Як уберегти комп’ютер від шкідливих програм?

У більшості маленьких фірм серед проблем комп’ютерної безпеки на перше місце виходить захист комп’ютерів від шкідливих програм. Несанкціонований доступ або витоку інформації далеко не так актуальні – у багатьох зламувати просто нічого, нікому або нема чого. Зате від шкідливих і небажаних програм час від часу страждають майже всі!
Часто такі програми називають «комп’ютерними вірусами». Насправді це не зовсім правильно, адже віруси – лише один з різновидів шкідливого ПЗ. В англійській мові його називають «malware». Для всього різноманіття небезпечних програм глава «Лабораторії Касперського» і творець відомого антивіруса Євген Касперський придумав збірна назва «зловредів». По-моєму, воно дуже точно відображає сутність явища! Які «зловредів» відомі на сьогоднішній день?

  • віруси – найстаріша категорія. Відмітна риса вірусу – здатність до «саморазмножению». Одного разу запущена на комп’ютері, така програма створює свої копії, вбудовується в існуючі файли на різних носіях, прописується в автозапуск. Поведінка вірусів зазвичай деструктивне: вони блокують запуск інших програм і служб, змінюють настройки системи, видаляють файли і т. Д.
  • Мережеві і поштові черв’яки (worms) – програми, які розсилають свої копії по локальній мережі, з повідомленнями електронної пошти і т. Д. Деякі черв’яки створюють безліч копій під різними іменами на локальних дисках і поступово заповнюють весь вільний простір.
  • Трояни (троянці, троянські коні, trojans) є засобами віддаленого управління комп’ютером.
  • Руткіт (rootkit) – програмний код, який автоматично змінює налаштування системи, маскуючи дії інших «зловредів», дозволяючи віддалений доступ, відключаючи засоби безпеки і т. Д.
  • Шпигун (spy) – програма, що збирає на зараженому комп’ютері певну інформацію і передає її на «хазяйський» вузол. Такими відомостями можуть бути збережені паролі, контакти, адреси електронної пошти. Різновидом шпигунів є «перехоплювачі клавіатури», або кейлогери (key logger).
  • Програми-жарти іноді бувають дуже злими. Фактично всі «блокувальники» відносяться до цієї категорії.

Хто створює і поширює «зловредів», а головне – навіщо? В недалекому минулому відповідь був ясний: віруси пишуть «комп’ютерні хулігани», а роблять вони це приблизно потім же, навіщо інші малюють на парканах комбінацію з трьох букв або б’ють скло в електричках. У наш час написанням і поширенням шкідливих програм все частіше займаються злочинні угруповання. Головна їх мета – не нашкодити, а витягти свою вигоду.

Перший приклад: «блокувальники-вимагачі». Програма виконується в ході завантаження ОС і тут же блокує подальший запуск системи. Як варіант, завантаження проходить до кінця, але вікно програми закриває весь екран і постійно знаходиться поверх інших вікон. Щоб отримати код для розблокування комп’ютера, пропонується відправити SMS або перерахувати гроші через платіжний термінал. Переведення в готівку переведених сум поставлено «на потік», і ясно, що робиться це далеко не поодинці. У 2010-2011 рр. в Україні було виявлено і знешкоджено кілька шахрайських груп, їх учасники понесли кримінальне покарання. Однак ідея «комп’ютерного рекету» дуже приваблива, і чергові програми такого роду з’являються регулярно.

Інший випадок – так звані ботнети, або зомбі-мережі. Спочатку на комп’ютери користувачів «підсаджуються» трояни, які періодично запитують інструкції з певного вузла в Інтернеті. Трояни можуть виконувати якісь дії самі, а можуть довантажувати з мережі і встановлювати інших «зловредів», заражати такі комп’ютери і т. Д. Поступово утворюється широка мережа «роботів», керованих з єдиного центру. У певний момент по команді з сервера вся бот-мережу починає виконувати задум її організаторів. Наприклад, трояни починають розсилати спам (рекламні повідомлення), причому одні адреси для розсилки вони можуть отримувати централізовано, а інші можуть брати з поштових програм на заражених комп’ютерах.

Інший варіант використання бот-мережі – розподілена атака на сервери в Інтернеті (DDoS-атака). Кожен комп’ютер безперервно відправляє запити на вказаний вузол. Оскільки таких комп’ютерів десятки тисяч, сервер не встигає обробляти звернення і сайт «падає». Атака може бути замовлена ​​і проплачена конкурентами власників сайту – на «послуги» подібного роду існують конкретні розцінки!

Буває, що самі організатори атаки вимагають «відступних» у власників сайту. Добре відома історія трьох російських хакерів, які створили бот-мережу, влаштували атаку на сайт англійської букмекерської контори, а потім запросили з неї викуп. Оскільки прийом ставок йшов в основному через Інтернет, господарі фірми вважали за краще заплатити! Погубила команду жадібність – через деякий час вони вирішили знову «подоїти» ту ж фірму, але на цей раз були заарештовані в ході спільної операції Інтерполу і російської сторони.

Виходить, що власники заражених комп’ютерів стають мимовільними співучасниками злочину. Хоча відповідальність за це не передбачена, все одно неприємно! Багато сучасних «зловредів» поєднують в собі риси троянів, черв’яків і руткітів. Вони необмежено «розмножуються», надають можливість віддаленого управління, змінюють настройки безпеки і т. Д. Тому наведена раніше класифікація стає все більш розпливчатою.

Як же діють «зловредів»? Скажемо відразу – слово «шкідливі» характеризує виключно наше ставлення до таких програм. В іншому це самі звичайні програми або служби Windows, і працюють вони подібно будь-яким іншим програмам.

Перш за все, програма повинна бути запущена і встановлена ​​в системі. «Зловредів» не виняток – в перший раз користувач повинен запустити його сам! Зрозуміло, що ніхто при здоровому глузді не буде свідомо запускати або встановлювати троян на своєму комп’ютері … Для цього вирусописатели придумали безліч вивертів.

  • Шкідливий код може бути впроваджений зловмисником в дистрибутив відомої програми, а сам модифікований дистрибутив викладений на будь-якому сайті. Завантаживши його і запустивши установку, ви автоматично встановлюєте і «зловредів». Кілька років тому хакери зламали сайт податкової служби і підмінили на ньому дистрибутив програми для підготовки звітності в ПФР. Проблему досить швидко помітили і усунули, але це зайвий раз підтверджує правило: від небезпеки не застраховані навіть офіційні сайти серйозних організацій!
  • «Зловредів» може бути замаскований під цілком невинне додаток. Зазвичай це всілякі «прикраси робочого столу», зберігачі екрану, «прискорювачі Інтернету» і т. П. Більшість користувачів із задоволенням скачують і встановлюють такі додатки, не помічаючи підступу. На жаль, тут спрацьовує принцип «сиру в мишоловці».
  • Вам можуть запропонувати скачати з Інтернету якусь картинку, музичний файл або відеокліп. При подвійному натисканні мишею на викачаному файлі видається повідомлення про те, що він пошкоджений і не може бути відкритий. Насправді це виконуваний файл з «подвійним розширенням», ви самі запускаєте його на виконання, а натисканням кнопки OK ви всього лише завершуєте установку «зловредів». Часто подібні файли вкладають в повідомлення електронної пошти з «захоплюючими» назвами.
  • Шкідливий код може міститися безпосередньо на будь-якому сайті, і запускатися на виконання при переході по посиланню. Сучасні технології Інтернету передбачають виконання активних сценаріїв (ActiveX, JavaScript) на веб-сторінках – вирусописатели широко цим користуються. Як варіант, при відвідуванні сайту вам можуть запропонувати установку будь-якого доповнення або поновлення до браузеру «для кращого відображення вмісту сторінки». Найчастіше шкідлива програма встановлюється під виглядом поновлення Flash-плеєра або розширення для Internet Explorer.
  • У розділі «Використання VBA для створення зведених таблиць» говорилося про макрокомандах в документах Microsoft Office. Досить просто написати макрос, який буде виконувати будь-які шкідливі дії. Крім іншого, такий макрос може копіювати себе в інші відкриті документи або таблиці – виходить макровірус. Схожі виконувані сценарії можуть бути присутніми і в документах PDF.
  • Якщо до комп’ютера з ОС Windows підключити знімний диск, на якому присутній файл autorun.inf, система пропонує виконати зазначену в цьому файлі програму. Задумано це було з кращих спонукань: деяким «чайникам» вкрай складно пояснити, як запускати з дисків гри або встановити драйвери. Однак автозапуск використовується і для поширення деяких «зловредів». При підключенні «флешки» до зараженого комп’ютера на неї автоматично записуються виконуваний файл і файл autorun.inf – диск теж заражається. Коли цей диск підключають до іншого комп’ютера, шкідлива програма запускається з нього, заражає наступний комп’ютер і т. Д.

Зробимо висновок: для зараження комп’ютера на ньому необхідно тим чи іншим чином запустити на виконання шкідливий програмний код. В принципі він може міститися не тільки в виконуваних або командних файлах, але і в документах з підтримкою макрокоманд, веб-сторінках зі сценаріями. Шкідливе ПО свідомо не може перебувати в файлах зображень, текстових документах, відеофайли і музичних записах.

Що таке «файл з подвійним розширенням»?

За своєю структурою це звичайний виконуваний файл. Однак йому присвоюють ім’я виду «Картінка.jpg (багато пробілів) .exe», а в сам файл впроваджують відповідний значок. Якщо в Провіднику Windows відображення розширень імен файлів відключено (а саме така настройка за замовчуванням), ви, швидше за все, подумаєте, що це файл малюнка або фотографії. Навіть якщо включити відображення розширень, через безліч прогалин перед «істинним» розширенням більшість користувачів звернуть увагу тільки на перше, «фальшиве» розширення. Але операційну систему так обдурити неможливо! При подвійному натисканні мишею вона сумлінно обробить файл відповідно до його справжнім типом, т. Е. Виконає як програму.

Як зробити, щоб Провідник Windows завжди відображав розширення імен файлів? Відкрийте діалогове вікно параметрів папок (Панель управління → Параметри папок) І перейдіть на вкладку вид. Зніміть прапорець Приховувати розширення для зареєстрованих типів файлів) І натисніть кнопку OK. Подальша поведінка «зловредів» залежить від того, які функції заклав в нього програміст. Насамперед він напевно «пропише» свій автоматичний запуск до реєстру Windows: додасть в нього відповідний ключ або змінить існуючі. Тому шкідлива програма буде кожен раз запускатися при завантаженні операційної системи і продовжувати свою діяльність.

Якщо «зловредів» був задуманий як файловий вірус, він постарається вбудувати свій код в будь-які виконувані файли операційної системи або додатків. Кожен запуск такого «зараженого» файлу призводить до чергового виконання і вірусного коду – зараження комп’ютера триває.

Багато шкідливі програми вживають заходів «самозахисту». Наприклад, шляхом модифікації реєстру (зокрема, політик безпеки) вони забороняють запуск редактора реєстру і диспетчера завдань. В результаті вони позбавляють користувача можливостей виявити і виправити те, що «зловредів» змінив в системних настройках. Цю історію можна продовжувати і продовжувати – винахідливість авторів шкідливих програм не знає кордонів.

Чого не можуть зробити шкідливі програми? Вважається, що вони не в змозі зашкодити апаратну частину комп’ютера. Але навіть це твердження щодо. Багато хто ще пам’ятає вірус «Чорнобиль» ( «CIH»), який переписував вміст BIOS деяких материнських плат. Для відновлення роботи мікросхему доводилося перепрошивати на программаторе. Правда, перед сучасними материнськими платами це сімейство вірусів безсило, а нові «зловредів», здатні зіпсувати комп’ютер на апаратному рівні, більше не з’являлися.

Що ж, утішимося хоча б цим! Завжди залишається радикальний спосіб виправити наслідки шкідливого ПО – відформатувати вінчестер, а потім встановити операційну систему і прикладні програми «з чистого аркуша». Однак це крайній засіб. Краще постараємося взагалі не допустити «зловредів» в комп’ютер, а якщо щось і «проскочить», то спробуємо впоратися з такими загрозами в робочому порядку.

Зауважимо, що все сказане відноситься в основному до ОС Windows. «Зловредів», що діють в середовищі Mac OS, досить нечисленні, а користувачам Linux шкідливе ПО практично не загрожує. Справа тут не тільки в особливостях архітектури цих систем, але і в чисто життєвих міркуваннях. Вірусописьменники майже завжди орієнтуються на «масовий сегмент» – в ньому і наївних користувачів більше, і набагато вище темпи поширення вірусу або трояна, одного разу запущеного в Мережу.

Ссылка на основную публикацию