественные производители антивирусов имеют как платные, так и бесплатные версии своих продуктов, причем бесплатные мало чем хуже платных. К тому же очень часто провайдеры предлагают какое-то платное решение от компании партнера бесплатно. Таки образом поступает, например, сеть, известная как Corbina, в настоящее время идущая под брендом компании Вымпелком (BeeLine).
При всем при этом пользователи часто предпочитают бесплатные антивирусные пакеты, которые часто не могут предоставитьнадежную защиту. Вот наиболее популярные антивирусные программы по версии сайта сomss.ru[x] по скачиванию в интернете (букво-символьные выражения означают версию программы):