Первое
вредоносное ПО распространялось посредством дискет. С развитием интернета
вирусы стали атаковать компьютеры удалённо. Сегодня существуют довольно мощные
фаейрволы и спам-фильтры, а пользователи уже не открывают e-mail от незнакомцев, которые предлагают получить выигрыш в миллион долларов (для этого
надо сначала оплатить $10-20 чек) или приобрести препарат для повышения
привлекательности. Бичом компьютеров стали вирусы, которые селятся на USB-флэшках.
Достаточно вставить накопитель в разъём, как зловредное ПО получает возможность
проникнуть на винчестер. Если программа не носит деструктивного характера, а
представляет собой шпиона, то с компьютера начнут «уходить» пароли к различным
программам. В один прекрасный день клиент ICQ выдаст
ошибку о неправильном логине, а на электронную почту придёт письмо с
предложением оплатить возврат пароля.
ВИРУС ЗАПУСКАЕТСЯ САМ
Думаете,
если просто подключить флэшку к ПК, ничего страшного не случится? Есть минимум
два варианта.
СПОСОБ ПЕРВЫЙ – AUTORUN & AUTOPLAY
Для
начала надо разделить понятия autorun и autoplay (автозапуск и автопроигрывание). Речь идет об
автозапуске, когда со вставленного диска автоматически запускается какая-либо программа
(установщик или оболочка). Если же на диске отсутствуют специальные оболочки,
то срабатывает функция автопроигрывания. В последнем случае пользователю
предлагается выбрать, что делать с данными: воспроизвести, копировать, удалить
и т.д. При использовании флэшек практически всегда срабатывает автопроигрывание.
Автозапуск
с флэшек по умолчанию отключён. Это
вынужденные меры: в Microsoft предусмотрели
возможность заражения через USB-накопитель. По этой причине оболочка с флэшки сама по
себе не запустится. По крайней мере, если для этого не внести изменений в
системный реестр. Но на специализированных сайтах можно найти тысячи советов и
рекомендаций по «заражению» флэшек. С помощью нехитрых модификаций файла autorun.inf (именно он отвечает за autorun и autoplay) хакеры могут обмануть пользователя, поместив в окно автопроигрыша ссылку на запуск вируса. Пользователь видит знакомое окно автопроигрывания и
нажимает, например, кнопку «Воспроизвести».
 |
Окошко автопроигрывания. Что бы ни выбрал пользователь, запустится вирус |
Однако
у хакеров имеются в активе и более радикальные решения. Функция
автопроигрыша может сразу запускать вирус. Параллельно с окном автопроигрыша
будет активирована хакерская программа. Дополнительно хакеры заставляют окошко автопроигрыша
автоматически закрываться после активации вируса. Если же пользователь не
пользуется автопроигрышем, возможен такой вариант. Вирус запустится, если
пользователь получит доступ к флэшке таким образом: откроет «Мой компьютер», щелкнет
правой кнопкой мыши по флэшке и выберет пункты «Автозапуск», «Открыть»,
«Проводник» – запустится вирус.
 |
Несколько строк в файле autorun.inf – и путь для вирусов свободен. Теперь все эти пункты меню всего лишь обманка: при нажатии запустится вирус |
СПОСОБ ВТОРОЙ – ПЕРЕДЕЛАННАЯ U3-ФЛЭШКА
Все большую
популярность набирают «умные» флэшки, поддерживающие технологию U3 Smart.
Технология предоставляет пользователю возможность автоматически запускать
нужные программы. Это может быть полезно, если флэшка используется как
хранилище для portable-софта. Такой накопитель разбит на две части –
основную и загрузочную. Последняя добавляет в систему виртуальный диск.
На автозапуск с таких
устройств в Windows ограничений нет, поэтому загрузка происходит без
проблем. Здесь располагается графическая
оболочка U3 LaunchPad. Она обеспечивает быстрый доступ к portable-программам
из основной части флэшки.
Некоторые
драйвы, например Sandisk Cruzer, позволяют удалить с
флэшки все следы U3, превратив умный накопитель в обыкновенный. Раз
можно удалить, должна быть возможность и восстановить. Специальная программа LPInstaller.exe,
поставляющаяся вместе с флэшкой, позволяет вернуть U3-оболочку. Системный
раздел флэшки просто-напросто «прошивается», но только специальным файлом-образом
cruzer-autorun.iso. Вот тут-то и есть лазейка для хакеров. Никто не мешает
подменить или переписать этот файл. Можно превратить его в вирус, который легко
запустится на любом компьютере. В Сети можно найти подробную инструкцию,
как это сделать. Наибольшую угрозу представляет запуск такой флэшки из-под учетной
записи администратора.
Опять
же, прошитая U3-флэшка не причинит особого вреда, если отключен
автозапуск.
НЕПОСРЕДСТВЕННО ВИРУСЫ
Не
стоит думать, что через флэшку распространяются только какие-то специальные
«банковские» вирусы, которые воруют номера кредитных карт. Флэш-вирусов
существует огромное количество, и за последний год их доля среди прочих вирусов
возросла с 2% до почти 10%. Особенно опасными и популярными вирусами являются Switchblade
и USB Hacksaw.
 |
Группа вирусмейкеров с сайта hak5 как нельзя лучше нарисовала логотип для своего вируса Hacksaw («Ножовка») |
Несколько
недель назад интернет-сообщества были шокированы видеоподкастом от хакерского
сайта www.hak5.org. Американские «умельцы» перепрошили
стандартную U3-флэшку от Sandisk, оснастив ее вирусом
Switchblade. Он пользуется серьезной уязвимостью системы хранения паролей в Windows.
Пароль хранится разбитым на несколько частей, каждая из которых переведена в
верхний регистр. За несколько секунд Switchblade может подобрать пароль для входа,
например, в локальную сеть. Далее пароль будет отправлен на указанный e-mail адрес. Один недостаток – вирус может работать только из-под учетной записи
администратора.
Собственно,
вирус USB Hacksaw является доработанным продолжением Switchblade. Hacksaw
(можно перевести как «ножовка»). Это средство запускается само, не требуя от
пользователя никаких действий. Далее Hacksaw переместится в скрытую папку на
жестком диске, где затаится до некоторого времени. Активизируется он, когда к
компьютеру будет подключена любая флэшка. Hacksaw скопирует с нее все важные
документы (разумеется, важность документа определяется его расширением – mp3-
или avi-файлы копироваться не будут). Все это будет отослано
на «хакерский» e-mail. Отправка будет происходить через защищенное SSL-соединение посредствам почтового сервиса Gmail. Вирус обладает высокой стойкостью перед антивирусами, так как он
большую часть времени проводит в режиме ожидания. Кроме того, зловредная
программа работает даже из-под гостевой учетной записи. Эти две особенности позволяют вирусу заразить практически любой
компьютер. На сайте «родителей» вируса можно найти подробные инструкции по его
установке и исходник самого вируса. Там даются четкие рекомендации по прошивке
флэшки, указано, куда и как нужно поместить вирус, как его настроить (указать e-mail и пр.). Становится понятно, почему Switchblade и USB Hacksaw распространяются
такими быстрыми темпами.
МЕТОДЫ БОРЬБЫ
Запустить
вирус с флэшки не так трудно. Поэтому ни в коем случае нельзя вставлять в свой
компьютер (особенно незащищенный) накопители, в которых вы не уверены, будь то
найденная флэшка или флэшка кого-то из сотрудников или приятелей. Кроме того,
вирусы могут быть и в MP3-плеерах, и в фотоаппаратах. Поэтому даже iPod может стать источником заражения. Практически все вредоносные программы тем
или иным образом используют «дыры» в автозапуске. Поэтому нужно как-то ему
препятствовать. Например, можно удерживать клавишу Shift при
вставке флэшки или диска. Это блокирует и автозапуск, и автопроигрыш,
перекрывая вирусу путь на компьютер. Но не стоит всецело полагаться на такую
защиту.
Для
обеспечения большей безопасности желательно полностью отключить автозапуск,
даже с CD и DVD. Для этого можно внести изменения в реестр Windows.
Это просто сделать через стандартную панель администрирования. Для этого нужно
нажать «Пуск» – «Выполнить» – gpedit.msc. Далее в открывшемся окне:
«Конфигурация компьютера» – «Административные шаблоны» – «Система» – «Отключить
автозапуск». В свойствах нужно выбрать пункт «Отключен» и в списке ниже указать
«На всех устройствах». Конечно, стопроцентной гарантии безопасности это не
даст, но лишним не будет.
Занести
на свой компьютер вирусы можно и через собственную флэшку, если она побывала на
зараженном компьютере. Первый признак
«заразы» – ниоткуда взявшиеся папки Temporary files, Common files, Temp data, $RECYCLE.BIN,
а тем более файлы pagefile.sys, boot.ini и прочие. Это строго системная информация,
и она может храниться только на одном разделе с Windows. На
логическом диске, а тем более на флэшке, ее быть НЕ МОЖЕТ! Если же они есть,
значит, это какие-то «куски» вируса маскируются. Все указанные выше файлы
нужно удалить с накопителя, но будьте внимательны, НЕ удалите эти файлы по
ошибке с системного раздела жесткого диска. Это может привести к краху Windows.
Особенно
внимательно нужно искать на флэшке файл autorun.inf.
Если его нет, нужно создать пустой файл autorun.inf и защитить его
от записи. Кстати, если вдруг при создании этого файла вылезет сообщение вроде
«заменить имеющийся файл autorun.inf новым
файлом…» – значит, либо у вас не отображаются скрытые файлы, либо вы имеете
дело с серьезными вирусами, которые умеют очень хорошо маскироваться. Но в
любом случае защищенный от записи авторан сильно усложнит вирусам жизнь. Сказанное
в равной степени относится к XP и Windows Vista.
Для
обеспечения полной безопасности необходимо пользоваться антивирусными
программами. Например, Kaspersky Antivirus и Antihacker, Dr. Web а также продукция компании Symantec прекрасно справляются со своей задачей. Но они не могут работать без установки,
что иногда просто необходимо. Существует целый класс программ, которые
называются portable-антивирусы. Они не требуют установки, миниатюрны и
могут работать прямо с флэшки. Единственный минус такого софта – антивирусы
могут только искать уже живущие в компьютере вирусы, а противодействовать заражению
с флэшек им не всегда удается.
PORTABLE-АТИВИРУСЫ
Среди
существующих мобильных антивирусов можно выделить следующие:
McAfee AVERT Stinger
Portable Antivirus
Avast! Virus Cleaner
ClamWin Free Antivirus Portable
McAfee AVERT Stinger
Разработчик:McAfee, Inc
Сайт: www.vil.nai.com/vil/stinger/default.aspx
Размер дистрибутива: 1.8
Мб
«Противодействие
жалу» – именно так можно перевести название на русский язык. Оно как нельзя
лучше отражает предназначение программы. McAfee AVERT Stinger не позволит вирусам ужалить компьютер. Но о серьезной
защите говорить трудно, так как Stinger представляет
собой один исполняемый файл. Это скорее программа для антивирусной
профилактики. По умолчанию McAfee AVERT Stinger умеет удалять около 200 вирусов. С их списком можно ознакомиться в настройках. Существенно,
расширить арсенал противоядий можно, регулярно скачивая с сайта McAfee обновления.
 |
Stinger – программка, которая может бороться почти с двумя сотнями флэш-вирусов |
Работа
с программой проста – в интерфейсе у неё всего две кнопки «Scan now» и «Stop». Перед запуском проверки требуется только указать
нужные диски. В настройках приложения находится классический для любых
антивирусов перечень: можно заставить программу проверять процессы, boot-сектора;
указать, что делать с найденными вирусами (сообщать, лечить, удалять). Также
можно выбрать, какие файлы стоит проверять: архивы, музыку и пр.
Portable Antivirus
Разработчик: Data0.net Software
Сайт: www.data0.net
Размер дистрибутива: 108
Кб
Эта
миниатюрная малазийская программа, по функциям идентичная Stinger от McAfee, и тоже представляет собой одинокий экзешник. Большая
красная кнопка «Scan Now» запускает полную проверку
компьютера. В настройках можно указать отдельные диски или папки, где
следует искать вирусы. Поиск возможен и по процессам. Пожалуй, это все, что
можно сказать об этой программе.
 |
Portable Antivirus |
Avast! Virus Cleaner
Разработчик: ALWIL Software
Сайт: www.avast.com
Размер дистрибутива: 398
Кб
Еще
одна миниатюрная программа в одном файле. Но, в отличие от других, Virus Cleaner честно предупреждает, что может удалить лишь
ограниченное количество вирусов, для постоянной защиты нужно использовать
полную версию программы, например Avast! Pro.
 |
Avast! Virus Cleaner |
Весь
интерфейс – три кнопки, одна из которых «Выход». Программа может делать
только полное обследование компьютера, нельзя выбирать отдельные диски или
папки. VC противодействует
более чем сотне различных вирусов. Это число нисколько не радует, для серьезной
защиты программа должна знать как минимум тысячу «тварей». Огорчает и чудовищно
долгое время проверки – трудно даже оценить, когда она завершится. Одно радует:Virus Cleaner – это хотя и очень урезанный, но неплохой продукт
очень уважаемой на рынке антивирусов компании. Это дает какие-то гарантии
безопасности.
ClamWin Free Antivirus
Разработчик:ClamWin Pty Ltd
Сайт: www.clamwin.org
Размер дистрибутива: 6,3
Мб
Этот
программный продукт является самым мощным средством для борьбы с вирусами, хотя
на первый взгляд его интерфейс также удивляет простотой. Всего-то три кнопки и
короткая строка меню. Но за этой простотой скрывается серьезный потенциал. Free Antivirus постоянно
предлагает скачать специальную антивирусную базу. Она просто необходимо для
работы любой антивирусной программы.
 |
ClamWin Free Antivirus |
В
зависимости от настроек, Free Antivirus может проверить на наличие вирусов что угодно: оперативную память, папки и файлы,
целые диски или весь компьютер сразу.
Вообще, эта программа имеет очень большое количество настроек. Задать можно
все: от действий при обнаружении вируса до прокси-серверов. Есть смысл указать
типы файлов, в которых не стоит искать вирусы. И наоборот, где вирусы стоит
искать сильнее всего. Можно задать, насколько глубоко Free Antivirus должен «копать» в архивах, ставить ограничения по их размеру.
Интересная
особенность программы – отчеты о выполненной проверке могут быть просто
сохранены в текстовом файле, а могут быть отправлены на указанный e-mail.
Являясь
бесплатной программой с открытым кодом, Free Antivirus запросто может
составить конкуренцию именитым коммерческим продуктам. Эта программа отлично
выполняет свою главную и единственную функцию – антивирусную защиту. Нужно
только вовремя делать проверку компьютера и не забывать скачивать свежую базу.
Хотя со старой базой Free Antivirus делать проверку
попросту откажется.
ИТОГ
«А
вы случайно сами вирусы не пишете, чтобы потом на них же «противоядие» продавать?»
– подобные вопросы часто задают производителям антивирусного софта. На что те
просто смеются и говорят, что они и так не успевают обновлять свои антивирусные
базы. Трудно сказать, сколько новых вирусов рождается за год, но по разным
данным число это десятки гигабайт. При том, что даже самая вредная «программка»
редко весит более 100 Кб, речь идет о миллионах новых вирусов. Конечно,
подавляющее большинство из них едва ли может причинить какой-то вред. Но и
действительно опасные «твари» пишутся тысячами. Но качественный и
количественный рост «популяции» не так страшен, ведь даже самые опасные и
изощренные вирусы «по воздуху» не распространяются. Гораздо опаснее появление
новых способов их переноски. Ведь трояны вроде Switchblade и USB Hacksaw существуют
уже много лет. Но именно та легкость, с которой они попали в компьютер,
заставляется задуматься. Получается, теперь никто не защищен от вирусов?
Раньше
считалось, что 95% вирусов заражают компьютер по вине пользователя – вставленный
диск, устаревшие антивирусные базы, невнимательность и прочее. Сейчас уже все
немного по-другому. От пользователя уже ничего не требуется. На самом деле это
не совсем так. От пользователя по-прежнему требуется внимание, внимание и еще
раз внимание. Особенно при работе с прочими мобильными устройствами вроде
разных медиаплееров, фотоаппаратов, цифровых диктофонов, некоторых мобильников
и прочей техники. Кроме того, на компьютере просто обязана быть установлена
хорошая антивирусная программа со свежими базами, а если имеется постоянное
широкополосное подключение к интернету, то желательно иметь и программы вроде
файерволов и сетевых мониторов.
Примечательно,
что на проходившем 25 апреля в Москве Партнерском форуме Microsoft были розданы
зараженные флэшки. Только после конференции было обнаружено, что на части
флэшек находится посторонняя программа RavMonE.exe, которая оказалась трояном…
Уж
если такой гигант, как Microsoft, не смог предотвратить заражение собственных флэшек,
то обычным пользователям стоит задуматься о том, что даже, казалось бы,
проверенная флэшка может привести к заражению компьютера.
Добавлять комментарии могут только зарегистрированные пользователи.
[
Регистрация |
Вход ]
;)
;)
;)
;)
;)
;)
