Прикладная антивирусология

Эта статья посвящена защите от вредоносных программ и может быть полезна как лично, так и в рамках предприятия.
В статье рассмотрены основные понятия, жизненный цикл вредоносных программ. Даны рекомендации по борьбе с ними и профилактике.

Компьютерная вирусология – наиболее мифологизированная тема IT. Наверное, оттого, что пользователям подсознательно приятно наблюдать такую же уязвимость компьютеров, как и живых организмов. И то, что это понарошку, их самих не касается. Ну и посмотреть «как слоники забегают» - сисадмины в процессе лечения компьютеров. Одним словом, для пользователей вирусы скорее источник развлечения, чем критичного поведения. Хотя конечно, наиболее осознанные товарищи все-таки ведут себя разумно.

Поговорим о жизненном цикле вирусов.

В настоящее время термин «вирусы» не совсем точен, поскольку именно вирусоподобная технология размножения стала редка. Поэтому истользуют более точный общий термин «вредоносные программы». Но дальше по тексту мы оставим термин «вирусы», он проще.

Жизненный цикл вируса состоит из фаз:
1. Проникновение
2. Маскировка
3. Распространение.
4. Выполнение поставленной задачи.
Эти три фазы могут выполняться одним файлом, а могут и разными файлами и службами.

Например, источником инфицирования является сайт в интернете. Либо взломанный тем или иным способом, либо сознательно содержащий код, выполнение которого браузером приводит к инфицированию системы.

Маскировку осуществляет само тело вируса. Как правило, в последнее время вирусы обучены очень прилично защищаться от попыток их удалить.
Фаза маскировки очень важна, ведь вирус жив, пока он не удален. Идеально – если его не видит антивирусная программа и пользователь тоже ничего не замечает.

Фаза распространения не всегда заложена в тело вируса, примерно в половине случаев. Это может быть распространение по сети (достаточно сложная задача), инфицирование съемных носителей (спасибо идиотской концепции MS автозапуска всякого носителя) или просто раскладывание своих копий по всем папкам. Есть и более сложные механизмы.

Фаза 4 – боеголовка. Вот это самое легендарное. Большая часть – выдумки, особенно самые «страшные» сказки. Но и реальность иной раз преподносит сюрпризы.

Мифы о боеголовках:

- Вирус повредил железу компьютера.
Ерунда. Единственный вирус, кое-как стиравший BIOS, да и то не на всех материнских платах существовал больше 10 лет назад. Сейчас его просто нет. Платформы уже не те, BIOSы защищены. Да и сигнатуры его известны. Хотя обнаружение WinCIH все-таки бросает в дрожь. По привычке.

- Вирус стер все документы.
Громадная редкость. За всю историю IT таких вирусов было мало. Есть, конечно. Но я лично подобного не видел, а видел я много. Это, в общем, беспредельная жестокость, а вирусы в последнее время стали почти бизнесом, так просто не делают. Автор такого вируса получит в гости спецназ.
- Вирус поломал систему, все пропало

Маловероятно, что систему нельзя было восстановить. Скорее, не старались. Уж по-крайней мере вытащить данные и переустановить систему можно почти всегда.

Реальности боеголовок.
- вирус утащил пароли (банковские, логины на сайты, аськи, почты). Да, это одна из основных двигающих сил индустрии вирусов.
- вирус рассылал спам. Ну да, вторая большая часть индустрии. Хотя, при нынешних безлимитных тарифах у домашних пользователей трагедии особой нет.
- вирус показывает порно. Ну показывает и показывает, рекламирует наверное что-то. Тоже, в общем, приличная часть индустрии.
- вирус тормозит систему. Вообще-то это не было целью, просто он так бездумно написан, что его механизм самозащиты или боеголовка мешают работе.
- вирус отключил доступ к интернету. Да, бывает. В половине случаев – случайно, из-за криво написанных драйверов. Иногда – специально, чтобы заблокировать сайты антивирусных компаний.

Ну и конечно «антивирусные компании сами пишут вирусы, чтобы было нажиться на борьбе с ними». Я лично считаю это чушью и отражением способа мышления авторов этих «идей». Бог с ними.

Все причины появления вирусов в компьютере, так же как и чистоты компьютеров – в поведении пользователей.
Самозарождение компьютерных вирусов еще не открыли.

Отсюда следует одно из основных правил – на серверах не должны работать пользователи, это не рабочее место. Потому что «Если бы они там только и исключительно работали!»

Основные способы проникновения вирусов в компьютеры и сеть организации: социальная инженерия.
Заманчивые баннеры в интернете, за которыми скрываются инфицированные сайты.
Новые контакты в аське, присылающие инфицированные файлы или ссылки на вирусы.
Социальные сети и низкой фильтрацией контента, у нас в основном – ВКонтакте.
Наконец самый старый, но от этого не менее действенный способ – письма с вирусными вложениями.

Вы скажете – кто же на это купится? Кем надо быть, чтобы пойти по ссылке в аське? Открыть вложение «симпатичная блондинка.wmv.pif»? Вместо новостного портала начать искать сайты с неодетыми женщинами?

Мировая статистика: сотни тысяч инфицированных компьютеров (до 50% от мирового парка), миллиардные убытки от простоев. И большая часть – инфицирования через заманчивые предложения.

Реально.

Потому что есть еще один канал – прямое сканирование портов в глобальной сети в поисках уязвимых шлюзов. Но! Если это фирма, то далеко не все сидят на прямом белом IP-адресе, а те кто сидят, хорошо защищены. Если чему системный администратор и посвятит время, так это защите шлюза. Это несложно, закрыть все лишнее и ни на что неотвечать. Шлюз практически неприступен.
А если пользователь сидит дома (равно как и фирма на динамическом IP), то он за шлюзом провайдера. Провайдер обслуживает тысячи абонентов, шлюз либо аппаратный, либо на Юниксе, и его стабильности посвящена куча усилий. Инфицировать его практически невозможно.
Вот и остается хитрить, чтобы пользователи сами скачали вирусный контент. И принесли его на работу на флешке.

Примеры целевого использования рабочего времени:

1. Сам автор, как и некоторые его знакомые сотрудники антивирусных компаний на домашнем компьютере антивирусов не держат. И при этом годами вирусов не ловят. Почему? Потому что думают, что делают. Каким ПО пользоваться, на какие сайты ходить, какие ссылки не открывать.
2. В одной (как жаль что только в одной) фирме-клиенте вся бухгалтерская сеть отделена от интернета. Бухгалтера и расчетчики (в основным – женщины в возрасте) прекрасно обходятся без асек, почты и посещения интернета вот уже 6 лет. Первые несколько лет там не ставили антивирусы – незачем. Пока не «разразилась» эпидемия вордовского макровируса, времен еще 97 офиса. Тогда им поставили бесплатный Аваст, на всякий случай. Знаете сколько проблем с нимы было? Нисколько.
Земля покоится на трех китах
А антивирусная безопасность – на трех составляющих:
1. Правильный выбор ПО
2. Антивирус с актуальными базами
3. Разумное поведение (хотя бы сисадмина)

1. Пользоваться в контакте с окружающим миром только тем ПО, которое не страдает уязвимостью и самоуправством.
+. Это, для начала, не IE производства MS. Это Opera, Firefox и другие браузеры не на глючном и дырявом движке Тринити от MS, а на движках сторонних производителей. Собственно, Оперой и Огнелисом список и закачивается.
+ В качестве почтового клиента – желательно все-таки что-то не производства MS, то есть не Аутлук и не Аутлук Экспресс. Хотя почтовый канал сейчас сошел на нет, это просто примитивные продукты, с присущими им ошибками и проблемами. Альтернативой является клиент The Bat! или ThunderBird. В других странах более есть и другие популярные клиенты, которые не станут открывать ActiveX-вложение только потому, что отправитель этого хотел.
+ Широко распостраненный миф о необходимости _всех_ обновлений от MS не более чем миф. Сколько я видел станций на Виндовз 2000, XP sp1 sp2 без обновлений – ничем не отличаются от станций с обновлениями. Все зависит от поведения пользователя.
+ Как ни странно, на этом можно и заканчивать, порекомендовав с очередной раз хранить документы не на системном диске и периодически их архивировать на оптический носитель. Или еще куда.
+ Да! В связи с недавно «открытой» (и так и не закрытой в обновлениях) особенностью автозапуска со всех носителей, рекомендуем отключить в системе эту функцию (способы указаны у нас на сайте в разделе полезных программ и ссылок) и переформатировать флешки так, чтобы исключить возможность их заражения этим способом (см. там же).

2. Самый часто задаваемый вопрос по теме, – «какой антивирус сейчас лучший»?
Ну что сказать. Они все неидеальны. Специально для некритичных фанатов какого-нибудь антивируса скажу: Я «выковыривал» вирусы из-под _всех_ антивирусов. И они, живые и красивые, ничем не могли мне помочь.
Более того. В борьбе «брони и снаряда» создатели антивирусов иногда забывают о пользователе. Итого – антивирус может тормозить систему побольше всех остальных программ. Это плата за «защиту».

Лучшие из имеющихся:

+ Антивирус Касперского. Наиболее надежный. Он же – наиболее параноидальный. И он же тормозит систему сильнее всех. На новых компьютерах с этим еще можно мириться, но на старые просто не стоит ставить.
Версии Касперского мало отличаются друг от друга. Сильно отличаются только розничная и корпоративная версии – это по сути параллельные продукты. Я во всех случаях, даже домой рекомендую корпоративную При прочих равных (базах, микропрограммах) она имеет лаконичный интерфейс и меньше тормозит систему. На интерфейс же розничной версии с 2009 без слез не взглянешь. Корпоративная, кстати, дешевле, в пересчете на одну лицензию. И с активацией попроще.

+ Др.Веб. Другой отечественный продукт. Полегче, но и пропускает побольше. Иной раз как-то совсем наивно беззубый. Но реально легче, что позволяет ставить его на достаточно древние компьютеры.

+ Нод32. Я не люблю этот антивирус главным образом за кучу фанатов, считающих его лучшим. Не лучший. Надежный, но в целом середняк. Портит впечатление и западная манера самоуправства и мелочности в скрытии настроек – отечественные продукты как-то ближе в этом плане по менталитету. Как и в случае с Касперским корпоративная версия удобнее розничной.

Эта тройка лучших характеризуется вот чем:
+если я вижу один из этих трех продуктов «живым» и с обновленными базами, и он не кричит пользователю о вирусах – значит вирусов наверняка нет. Может он и вылечить не сможет сам, но уж заметить – заметит.
+большую часть вирусов они все-таки смогут самостоятельно блокировать. Скажу больше, фирмы-клиенты, перешедшие на легальные антивирусы (все три продукта я видел в деле) практически перестали обращаться с жалобами на вирусы. Простои сократились, проблем стало значительно меньше.

Антивирусы, которые еще есть какой-то смысл ставить
* Корпоративная версия Симантека. Один из первых корпоративных антивирусов. Никогда не спрашивает лицензию, и при этом хорошо обновляется. Имеет хороший цент управления. Мало тормозит систему. Но иной раз совершенно неспособен справиться с простыми случаями. И слишком часто сам становится жертвой вируса. Это относится в основном к старым версиям – 7, 8. Десятую хвалят больше.

* Аваст. Полуэнтузистский продукт, сочетающих редкие по удачности решения с такими же редкими по глубине проблемами. Достаточно легко сделать бесплатным. Достаточно мало грузит систему. Одно время входил в список лучших, особенно учитывая легкость и легкодоступность. Но слишком слабо защищает систему. Слишком долго они разрабатывают новые микропрограммы для свежих уязвимостей. Хотя система настроек одна из самых совершенных. В общем, для энтузиастов.

Антивирусы, которые ставить, в общем, смысла нет.
- Нортон. Давнишний продукт выродился полностью. Его единоутробный коллега – Симантек корпоративный гораздо вменяемее и полезнее. Основная проблема Нортона – неповоротливость, совершенно непомерные системные требования и ужасная настраиваемость.
- АВГ, АВИРА и прочие совсем бесплатные продукты. Что-то умеют, но кое-как, при этом не дают комплексного охвата. Толку, в общем, мало. Проще Аваст поставить, он хоть охватывает вообще все, да побольше чем именитые коллеги.
- Розничный Макафи, розничная Панда. О них вообще мало слышно у нас, а если слышно, то ничего хорошего. Корпоративные версии, я еще могу допустить, что-то из себя представляют. Розничные, в общем, не встречаются.

Разумное поведение пользователя описывается легко:

+ не ходить туда, где может быть вирус
+ следовать предупреждениям
+ не соглашаться ничего устанавливать из интернета, если 100% не уверены
+ периодически сканировать компьютер любой хорошей программой
+ отключить ненужные службы, закрыться от доступов снаружи
+ отключить автозапуск с носителей
+ обезопасить свои носители
+ никогда не открывать двойным кликом чужие флешки, а файловым менеджером или правой кнопкой – Проводник. И вообще постараться с чужими флешками дел не иметь
+ быть внимательным к сообщениям системы, вообще следить, не меняется ли в ее поведении что-то само по себе
+ не открывать исполнимые файлы, если вы не точно уверены, что это такое и как здесь появилось (в почте, на дисках, на рабочем столе и т.д.)!!!
+ позвать системного администратора и рассказать ему о наблюдаемых явлениях. Как это ни банально звучит. И внимательно следовать его рекомендациям ))))

Ну вот. Желаю читателям поменьше сталкиваться с вредоносными программами. А читать о них – только популярные статьи на антивирусных порталах и других тематических источниках. Это, кстати, довольно познавательно.