В большинстве маленьких фирм среди проблем компьютерной безопасности на первое место выходит защита компьютеров от вредоносных программ. Несанкционированный доступ или утечки информации далеко не так актуальны — у многих взламывать попросту нечего, некому или незачем. Зато от вредоносных и нежелательных программ время от времени страдают почти все!

Часто такие программы называют «компьютерными вирусами». На самом деле это не совсем правильно, ведь вирусы — лишь одна из разновидностей вредоносного ПО. В английском языке его называют «malware». Для всего многообразия опасных программ глава «Лаборатории Касперского» и создатель известного антивируса Евгений Касперский придумал собирательное название «зловреды». Помоему, оно очень точно отражает сущность явления! Какие «зловреды» известны на сегодняшний день?

• Вирусы — самая старая категория. Отличительная черта вируса — способность к «саморазмножению». Однажды запущенная на компьютере, такая программа создает свои копии, встраивается в существующие файлы на различных носителях, прописывается в автозапуск. Поведение вирусов обычно деструктивное: они блокируют запуск других программ и служб, изменяют настройки системы, удаляют файлы и т. д.
• Сетевые и почтовые черви (worms) — программы, которые рассылают свои копии по локальной сети, с сообщениями электронной почты и т. д. Некоторые черви создают множество копий под разными именами на локальных дисках и постепенно заполняют все свободное место.
• Трояны (троянцы, троянские кони, trojans) являются средствами удаленного управления компьютером.
• Руткит (rootkit) — программный код, который автоматически изменяет настройки системы, маскируя действия других «зловредов», разрешая удаленный доступ, отключая средства безопасности и т. д.
• Шпион (spy) — программа, собирающая на зараженном компьютере определенную информацию и передающая ее на «хозяйский» узел. Такими сведениями могут быть сохраненные пароли, контакты, адреса электронной почты. Разновидностью шпионов являются «перехватчики клавиатуры», или кейлогеры (key logger).
• Программы-шутки порой бывают весьма злыми. Фактически все «блокировщики» относятся к этой категории.

Кто создает и распространяет «зловредов», а главное — зачем? В недалеком прошлом ответ был ясен: вирусы пишут «компьютерные хулиганы», а делают они это примерно затем же, зачем другие рисуют на заборах комбинацию из трех букв или бьют стекла в электричках. В наше время написанием и распространением вредоносных программ все чаще занимаются преступные группировки. Главная их цель — не навредить, а извлечь свою выгоду.

Первый пример: «блокировщики-вымогатели». Программа выполняется в ходе загрузки ОС и тут же блокирует дальнейший запуск системы. Как вариант, загрузка проходит до конца, но окно программы закрывает весь экран и постоянно находится поверх остальных окон. Чтобы получить код для разблокирования компьютера, предлагается отправить SMS или перечислить деньги через платежный терминал. Обналичивание переведенных сумм поставлено «на поток», и ясно, что делается это далеко не в одиночку. В 2010—2011 гг. в России было выявлено и обезврежено несколько мошеннических групп, их участники понесли уголовное наказание. Однако идея «компьютерного рэкета» очень привлекательна, и очередные программы такого рода появляются регулярно.

Другой случай — так называемые ботнеты, или зомби-сети. Сначала на компьютеры пользователей «подсаживаются» трояны, которые периодически запрашивают инструкции с определенного узла в Интернете. Трояны могут выполнять какие-то действия сами, а могут подгружать из сети и устанавливать других «зловредов», заражать следующие компьютеры и т. д. Постепенно образуется широкая сеть «роботов», управляемых из единого центра. В определенный момент по команде с сервера вся бот-сеть начинает выполнять замысел ее организаторов. Например, трояны начинают рассылать спам (рекламные сообщения), причем одни адреса для рассылки они могут получать централизованно, а другие могут брать из почтовых программ на зараженных компьютерах.

Другой вариант использования бот-сети — распределенная атака на серверы в Интернете (DDoS-атака). Каждый компьютер непрерывно отправляет запросы на указанный узел. Поскольку таких компьютеров десятки тысяч, сервер не успевает обрабатывать обращения и сайт «падает». Атака может быть заказана и проплачена конкурентами владельцев сайта — на «услуги» подобного рода существуют конкретные расценки!

Бывает, что сами организаторы атаки требуют «отступных» у владельцев сайта. Хорошо известна история трех российских хакеров, которые создали бот-сеть, устроили атаку на сайт английской букмекерской конторы, а затем запросили с нее выкуп. Поскольку прием ставок шел в основном через Интернет, хозяева фирмы предпочли заплатить! Погубила команду жадность — через некоторое время они решили снова «подоить» ту же фирму, но на этот раз были арестованы в ходе совместной операции Интерпола и российской стороны.

Получается, что владельцы зараженных компьютеров становятся невольными соучастниками преступления. Хотя ответственность за это не предусмотрена, все равно неприятно! Многие современные «зловреды» сочетают в себе черты троянов, червей и руткитов. Они неограниченно «размножаются», предоставляют возможность удаленного управления, изменяют настройки безопасности и т. д. Поэтому приведенная ранее классификация становится все более расплывчатой.

Как же действуют «зловреды»? Скажем сразу — слово «вредоносные» характеризует исключительно наше отношение к таким программам. В остальном это самые обычные приложения или службы Windows, и работают они подобно любым другим программам.

Прежде всего, программа должна быть запущена и установлена в системе. «Зловред» не исключение — в первый раз пользователь должен запустить его сам! Понятно, что никто в здравом уме не будет сознательно запускать или устанавливать троян на своем компьютере… Для этого вирусописатели придумали множество уловок.

• Вредоносный код может быть внедрен злоумышленником в дистрибутив известной программы, а сам модифицированный дистрибутив выложен на каком-либо сайте. Скачав его и запустив установку, вы автоматически устанавливаете и «зловреда». Несколько лет назад хакеры взломали сайт налоговой службы и подменили на нем дистрибутив программы для подготовки отчетности в ПФР. Проблему довольно быстро заметили и устранили, но это лишний раз подтверждает правило: от опасности не застрахованы даже официальные сайты серьезных организаций!
• «Зловред» может быть замаскирован под вполне безобидное приложение. Обычно это всевозможные «украшения рабочего стола», хранители экрана, «ускорители Интернета» и т. п. Большинство пользователей с удовольствием скачивают и устанавливают такие приложения, не замечая подвоха. К сожалению, здесь срабатывает принцип «сыра в мышеловке».
• Вам могут предложить скачать из Интернета какую-нибудь картинку, музыкальный файл или видеоклип. При двойном щелчке мышью на скачанном файле выдается сообщение о том, что он поврежден и не может быть открыт. На самом деле это исполняемый файл с «двойным расширением», вы сами запускаете его на выполнение, а нажатием кнопки OK вы всего лишь завершаете установку «зловреда». Часто подобные файлы вкладывают в сообщения электронной почты с «завлекательными» названиями.
• Вредоносный код может содержаться непосредственно на каком-либо сайте, и запускаться на выполнение при переходе по ссылке. Современные технологии Интернета предусматривают выполнение активных сценариев (ActiveX, JavaScript) на веб-страницах — вирусописатели широко этим пользуются. Как вариант, при посещении сайта вам могут предложить установку какого-либо дополнения или обновления к браузеру «для лучшего отображения содержимого страницы». Чаще всего вредоносная программа устанавливается под видом обновления Flash-плеера или расширения для Internet Explorer.
• В разделе «Использование VBA для создания сводных таблиц» говорилось о макрокомандах в документах Microsoft Office. Довольно просто написать макрос, который будет выполнять какие-либо вредные действия. Помимо прочего, такой макрос может копировать себя в другие открытые документы или таблицы — получается макровирус. Похожие исполняемые сценарии могут присутствовать и в документах PDF.
• Если к компьютеру с ОС Windows подключить съемный диск, на котором присутствует файл autorun.inf, система предлагает выполнить указанную в этом файле программу. Задумано это было из лучших побуждений: некоторым «чайникам» крайне сложно объяснить, как запускать с дисков игры или установить драйверы. Однако автозапуск используется и для распространения некоторых «зловредов». При подключении «флешки» к зараженному компьютеру на нее автоматически записываются исполняемый файл и файл autorun.inf — диск тоже заражается. Когда этот диск подключают к другому компьютеру, вредоносная программа запускается с него, заражает следующий компьютер и т. д.

Сделаем вывод: для заражения компьютера на нем необходимо тем или иным образом запустить на выполнение вредоносный программный код. В принципе он может содержаться не только в исполняемых или командных файлах, но и в документах с поддержкой макрокоманд, веб-страницах со сценариями. Вредоносное ПО заведомо не может находиться в файлах изображений, текстовых документах, видеофайлах и музыкальных записях.

Что такое «файл с двойным расширением»?

По своей структуре это обычный исполняемый файл. Однако ему присваивают имя вида «Картинка.jpg (много пробелов) .exe», а в сам файл внедряют соответствующий значок. Если в Проводнике Windows отображение расширений имен файлов отключено (а именно такова настройка по умолчанию), вы, скорее всего, подумаете, что это файл рисунка или фотографии. Даже если включить отображение расширений, из-за множества пробелов перед «истинным» расширением большинство пользователей обратят внимание только на первое, «фальшивое» расширение. Но операционную систему так обмануть невозможно! При двойном щелчке мышью она добросовестно обработает файл в соответствии с его истинным типом, т. е. выполнит как программу.

Как сделать, чтобы Проводник Windows всегда отображал расширения имен файлов? Откройте диалоговое окно параметров папок (Панель управления → Параметры папок) и перейдите на вкладку Вид. Снимите флажок Скрывать расширения для зарегистрированных типов файлов) и нажмите кнопку OK. Дальнейшее поведение «зловреда» зависит от того, какие функции заложил в него программист. Первым делом он наверняка «пропишет» свой автоматический запуск в системный реестр Windows: добавит в него соответствующий ключ или изменит существующие. Поэтому вредная программа будет каждый раз запускаться при загрузке операционной системы и продолжать свою деятельность.

Если «зловред» был задуман как файловый вирус, он постарается встроить свой код в какие-либо исполняемые файлы операционной системы или приложений. Каждый запуск такого «зараженного» файла приводит к очередному выполнению и вирусного кода — заражение компьютера продолжается.

Многие вредоносные программы предпринимают меры «самозащиты». Например, путем модификации реестра (в частности, политик безопасности) они запрещают запуск Редактора реестра и Диспетчера задач. В результате они лишают пользователя возможностей обнаружить и исправить то, что «зловред» изменил в системных настройках. Эту историю можно продолжать и продолжать — изобретательность авторов вредоносных программ не знает границ.

Чего не могут сделать вредоносные программы? Считается, что они не в состоянии повредить аппаратную часть компьютера. Но даже это утверждение относительно. Многие еще помнят вирус «Чернобыль» («CIH»), который переписывал содержимое BIOS некоторых материнских плат. Для восстановления работы микросхему приходилось перепрошивать на программаторе. Правда, перед современными материнскими платами это семейство вирусов бессильно, а новые «зловреды», способные испортить компьютер на аппаратном уровне, больше не появлялись.

Что же, утешимся хотя бы этим! Всегда остается радикальный способ исправить последствия вредоносного ПО — отформатировать винчестер, а затем установить операционную систему и прикладные программы «с чистого листа». Однако это крайнее средство. Лучше постараемся вообще не допустить «зловредов» в компьютер, а если что-то и «проскочит», то попробуем справиться с такими угрозами в рабочем порядке.

Заметим, что все сказанное относится в основном к ОС Windows. «Зловреды», действующие в среде Mac OS, довольно малочисленны, а пользователям Linux вредоносное ПО практически не грозит. Дело тут не только в особенностях архитектуры этих систем, но и в чисто житейских соображениях. Вирусописатели почти всегда ориентируются на «массовый сегмент» — в нем и наивных пользователей больше, и гораздо выше темпы распространения вируса или трояна, однажды запущенного в Сеть.