Что делают два вируса, встретившись в тёмном уголке виртуальной памяти?

Вирусы, кто же с ними не знаком… Классификация и методы борьбы со зловредами. Небольшой экскурс в историю моего знакомства с врагами всего сущего в наших ЭВМ.

В данной статье описаны злоключения с вирусами применительно к операционным системам линейки Windows. Если вдруг у сотрудников компьютер сам на кнопки "понажимал", надо проверить, уж не вирус ли это…

 

Экскурс. Немного истории…

Когда-то давно, примерно в 2000 году, на лабораторной работе по информатике наш преподаватель вдруг неожиданно задал вопрос — "Что делают два вируса, встретившись в тёмном уголке виртуальной памяти?". В общем, ответил ему как-то так — наверное, они там размножаются, или едят друг друга, кто знает, уголок-то тёмный! Давно хочется рассказать об интересных вещах, которые случались в моей жизни из-за этих самых вирусов.

Вредоносные программы — это, конечно, плохо, зачастую не очень красиво, не всегда этично сделанные решения, но иногда это просто шедевры программирования. Вообще, иногда, всем этим вирусописателям и их противникам так и хочется сказать — большое всем спасибо от всех, кто смог на этом заработать. Раньше часто приходилось коротать вечера, ремонтируя компьютеры и часто вычищая жесткие диски от вирусных программ. Как говорится, плохой дядя написал вирус, а вот добрый сисадмин неплохо подзаработал, меняя операционную систему, восстанавливая поврежденные файлы или программы.

Первого зловреда я встретил примерно в 1995 году, с экрана монитора вдруг посыпались буквы и спикер заиграл странные мелодии внутри системного блока. С антивирусами тогда было туговато, и на дискетах можно было поймать всё что угодно. Тогда моей реакцией было удивление, но поскольку вирус был вполне безобидный, ничего страшного не произошло. Зато появилось понимание того, что и в компьютерном мире тоже есть люди, способные приносить вред.

В начале 21 века начался просто вирусный всплеск, несмотря на то, что интернет был в лучшем случае dual up и то далеко не у всех.  Ещё в 2001 году в городе Благовещенске при университете АМГУ на кафедре информатики, при поддержке негосударственного фонда были открыты для посещения компьютерные классы с доступом в интернет. Это была большущая редкость, 2 часа в неделю любой студент мог свободно записаться и погрузиться в мир всемирной паутины на скорости… примерно 40 кб/сек… Это сейчас почти у каждого при желании дома 100 мбит/сек, а тогда… тогда дискеты покупали пачками, даже просто потому, что если записать файл на одну дискету — не факт, что прочитаешь этот самый файл и не испортишь саму дискету во флоппи дисководе, флешек то не было, как и вообще портов USB. CDRom был редкостью, дисками менялись между собой. Приходили в гости с собственным HDD в сумке — такие вот были когда то времена.

Сам я учился в БГПУ на физико-математическом факультете. Набирал свой диплом на кафедре физики. С товарищами вчетвером, набирали четыре диплома по очереди — на одном компьютере под управлением Windows 95. Красивый такой, белый компьютер IBM, с черно белым монитором в 12 дюймов. При сохранении файла с дипломом место на жестком диске стремительно заканчивалось и приходилось что-то удалять или перетаскивать файлик на дискету, весь этот процесс был трудоёмким, поскольку работал компьютер ну очень медленно.

И тут мой друг Евгений, тоже набиравший диплом на этом компе, удивил — приобрел себе подержанный ноутбук с 66 МГц процессором. В общем, дело пошло быстрее, дипломы начали хранить у него и иногда набирать. И тут пришёл он — чудесный вирус, поедающий офисные документы. Все документы на ноутбуке были стёрты. Для нас это было шоком, через полтора месяца сдавать, а дипломы съедены… В общем, спасло то, что были старые копии на дискетах, копии примерно двух недельной давности, боялись дышать, когда считывали файлы с этих дискет. В те времена компьютерных мастеров почти не было, и если файл был удалён мимо корзины — значит, считалось, что восстановить не получится. Сейчас, понятное дело, вспоминаю, смеясь, ведь можно было без проблем вернуть всю работу, но в то время опыта-то не было.

Закончив университет и вернувшись из армии, я повстречал ещё одного зловреда. Называли его у нас в городе Penetrator. Российские антивирусы "большой тройки" — Kaspersky, Eset NOD 32, DrWeb его просто не видели, он отсутствовал в базах полгода с момента моей с ним первой встречи. Немецкий бесплатный антивирус Avira подозревал Penetrator вирусом и успешно удалял зараженные им файлы. Зловред открывал документ (doc, xls, ppt) и менял содержимое на матерные русские выражения, затем сохранял документ примерно раз шесть. Избирательно вирус относился к фотографиям, портил только фото с фотоаппарата, обои рабочего стола не трогал. Открывал фотографию, очищал рисунок и вставлял рисунок маленького разрешения с надписью Penetrator, и так же 6 раз сохранял. В общем открываешь проводник — все файлы вроде на месте, но все они одного размера и с одним содержимым, пользователю, мягко говоря, неприятно… Это была золотая жила. Денег, восстанавливая файлы, я смог на этом заработать немало. Восстанавливались, конечно, не все файлы, но пользователи были счастливы, а антивирусные проверки при этом писали фразу — полная проверка завершена, угроз не обнаружено… В общем, не знаю, что преследовал за цели программист, написавший этот вирус, денег-то он с этого, видимо, не получил. 

Вот дальше, примерно в 2005 году, началось крупномасштабное вымогательство. Эти самые экранные заставки с неприличными картинками на весь экран появились, требующие смс код разблокировки. Вообще экран загрузки начали блокировать прямо сотнями, если не тысячами разновидностей таких решений. Изначально они были безвредны, просто невозможно было авторизоваться в операционной системе, требовался код разблокировки. Код можно было получить, отправив смс на какой нибудь из коротких номеров оператора сотовой связи, естественно, при отправке такого смс списывались суммы с баланса абонентского номера и часто весьма и весьма внушительные. Спасибо нашим отечественным антивирусным службам. На сайтах антивирусов с 2005 по примерно 2010 год база данных прямо была, выбираешь номер, на который вымогатель требует выслать смс, вид окна блокировки и смотришь список кодов, которые могут помочь разблокировать эту самую заставку. В общем, лечилось довольно просто, пока не наступила Эра вирусов шифровальщиков. Вирус-вымогатель тихо делал свою работу, зашифровывая файлы пользователя на закрытом ключе шифрования и отправляя инфу создателю вируса, затем после какой-нибудь перезагрузки системы оказывалось, что все файлы зашифрованы.

Далее я работал на разных должностях, связанных с администрированием, ремонтом эвм и программированием на разных должностях — зловредов познавал всё больше!

 

Собственно классификация.

Классифицировать вирусы можно по-разному, сейчас это сделано множеством способов, вот некоторые примеры.

Несколько классификаций:

1. По степени нанесения ущерба

а) Не опасные — программы шутки, звонилки, программы, переполняющие оперативную память и др.

б) Опасные — оттягивают все ресурсы на себя, используют системные команды операционной системы (форматирование дисков, перезагрузка, удаление файлов, пересылка личных данных)

в) Очень опасные — шифровщики, майнеры валюты, вирусы для удаленного управления эвм, вирусы, способные влиять на прошивку микросхем и др.

2. По среде обитания

а) Резидентные — после запуска программа работает только в оперативной памяти, ничего на накопители не записывает.

б) Неризидентные — обладают небольшой активностью, быстро выполняют свой код и тихонечко лежат на диске.

3. По способу заражения

а) Загрузочные — заражают boot сектор жесткого диска

б) Файловые — заражают файлы с самыми разными расширениями. В основном com, exe.

в) Сетевые — заражают через локальную сеть или через интернет.

г) Файлово — загрузочные (гибрид пунктов а и б)

д) Поражающие драйверы устройств

е) Макро-вирусы заражают офисные документы с исполняемой средой. Например файлы MS Word с VBA макросами.

4. По алгоритму работы

а) трояны — воруют информацию

б) сетевые черви — ищут уязвимости настроек операционной системы и программ и проникают на компьютер

в) паразиты — меняют содержимое файлов или перезаписывают сектора на жестких дисках

г) мутанты — в процессе работы меняют свой код, модифицируются и используют алгоритмы шифрования для тела вируса.

д) невидимки и шпионы

е) установщики дополнительных файлов, например malware

ж) анализаторы операционной системы в дальнейшем меняющие настройки

4. По сроку работы

а) Моментально приносящие вред

б) Рассчитанные на продолжительное использование

5. По способу хранения на накопителях

а) Полностью имеющий неизменное тело и клонирующий сам себя.

б) Имеет собственное тело и меняет его в процессе работы.

в) Делящие себя на части, и сохраняющиеся в разных частях накопителя — регенеративные.

г) Стирающие данные микросхем, например — вирус "Чернобыль" полностью стирает BIOS.

И список этих классификаций можно продолжать и продолжать бесконечно. Поскольку вирусописатели весьма и весьма изобретательны.

Поговорим о способах борьбы…

Стопроцентную защиту от вирусов как двадцать лет тому назад, так и сейчас не гарантирует ни один из антивирусов.

Но есть способы усиления защиты от проникновения и запуска на компьютере. Теперь давайте поговорим о этих способах борьбы со зловредами. Способы взяты мной из личного опыта и если есть что дополнить к ним, просто напишите в комментариях к этой статье.

1. На вашем компьютере операционная система и установленные программы должны быть обновлены по максимуму. Производители программ, часто работают над уязвимостями в своих продуктах и постоянно "латают дыры" в программном обеспечении.

2. Необходим качественный антивирус и сетевой экран.

3. Нужны правильные настройки пользователей операционной системы, разграничены права доступа к файлам, папкам и запуску программ.

4. Хороший, действительно качественный маршрутизатор, установленный перед вашим компьютером. На маршрутизаторе в имеющимся встроенном ПО должна быть защита от DDos и др. настройки и примочки. Еще лучше использовать грамотно настроенный прокси сервер на Linux.

5. Храните наиболее важные документы и СУБД на удалённом сервере в сети или лучше в облаке.

6. Почаще используйте резервное копирование и лучше на внешние диски.

7. Заведите свой "арсенал" нужных программ:

а) Для восстановления работоспособности системы после заражения

б) Для восстановления удаленных файлов

в) Для удаления файлов вируса, занятых процессом в памяти.

г) Для чистки системного реестра

д) Программы для удаления Spy и Malware.

е) Всевозможные утилиты для работы с разделами дисков, загрузочные флешки с операционными системами.

8. Бэкап "чистой" настроенной операционной системы. Например, Acronis, для быстрого восстановления системы за 10-15 минут.

9. Если вы хороший программист, напишите несколько вспомогательных программ:

а) Следящих за списком выполняемых процессов, запрещающих запуск чего-то лишнего.

б) Если какая то программа не должна обновляться, можно написать программку, отслеживающую изменение её CRC суммы (CRC 32, MD 5, SHA)

в) Программу сохранения ваших паролей с использованием библиотеки криптографии.

10. Не открывайте подозрительные письма в почтовом ящике в браузере, не запускайте непонятные вложения писем в почтовых программах.

11. После работы в браузере или любой другой программе, активно использующей временные файлы интернета, регулярно очищайте кэш.

12. После того как авторизовались на каком-нибудь сайте в личном кабинете, всегда выходите из личного кабинета, а не закрывайте браузер.

13. Примерно раз в неделю очищайте временные файлы в системных папках Temp.

14. Для важных сайтов по возможности используйте двухфакторную авторизацию, авторизацию с помощью криптографических ключей и другие современные способы авторизации.

 

Эволюция написания вредоносных программ продолжается и сейчас, — бот нет сети и майнеры криптовалют, шифровальшики баз данных и другие зловреды появляются повсеместно. Антивирусные продукты постоянно пополняются новыми и новыми данными о вирусных сигнатурах. В общем, извечная борьба продолжается.

Базы данных 1С: Предприятие это такие же файлы операционной системы, как и все остальные. Поэтому вирус шифровальщик им очень и очень бывает рад, а вот для сотрудников компании, в которой происходит заражение таким зловредом, это просто кажется катастрофой. Поэтому работа системного администратора очень важна на предприятии.  Уважаемые директора — берегите системных администраторов и программистов, поверьте, их работа важна!

 

На этом всё. Кому понравилась статья, смело жмите на звездочку.

За прочтение спасибо.

Пишите комментарии.

7 Comments

  1. pm74
    в лучшем случае dual up

    таки dial up , звук соединения был незабываемый

    Reply
  2. wbazil

    Petya A до сих пор вспоминается, это ж надо компания 2 дня стояла и ещё месяц трясло, в статье зерно истины в том, что вирусы «учат» самым болезненным способом ИТ грамотности, сразу деньги на бекапы/облака появились, понятно стало кто специалист, а кто просто кнопки нажимает. Если не дай бог, таких атак поворотить 2-3 раза то зарплаты в ИТ станут космическими

    PS если вам не безразлична судьба компании, выберете момент когда админ будет не очень занят и подискутируйте на тему что будете делать если серверная сгорит, утонет, упадёт метеорит, была тут статья как сорвало крышу в серверной и всё залило водой.

    Reply
  3. Art1387

    (2)

    Если не дай бог, таких атак поворотить 2-3 раза то зарплаты в ИТ станут космическими

    Лично я не против космических зарплат ИТ-шникам!

    Наши пользователи особо порадовали, когда попросили помочь с открытием файла, который антивирус не давал открыть и который был непонятно от кого.

    Reply
  4. user748289

    (1) Да звук и вправду был чудный! Вспоминаю с ностальгией! И кстати не так уж и давно был слышен этот звук, — всего 10 лет назад Ростелеком свободно карты продавал для доступа по Dial Up 🙂

    Reply
  5. user748289

    Да ведь судьбинушка то не всегда учит. Был у меня один клиент, своя бензозаправка у него была, человек вроде не бедный. А вот компьютер в офисе старый до жути и всё на одном старом харде и никаких бэкапов разумеется.

    Однажды он узнал о вирусах… все файлы с компьютера были безжалостно стерты, у клиента чуть кондратий не случился — там все самое нужное было приказы, бланки, расчётки и всё в doc и хls. Восстановили кое как… Флешку клиент после того случая купил, а новый компьютер так решил и не покупать.

    Скупой платит дважды, больше добавить нечего…

    Reply
  6. AlexO

    Автор статьи так и не ответил на сам себе же поставленный на вопрос — что же делают два вируса, встретившись в тёмном уголке виртуальной памяти? )

    Reply
  7. user748289

    (6)Ответ, сразу за вопросом в самом начале статьи [IS-QUOTE] В общем, ответил ему как-то так — наверное, они там размножаются, или едят друг друга, кто знает, уголок-то тёмный!/QUOTE] Сильно извеняюсь, за стиль изложения, но в данном случае ответ скорее метафорический —

    если смотреть сквозь эти слова, то всё зависит от алгоритма вируса, поскольку уголок то тёмный, вирус может сделать всё что угодно, по своему алгоритму.

    Reply

Leave a Comment

Ваш адрес email не будет опубликован. Обязательные поля помечены *