Компьютерные вирусы вчера сегодня завтра

Я в теме много лет и начинал еще тогда, когда про эти вирусы и не знал никто, да и мало кому было знать. Компьютеры, программирование было уделом очень небольшой группы профессионалов. Это сейчас, постучал некий «чел» по клавишам, поиграл в игрушки и уже считает себя специалистом. Ниже я попытаюсь изложить некоторые мысли на предмет, что такое вирусы, вредоносные программы и как с этим бороться. Может быть, кому-то они покажутся глупыми, а, может, и помогут разобраться. Попытка не пытка, раз уж взялся. Давайте сразу, «писание» вирусов это уголовное преступление и чтобы потом к этому не возвращаться, решил сделать небольшую вставочку:

Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ
1. Создание программ для ЭВМ или внесение изменений в существующие программы, заведомо приводящих к несанкционированному уничтожению, блокированию, модификации либо копированию информации, нарушению работы ЭВМ, системы ЭВМ или их сети, а равно использование либо распространение таких программ или машинных носителей с такими программами -
наказываются лишением свободы на срок до трех лет со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Те же деяния, повлекшие по неосторожности тяжкие последствия, наказываются лишением свободы на срок от трех до семи лет.

Так что же такое вредоносная программа. Вы знаете, вопрос далеко не очевиден. По сути, любая программа вредоносная. Вот компьютерные игры с бродилками и стрелялками – вредоносная программа –конечно. Такие программы развивают агрессивность, склонность к терроризму. Авторам можно и уголовное дело пришить. Или, к примеру, бухгалтерская программа 1С. Там все настолько автоматизировано, что бухгалтерский учет в мелкой белой фирме может вести человек, в бухгалтерском учете особо и не разбирающийся за более чем скромную зарплату. Что это – вред. А почему нет. Профессиональные бухгалтеры не могут найти себе достойную работу, их замещают дилетанты. Так скоро и что такое бухучет могут позабыть.
А может ли программа без какого то предварительного умысла нанести вред, причем немалый. Конечно, вот пример из моей практики:
Я тогда руководил отделом по разработке информационно-поисковых систем (что-то типа современного Яндекса). Была у меня сотрудница – молодой специалист после ВМК МГУ и писала она некую программу. Так вот, стал меня теребить начальник нашего ВЦ, мол, твои сотрудники ломают ЕС ЭВМ своими программами. Моя реакция – ты в своем уме, как программа может сломать ЭВМ. Ну и тут телефонный звонок: срочно приходи и посмотри. Прихожу, ЭВМ висит. Ну что, включение – выключение и запуск этой программы. Результат меня убил. Все стихло. На консоли машины не мигают лампочки. Давлю на кнопку Interrupt ( была такая и «автоматически» прерывала работу процессора) – никакой реакции. Ну что, беру листинг
программы и начинаю изучать. Мне повезло, минут через 40 я нашел глючное место и обвел его фломастером. Вызываю дивчину, показываю это место и говорю: если ты сознательно написала такой код, то я про все забуду, а ты со временем всех нас переплюнешь. Смотрела она, смотрела и так ничего и не сказала, мол, все нормально. Девочка, говорю я ей, ты знаешь – программирование это не твое, иди ты лучше со своим МГУ в «аналитики», там ты не пропадешь. И она меня послушалась.
А представьте себе, что фрагмент вредоносного кода был бы прикрыт и запускался, к примеру, в пятницу 13. Можно было бы эту дивчину и к уголовной ответственности привлечь (но раньше таких законов не было). Вирусы появились где-то чуть более 20 лет назад. За весь мир говорить не буду, а в России вреда от них поначалу было много. Времена были смутные, многие профессиональные программисты оказались на распутье и развлекались, пописывая такие вирусы. Для МС ДОС это было довольно просто. Если Вы случайно подцепили такой вирус, то последствия могли быть самыми тяжелыми. Такой вирус мог весь софт с компа снести к чертовой матери и нужно было все восстанавливать с нуля. Тогда же стали появляться и «антивирусные» программы. Пионером в этой области был Лозинский, но сейчас он не в теме и лично я про него очень давно ничего не слышал. Тогда же стали поговаривать о том, что не сами ли «антивирусологи» эти вирусы и пишут с целью подзаработать на лечении от вирусов. Давайте сразу, может ли профессиональный программист написать действительно опасный вирус – конечно, может, если очень захочет. Можно ли этот вирус отловить или тем более вылечиться от него. Однозначно нет. Вот я много лет занимаюсь системой Клиент-Банк. Не надо говорить, что это такое. Мои системы выдержали тысячи установок и, слава богу, никаких проблем не было. Не вдаваясь в детали, скажу, что в этих программах есть немало тщательно укрытых мест, в которых выполняются «вредоносные» операции, связанные с перемещением, рассылкой, уничтожением данных. Так что написание таких фрагментов я вполне освоил и вполне могу написать убойный вирус, который снесет на Вашем компе все что можно. Или, можно укрыть в теле «вредоносной программы» бесконечный цикл, который в ту же пятницу 13 будет намертво вешать Ваш комп. Можно ли такой вирус отловить, а тем более вылечить. Ну конечно нет. Для начала ведь нужно знать идеи, на которых такой вирус создан. А они у каждого свои. Даже если в руки «вирусолога» попадет EXE-модуль, зараженный таким вирусом, то чтобы разобраться с этим, он должен иметь квалификацию уж никак не хуже автора вируса, о времени на отлов вируса потратит гораздо больше, чем автор на его написание. Имеем парадоксальную ситуацию: на каждый серьезный вирус должен быть свой антивирусолог, по квалификации превосходящий автора. Ну, это же глупость. Да и зачем профессиональный программист будет писать вирус: денег ему не заплатят, неприятности поиметь может. Разве что хочет кому-то отомстить, то это явление разовое, а не массовое. Или просто маньяк, но это исключительный случай. Никакие Касперские здесь не помогут. Какой «вред» мы сейчас имеем от вирусов. Ну, тормоза появляются у компа, в перезагрузку вылетает, может что-то еще по мелочам. Я регулярно читаю компьютерную прессу и что-то не слышал о вирусах, которые комп намертво убивают. Поэтому «мнение» о том, что вирусы пописывают сами антивирусологи и потом лечат от них за денежки, не лишено оснований. Да и что мы имеем, одна антивирусная программа некий вирус лечит, другая не лечит. Конкуренция, скажите Вы и будете правы. А почему бы антивирусным фирмам специально не подбросить вирусок, который их программа «лечит» а конкуренты нет. Конечно, эти фирмы убойные вирусы писать не будут, ведь могут докопаться. Далее, представим себе, некий вирус поселился, к примеру, в DLL-библиотеке Windows.Как его отловить. Ну, для начала нужно иметь базу данных оригиналов этих библиотек для всех версий с учетом постоянных обновлений. Вы представляете, какая это работа и сколько народу должно работать в таких антивирусных фирмах. А размер антивирусных баз, которые эти фирмы «продают» - наверное, по-более дистрибутива самой операционной системы, даже если все ужать и заменить некими контрольными суммами.
Ну да ладно, купили Вы антивирусный пакет и установили. Что Вы получили, помимо просто расхода дискового пространства, а получили Вы приличные тормоза в работе. Да еще развлечения типа выкидывания сообщений «ваш компьютер атаковали, но мы успешно отразили эту атаку». Получили Вы надежную гарантию от вредоносных программ, конечно нет. Вот Вас развели, что, к примеру, NORTON плохой, а NOD хороший.
Ну что, нужно папу Нортона удалять. А это весьма не простая задача(чуть ниже об этом). Проходит время и Вас опять лечат, что NOD плохой, а новая версия Нортона – это то, что надо. Удаляете Вы NOD, пытаетесь ставить Нортон, а он и говорит – не могу, я уже установлен. А изгнать все следы Нортона из системы под силу только очень подготовленному человеку, простой юзер с этим не справится. Вы знаете, доходит до курьезов. Неоднократно читал в прессе, что некие антивирусные программы опознают как вирусы фрагменты, оставшиеся в системе от ранее удаленного Касперского – парадокс, да и только. Со всех углов нас убеждают, что мир полон злоумышленников, которые денно и нощно строчат эти проклятые вирусы, и только наши герои - антивирусные компании могут нас спасти. Побойтесь бога, ну сколько же таких злоумышленников, что, толковым людям делать больше нечего. Ведь любой нормальный программист лучше возьмет, да и склепает хорошую утилитку - и известность получит, и денег заработает. Сколько было в мире шума по поводу проблемы 2000, ожидался, чуть ли не конец света, потратили уйму денег. Хотя нормальные программисты прекрасно знали, что никакой проблемы то и нет, а кто их слушал. Только потом, когда и деньги все были потрачены и ситуация прояснилась эту проблему занесли в список антирекордов Гиннеса.
Вы что, считаете, что я Вас отговариваю покупать антивирусные программы. Да ни в коем случае. Вреда от них нет, а пользы – это как повезет.
Так что же получается, вирусы, «вредоносные» программы – это отчасти пропагандистский миф что ли. Как бы не так. Сейчас я перехожу к главному, из-за чего я и затеял писать эту статью.
Да, есть злоумышленники, много их. Но их цель отнюдь не в том чтобы навредить бедному юзеру, который сидит у себя дома, мирно щелкает по клавишам и никому не мешает. Цель в другом – заставить этого юзера «помочь» им в их неблаговидных делах. Давайте сразу поговорим об интересе к конкретному юзеру, чтобы потом к этому не возвращаться. У юзера могут быть кредитные карты, денежные WEB-кошельки, естественно в придачу к ним пароли. А почему бы не узнать их и не увести денежки у клиента. Вот это уже божий промысел. Иногда можно просто нагреть клиента на конкретные денежки без всяких там карт и паролей. Вот пример, который я воспроизвожу из рассказа мне конкретной жертвы. Сидит эта жертва у себя дома и работает в интернете, интернет через Dial-up. И замечает, при дозвоне куда-то не туда попадает, слышит шумы, какие-то слова. Связывается еще разок и все вроде в порядке. Но вот выкатывают ему счет за международные звонки аж куда-то в Африку. Он в панике и бежит разбираться на телефонный узел. Ему в ответ – интернет есть, есть говорит. У тебя вирус, это он тебе все испортил. Вопрос, кому это выгодно. Таинственному злоумышленнику или тому, кто с этой жертвы получил конкретные деньги в виде оплаты за «международный» телефонный разговор. Выводы делайте сами. Дальше, а почему бы не использовать Ваш компьютер для массовой рассылки спама. За это платят деньги и немалые. А Вы, если Вы простой юзер, даже можете этого и не заметить. Можно подписать Вас на участие в Ddos-атаках. Это когда с Вашего компа идет поток обращений к некому сайту, который «заказали». Этот сайт фактически блокируется и становится неработоспособным. Что Вы имеете, во первых тормоза на свою работу, во вторых подсаживаетесь на деньги, если у Вас трафик платный. Для таких вредоносных программ придумали красивый термин Троян. Где можно подцепить Троян. Если Вы лазаете по сомнительным сайтам с порнографией и т.п. Далее, если Вы сознательно решили поучаствовать в «незаконных» проектах. Это в первую очередь пиринговые сети и торрент-клиенты. В международном масштабе их пытается запретить, грозят судами, но пока чего-то не получается. А соблазн велик. Именно там Вы можете скачать все последние фильмы, музыку, пиратский софт. При установке себе торрент-клиента Вы наверняка заполучите Троян. Еще один путь, если Вы решили поиграть в хакера. Вот попал Вам интересный фильм в форме зашифрованного RAR-архива. Такое бывает часто. Хочется взломать и в ИНЕТ Вам предложат много взломщиков паролей, как бесплатных, так и платных. При установке такого взломщика есть очень хорошие шансы заполучить Троян. Для борьбы с такими явлениями «используются» ( почему в кавычках – это то же что антивирусные программы, шума много а полных гарантий нет) специальные программы Брандмауэры( сетевые экраны). Довольно долго такие программы делали специализированные фирмы (не Нортон, не Касперский), но и метры не остались в долгу. Стали они выпускать интегрированные пакеты на все случаи жизни, конечно за соответствующую цену. Странное явление – походите по компьютерным магазинам на предмет покупки лицензионного софта. К примеру, лицензионные Windows, MS Office, Photoshop, Corel Вы можете сходу и не найти. А антивирусные пакеты представлены в изобилии везде – парадокс. Кстати, а кто является крестным отцом Троянов. Рискну высказать крамольную мысль – Билл Гейтс. Что такое его автоматические обновления – Троян да и только. Установите Вы у себя его брандмауэр в режиме автоматического обновления(рекомендуется) и получите легальный Троян, который постоянно будет лазать на их сайт и отжирать Ваш трафик. Вам это надо - решайте сами. Далее, где обычно живут вредоносные программы. Самые примитивные – в отдельных EXE-файлах. Такого вредителя Вы можете и сами найти. Загляните в ветку реестра, отвечающую за запуск программ при старте системы (Run). Полный путь не пишу – длинный очень, но разберетесь. Увидите там таинственную программу, которую Вы точно не ставили – удаляйте к чертовой матери. Все нормальные программы при инсталляции спрашивают, нужно ли ее включать в автозагрузку. Мой совет – сразу не надо, включите потом если Вам понравиться. Следующее место в EXE, DLL файлах Windows. Написать такой вирус гораздо сложнее, нужно очень хорошо знать систему, чтобы прицепить, к примеру, к DLL-библиотеке свой кусочек. Но при этом естественно меняется длина, контрольная сумма(для особо хитрых). Найдет ли такую вещь разрекламированный антивирус, может найдет, а может и нет. А вылечить, под большим сомнением, ведь для этого он должен иметь чистый вариант такой библиотеки именно для вашей версии ОС. А если сделает замену некорректно, то Вам таких дров наломает, похуже вируса. Но Вы и сами можете некоторые меры предпринять. Вставьте диск с дистрибутивом вашей системы(если он у Вас есть) и командной строке запустите “ SFC /Scannow”. Система подумает и выдаст Вам сведения о покореженных файлах. А дальше уже ясно, что делать. Но это уже прошлый век. Так коммерческие (а не просто вредные) вирусы уже не пишут. Используют технологию РУТКИТ. Это когда вирус живет в некоей скромной штатной программке и ничем до поры до времени себя не проявляет. Никакие антивирусы его не найдут. А вот тронули Вы эту программку и он просыпается, естественно под другим именем. Ведь обнаружить работающий Троян легко, для этого и антивирус не нужен. Есть много бесплатных программ, которые отображают сетевую активность(я давно использую cports.exe и мне нравится). Такая программа покажет Вам куда от Вас идут данные, но автора, как правило и не покажет. Вот жил у меня хитрый Троян, который Нортон видел, но вырубить не мог. На их сайте была целая дискуссия по этому поводу и они выяснили, что активизируется этот Троян при запуске штатного блокнота(заметим, что это только на момент выяснения, а что будет потом). Ну не будет же Нортон вырубать Вам штатную программу ОС. Я просто перенес ее с другого компа и все вроде успокоилось. Под что любят маскироваться такие Трояны-вирусы, да под программы Билла, которые заведуют безопасностью и автоматическим обновлением. Это, к примеру wuauclt.exe, wscntfy.exe. Загляните в диспетчер процессов и можете увидеть, что таких программок запущено две, а может и больше. Причем одна запущена системой, а остальные от Вашего имени, но Вы то их точно не запускали. Убьете Вы эти процессы, а спустя какое-то время они опять появятся. Вы можете пойти на радикальные методы – послать Билла со своими обновлениями и безопасностью и стереть эти файла физически(конечно, при этом Вы эти функции потеряете). Думаете, поможет – нет. Опять эти товарищи появятся, ведь они физически не существуют, а эмулируются черт знает чем. Кто же адресат Ваших левых выходов в сеть. Утилиты отображения сетевой активности их иногда показывают. Вот у меня появляются некие saltar.ru, tns-counter.ru,front2.imho.ru. Вы знаете, а такие сайты действительно существуют. Но с какой стати от меня на них идет трафик. Конечно, Вы можете через ETC/hosts переадресовать этих ребят на себя, т.е. на 127.0.0.1, но это уже не для рядового юзера, да и всех проблем не решит, могут другие ребята появиться. Кто это все делает, а черт его знает. Вот запустили Вы торрент-клиента, убрали все левые процессы-соединения. Вроде все чисто. Но решили Вы посмотреть, как идет закачка, и подняли торрент из трея. Посмотрели, а теперь опять взгляните на сетевую активность – появились снова. Ясно, что торрент-клиент их и активизирует, но куда же без него. Дает ли Вам серьезные гарантии покупка новейшего и дорогущего антивирусного пакета. Наверное, нет. Какой из них лучше – ну это тема специального исследования, которое на общественных началах никто проводить и не будет. К тому же вопросы этики. Ну, не будет же Касперский публично хаять Нортона. Хотя одно время, к примеру, ходили слухи, что авторы тестов для видеокарт вроде как куплены Nvidia, и на этих картах все хорошо и показывают. Но это слухи и не более. Что я могу сказать, у меня лучшие результаты показывает “AD-Aware”. Эта штука существует и в облегченной бесплатной версии. Как она ко мне попала, это песня. Прошел я мучительную процедуру регистрации и вроде могу скачивать, ан нет. Для Украины можно, а для России нельзя - политика. Ну, достал я эту штуку, установил и работаю. И тут получаю на мыло письмо, типа спасибо, что достали наш продукт и работаете с ним. Казалось бы пустяк, а приятно. Но, ясно же, что эта программа «троянит» на своих хозяев. Так что заканчиваю я свою статью на минорной ноте. Что делать – или послать этот ИНЕТ к чертовой матери, или терпеть.
Ведь это мир большой политики и огромных денег и мы там песчинки в космосе. Все таки надеюсь, что у Вас хватило терпения дочитать до конца, и буду очень рад, если кому-то хоть немного помогло.

Если у Вас хватило терпения дочитать до конца и настроение это Вам не ухудшило, можете скачать текст virus.rtf