Кошмарные цифры
"Вирусный психоз": не поддайтесь на обман
Заражение страхом
Катастрофа, которой не было
Java и ActiveX: кусается ли "Паутина"?
Нет дыма без огня?
Антивирусные программы на сервере PC World
Спокойствие, только спокойствие: десять советов о том, как жить при вирусах
Информация о вирусах в Web
Некоторые термины из мира вирусов

На первый взгляд все складывается против нас. Несмотря на рост использования антивирусных программ вирусы продолжают распространяться с угрожающей скоростью. Эксперты утверждают, что число известных в настоящее время вирусов для PC перевалило за десять тысяч. По данным независимого обследования, проведенного Национальной ассоциацией по компьютерной безопасности США, процент зараженных машин в Северной Америке за прошедший год более чем утроился. В этой статье мы рассмотрим некоторые цифры, полученные в ходе этого опроса, и расскажем о наиболее распространенных сейчас вирусах.

Однако в действительности дела не столь плохи, как может показаться. Из того, что зараженных машин становится больше, еще не следует, что всякий вирус, о котором вы услышите, существует в действительности. Вообще, похоже, единственная вещь, которая распространяется быстрее, чем сами вирусы, - это сопровождающая их истерия. Кто не слышал о безнадежно загубленных жестких дисках и "взрывчатых" почтовых вложениях? В этой молве, конечно, есть доля правды, но очень многое представляет собой плод разгулявшегося воображения людей, склонных делать из мухи слона. Мы научим вас отделять факты от вымысла и расскажем, какие меры предосторожности действительно необходимы при путешествиях в Сети, где почва для вирусов особенно благоприятна.

Вы легко можете защититься, установив современное антивирусное ПО. Лучшие его образцы недороги и просты в использовании, так что обнаружение и удаление вирусов происходит безболезненно и с минимальным участием пользователя (либо вовсе без такового). Некоторые пакеты даже автоматически обновляют себя по Internet, так что вам всегда гарантирована самая свежая версия. Обзор новейших антивирусов по материалам сравнения, проведенного тестовой лабораторией PC World, был опубликован в мартовском номере журнала (русский перевод: Стэн Мястковски. Найти и обезвредить. "Мир ПК", N 4, 1997 г., с. 42. - Прим. ред.).

В этой статье вы найдете советы по предохранению от вирусов, а также список Web-узлов, на которых можно найти информацию о последних вирусах и о способах защиты.

Загляните также в глоссарий. Знакомство с основными терминами "компьютерной вирусологии" поможет вам избежать некоторых распространенных ошибок и не поддаться психозу, неправильно истолковав информацию.

Национальная ассоциация по компьютерной безопасности США (National Computer Security Association, NCSA) - независимая исследовательская организация, проверяющая и сертифицирующая Web-узлы и антивирусные программы. В феврале 1997 г. она обследовала 300 американских фирм с целью выяснить состояние в них антивирусного контроля. Среднее число ПК на одну фирму составляло 2454, число файловых серверов и серверов приложений - 81. Обследование показало, что, хотя машин, на которых применяются современные антивирусные программы, увеличилось на 13% (73% против 60% в 1996 г.), процент зараженных компьютеров (т. е. таких, на которых присутствует хотя бы один вирус) более чем утроился: в 1996 г. на 1000 машин приходилось 10 зараженных, а в 1997 - уже 33.

Кошмарные цифры

По данным NCSA, наиболее распространенным вирусом оказался макровирус Microsoft Word, известный под именем Word.concept: он распространялся быстрее всех и обнаружился в 49% обследованных фирм. Заражения макровирусами разных видов составили около 80% всех заражений, зарегистрированных в ходе обследования. Как заметил старший аналитик NCSA Джон Уит, "сейчас так просто присоединить документ к письму и отослать по электронной почте".

Макровирусы присоединяются к файлам Microsoft Office, таким как документы Word и рабочие листы Excel, и через такие файлы распространяются на другие машины. Если вы передадите коллеге зараженный документ Word, то, как только он откроет этот документ, копия Word на его машине окажется заражена. Word.concept, появившийся в 1995 г., был первым макровирусом. В целом макровирусы относительно безвредны, они доставляют только разные мелкие неудобства: выдают поддельные диалоговые окна, мешают пользователям сохранять файлы. Последние появившиеся виды макровирусов проделывают странные манипуляции с текстами, в частности, дописывают в конец документа что-нибудь вроде:

And finally I would like to say:
STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC

(И в заключение я хотел бы сказать:
ОСТАНОВИТЕ ВСЕ ФРАНЦУЗСКИЕ ЯДЕРНЫЕ ИСПЫТАНИЯ В ТИХОМ ОКЕАНЕ)

В пакете Office 97 имеется встроенная защита от макровирусов. Кроме того, находить и удалять наиболее распространенные макровирусы умеют практически все имеющиеся в продаже антивирусные программы.

Однако похоже, что даже самые суровые меры не смогут в ближайшее время сокрушить макровирусы. Поскольку они пишутся на относительно простом макроязыке Office, создавать их проще, чем вирусы других типов: с этой задачей может справиться даже любитель (в смысле непрограммист), что, конечно, вызывает серьезное беспокойство. В ходе проведенного опроса 43% отвечавших сказали, что по их ощущениям положение с вирусами ухудшилось, и лишь 19% - что улучшилось. Результат особенно удручает, если учесть, что отвечавшие были профессионалами в области информационных технологий и практически во всех фирмах были установлены антивирусные программы для ПК.

"Вирусный психоз": не поддайтесь на обман

Хотя печальные цифры, подобные результатам обследования NCSA, трудно оспаривать, паника вокруг компьютерных вирусов является в большой степени результатом быстро распространяющихся слухов. Розыгрыши типа письма-предупреждения о несуществующем вирусе Good Times (в письме говорится: "если вы читаете этот текст, ваш компьютер уже заражен"; в действительности при его получении ничего не происходит. - Прим. ред.) не дают сидеть без дела антивирусному сообществу (которое, впрочем, не жалуется).

Есть также подозрение, особенно среди независимых исследователей и ученых, что паника и нагнетание страха в значительной мере инспирируются фирмами, продающими программное обеспечение. Ведь чем сильнее люди боятся компьютерных вирусов, тем охотнее покупают антивирусные пакеты.

В конце 1996 г. компания Trend Micro, крупный поставщик антивирусного ПО для фирм, была заподозрена в использовании сообщения о заражении вирусом для саморекламы. История началась с того, что сетевой администратор из нью-йоркской аналитической фирмы Thomson BankWatch Рич Тенаро обнаружил на одной из подведомственных ему машин вирус. Он обезопасил вирус с помощью программы Trend Micro и затем передал образцы зараженных файлов в компанию, которая определила, что это Tedious - вирус, обнаруженный в августе 1996 г., но, согласно имеющейся информации, в свободном состоянии не встречавшийся.

Заражение страхом

Компания Trend выпустила сообщение для прессы, озаглавленное "Новый разрушительный макровирус Tedious обнаружен в свободном состоянии; уничтожает системные файлы и подкаталоги на жестком диске; Trend Micro предлагает бесплатную программу для обнаружения и уничтожения". Несколько служб новостей, в том числе PC World Online, воспроизвели эту информацию.

Затем оказалось, что вирус, напавший на компьютеры Thomson BankWatch, был по своим характеристикам ближе к другому вирусу - Bandung, который хорошо известен, документирован и распознается всеми антивирусными программами. Вопрос так и не разъяснился полностью, но вызвал яростные споры в электронных форумах и конференциях, посвященных вирусам.

"Возросло число сообщений для прессы в сенсационном духе, раздувающих угрозу компьютерных вирусов, - рассказывает Ник Фитцджеральд, консультант по прикладному ПО для персональных компьютеров в университете г. Кентербери (Новая Зеландия). - Такая информация все чаще рассматривается людьми, работающими на переднем крае антивирусных исследований, как приносящая выгоду и, видимо, инспирируется по большей части маркетинговыми отделами соответствующих компаний, причем нередко авторы сообщений не проявляют видимого интереса к точности сведений".

Катастрофа, которой не было

Один из самых заметных случаев ложной паники по поводу вируса относится к первой половине прошлого года, когда информационные агентства разнесли по всему свету весть о том, что 22 августа и 22 сентября активизируется смертельно опасный новый вирус "Харе Кришна". Он, как утверждалось, выдаст загадочное сообщение HDEuthanasia by Demon Emperor: Hare Krishna, hare, hare... (безболезненное умерщвление жесткого диска повелителем демонов: харе, Кришна, харе, харе...), а затем уничтожит всю информацию на диске. Последовали предупреждения о грозящей опасности, а несколько главных производителей антивирусов, в частности, Dr. Solomon и Symantec, выпустили специальные сообщения для прессы, где заверяли клиентов, что их программы смогут защитить компьютеры от катаклизма.

На деле вирус "Харе Кришна" оказался сравнительно безобидным. Сейчас в мире, по оценкам экспертов, есть около сотни зараженных им машин.

"Многие сообщения для прессы, исходящие от фирм, выпускающих антивирусы, страдают преувеличенной напористостью, - считает Фитцджеральд. - Как показывает опыт, рынок программного обеспечения бурно реагирует на "вирусную панику". Некоторые специалисты по маркетингу, видимо, полагают, что он способен выдерживать приступы паники средней тяжести раз в четыре - шесть недель, а тяжелые приступы - примерно раз в полгода".

Специальных источников независимой и надежной информации по "вирусной панике" не существует, но несколько мест, где можно получить хорошую дозу здорового и обоснованного скептицизма, все же есть. Некоторые независимые и заслуживающие доверия Web-узлы, посвященные вирусной проблеме, перечислены на врезке "Web-информация о вирусах".

Java и ActiveX: кусается ли "Паутина"?

Возможность распространения вирусов через Java-аплеты и управляющие элементы ActiveX таит в себе опасность, но пока что лишь теоретическую.

Хотя Java-аплеты и управляющие элементы ActiveX, по мнению большинства экспертов, способны содержать вредоносный код, подобные случаи еще ни разу не были зарегистрированы. Один из наиболее широко известных примеров - это управляющий элемент ActiveX, получивший название Exploder (взрыватель), который вторгается в BIOS и перезагружает компьютер. Exploder представляет собой демонстрацию: программист, создавший его, стремился таким образом показать уязвимость подхода, основанного на использовании ActiveX и Internet Explorer.

Как говорит Роб Розенбергер, консультант по защите от вирусов, который ведет Web-узел Computer Virus Myths (Мифы о компьютерных вирусах; http://www.kumite.com/ myths/home.htm), "Теоретически написать вирус на Java или в технике ActiveX, конечно, возможно, - в том же смысле, в каком теоретически возможно путешествовать со скоростью, равной 98% скорости света".

Нет дыма без огня?

Однако Айгор Греберт, менеджер по продуктам компании Trend Micro, считает, что угроза появления Web-вирусов может стать вполне реальной, когда расширится набор операционных систем со встроенными Java и ActiveX.

"Чем больше платформ будут поддерживать Java, тем больше сочинителей вирусов займутся их написанием на этом языке, - утверждает он. - В данный момент более опасны управляющие элементы ActiveX, поскольку они могут обращаться к вашему локальному диску и локальным ресурсам под управлением Windows 95".

Но, хотя Греберт и признал, что ни один Web-вирус пока никому не встречался в свободном состоянии и, видимо, в ближайшее время не встретится, Trend Micro все же выпустила меморандум, посвященный таким вирусам. В меморандуме, озаглавленном ActiveX and Java: The New Virus Carriers? (ActiveX и Java: новые вирусоносители?), вопрос обсуждается местами в весьма двусмысленных выражениях. Начинается он с леденящей душу истории о написанном на Java вирусе, который заразил файлы финансовой программы Quicken и втихаря переводит куда-то денежки с вашего счета.

В действительности (о чем меморандум умалчивает) этот аплет представляет собой изящный теоретический пример, разработанный в немецком компьютерном клубе Chaos, а вовсе не реальный вирус.

Вот небольшая цитата из меморандума: "Новая угроза состоит в том, что вирусы в составе управляющих элементов ActiveX и Java-аплетов могут распространяться, даже если пользователь не предпримет в явной форме никаких действий. Теперь опасным может оказаться даже простое перемещение по Web".

Это неправда. Угроза Web-вирусов в настоящее время существует лишь в теории. Если же вам непременно нужно застраховаться и от нее, к вашим услугам есть несколько автономных пакетов, в том числе eSafe Protect и Norton Safe on the Web, которые предусматривают защиту от Java и ActiveX. Их пробные версии есть на сервере PC World.


Антивирусные программы на сервере PC World

Компьютерные вирусы, как и живые, адаптируются к среде, чтобы успешнее распространяться. Пока разрабатываются новые программы и совершенствуются старые, полностью предотвратить вторжение вирусов на наши компьютеры практически невозможно. Лучшее, что мы можем сделать, - это защитить компьютеры от известных нам вирусов и принять меры предосторожности против неизвестных.

Антивирусных пакетов на свете множество. Перечисленные ниже утилиты, которые вы можете найти на сервере PC World, делают все, от сканирования файлов на предмет обнаружения известных вирусов до выявления изменений в файлах и загрузочных секторах дисков, которые помогают обнаружить следы деятельности вируса.

Avast32
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4046

Inoculan AntiVirus for Windows 95
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4046

Command Software Systems F-MACRO
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=3897

Command Software Systems F-PROT
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4028

Dr. Solomon's Anti-Virus for Windows 95
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4041

eSafe Protect
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4105

IBM AntiVirus
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4042

Macro-Blaster
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4045

McAfee VirusScan
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=1965

Norman Data Defense Systems ThunderByte AntiVirus
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=931"

Norton Safe on the Web
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4106

Safetynet VirusNet for Windows 95
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4044

SecureNet Technologies V-Net
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4043

Seven Locks Software SWAT
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4047

Touchstone Software PC-cillin II
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=2787

Trend Micro InterScan VirusWall
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=4048

Symantec Norton Antivirus for Windows
http://www.pcworld.com/cgi-bin/database/file_body.pl?ID=935"


Спокойствие, только спокойствие: десять советов о том, как жить при вирусах

Большинство пользователей впадают в панику от одного только предположения - верного или неверного, - что у них на компьютере вирусы. Советы, приводимые здесь, помогут вам сохранить самообладание при виде этих мерзких тварей.

Подключение безвредно

Невозможно заразиться вирусом, просто подключившись к Internet. Чтобы вирус активизировался, вы должны получить с сервера программу и запустить ее на выполнение.

Откажитесь от автоматического запуска

Получив электронное письмо, к которому приложен исполняемый файл, не запускайте этот файл сразу, если не понимаете, что это такое, не слишком хорошо знаете отправителя или не вполне ему доверяете. По электронной почте часто распространяются "троянские кони".

Придерживайте почту

Вирусы действительно могут распространяться по электронной почте, но не в составе самих сообщений, а только как вложения (attachments). Лучшая защита здесь - сохранить вложение как файл, затем проверить его антивирусной программой и лишь затем открыть. Однако следует помнить, что "троянские кони" плохо распознаются антивирусами (см. выше).

Не забывайте проверять дискеты

Вирусы часто попадают в компьютер с дискет. Поэтому обязательно проверяйте антивирусом каждую дискету, вставляемую в дисковод, или запустите резидентную программу, которая будет делать это автоматически при каждом обращении к дискете.

Ум хорошо, а два лучше

Не доверяйте безоговорочно результатам проверки на вирусы. Обнаружение на компьютере чего-либо подозрительного - еще не повод для паники. Если программа не может определить имя предполагаемого вируса или сообщает, что в памяти обнаружены следы вируса, неплохо получить еще одно заключение, т. е. запустить ее более новую версию, а может быть, и совсем другой антивирус.

Подводные камни резервного копирования

Помните, что резервные копии зараженной системы тоже заражены. Обнаружив и уничтожив вирус, обязательно сотрите старые копии и создайте новую, "чистую". Не забудьте также "продезинфицировать" все дискеты, использовавшиеся на зараженной машине.

Не дайте застать себя врасплох

Весьма мудро иметь под рукой аварийную загрузочную дискету, с которой можно будет загрузиться, если система откажется сделать это обычным образом (увы, некоторые вирусы дают такой эффект). Чтобы создать ее в Windows 95, вставьте сформатированную дискету в дисковод A:, выберите на Панели управления значок "Установка и удаление программ", в открывшемся окне на странице "Системный диск" нажмите кнопку "Создать диск" и далее следуйте инструкциям программы. Еще лучше воспользоваться аналогичной функцией антивирусной программы (она есть практически у всех антивирусов) - тогда на аварийной дискете у вас будет "чистая" копия антивируса.

Данные (чаще всего) не заразны

Вирусы - это программы, которые нужно запустить, чтобы они активизировались. Поэтому в файлах данных, текстах, картинках и т. д. вирусов обычно нет. Единственное достойное упоминания исключение - это файлы Word и Excel, которые нередко содержат макровирусы.

Держите наготове защиту от макровирусов

Самый простой способ обезопасить себя в Word 97 и Excel 97 - это включить встроенную защиту от макровирусов. Для этого нужно выбрать в меню "Сервис" пункт "Параметры", на странице "Общие" поставить галочку против режима "защита от вирусов в макросах" и нажать кнопку OK.

Защитите шаблон Normal в Word 97

Большинство макровирусов внедряются в шаблон документов Normal. В Word 97 этот шаблон можно закрыть для изменений. Для этого войдите в редактор Visual Basic ("Сервис"-"Макрос"-"Редактор Visual Basic" или +), выделите в окне проекта проект Normal и выберите в меню "Сервис" пункт "Свойства Normal". Перейдите на закладку "Защита", включите режим "Блокировать просмотр проекта", затем введите и подтвердите пароль. Теперь доступ к Normal.dot закрыт.

Лайза Московиц

Информация о вирусах в Web

Не сидите сложа руки, дожидаясь вирусной атаки, а вооружитесь свежей информацией. Знайте, какие слухи - нелепая выдумка, а какие - печальная истина, будьте в курсе последних достижений антивирусной защиты. Начать знакомство с проблемой лучше всего со следующих Web-узлов.

National Computer Security Association
(http://www.ncsa.com)

Здесь представлена информация о последних появившихся в мире вирусах и об антивирусных пакетах, сертифицированных NCSA, которая является независимой организацией, не связанной ни с одной из сертифицируемых компаний.

Computer Virus Myths
(http://www.kumite.com/myths/home.htm)

На этом узле, принадлежащем Робу Розенбергеру - эксперту-энтузиасту по мифам и розыгрышам, связанным с компьютерными вирусами, - вы сможете познакомиться с массой легенд о вирусах и узнать, как не пасть жертвой слухов.

Stiller Research
(http://www.stiller.com)

Общая информация о вирусах: распространенные мифы, новые версии антивирусов и сообщения о них, советы по работе с дисками.

IBM's AntiVirus Online
(http://198.4.83.197/current/FrontPage/)

Информационный бюллетень, подробно освещающий все новости, касающиеся вирусов. Сообщения о вирусах и ложных "вирусных тревогах", антивирусных программах, ссылка на исследовательский центр IBM.

От редакции

Информацию о вирусах на русском языке можно найти на Web-узлах фирм "Диалог-наука" (http://www.dials.ccas.ru) и AVP, где есть специальный раздел "Энциклопедия вирусов" (http://www.avp.ru/virusenc/). Постоянная страничка, посвященная вирусам, имеется также в электронном журнале "Перекресток" (http://www.cross.ru/net/virus/); ее ведет Евгений Касперский. Ни один из этих источников нельзя считать независимым, но компетентность и добросовестность экспертов не вызывают сомнений.


Некоторые термины из мира вирусов

Термины, относящиеся к вирусам, звучат подчас устрашающе, но лучше не пугаться, а понимать. Здесь мы кратко истолкуем наиболее часто встречающиеся термины, используемые при обсуждении компьютерных вирусов.

загрузочный вирус

Вирусов этого типа больше всего; они передаются с компьютера на компьютер через дискеты и поражают загрузочный сектор жесткого диска; внимательно следите за тем, чтобы не оставить случайно диск в дисководе A: при перезагрузке; именно в такой момент загрузочные вирусы чаще всего попадают на машину.

файловый вирус

Внедряется, как правило, в исполняемые exe- и com-файлы; грамотно написанный вирус размножается и выполняет другие действия, не нарушая работу зараженной им программы и никак себя не проявляя.

в свободном состоянии

Точно так же, как одни звери живут в диких лесах, а другие заперты в клетках в зоопарке, некоторые вирусы могут существовать только в исследовательских лабораториях, никогда не распространяясь за их пределы, в то время как другие будут разгуливать по джунглям (болотам, пустыням?) Internet.

макровирус

Квазивирус, написанный на макроязыке, который может распространяться через документы. Заражению такими вирусами подвержены файлы Microsoft Word и Excel.

файлово-загрузочный вирус

Помесь файлового и загрузочного вируса: способен поражать и файлы, и загрузочные секторы дисков.

полиморфный вирус

Меняющийся зашифрованный вирус, который постоянно мутирует, избегая таким путем антивирусных сканеров, которые ищут вирус по так называемой сигнатуре - неизменному фрагменту кода.

стелс-вирус

Вирус, использующий специальные приемы, чтобы скрыться от антивирусных программ (например, он может временно выгружаться из памяти).

"троянский конь"

Программа, которая притворяется, что выполняет какую-то полезную функцию, а в действительности портит данные или "вынюхивает" на компьютере информацию, не подлежащую разглашению.

1079