Вирус против Windows

Впервые мир узнал о феномене компьютерных вирусов еще в далеком 1959 г. Тогда еще не было ни персональных компьютеров, ни так нужных всем сегодня программистов, ни сверхпопулярной сети интернет. Американский ученый Л.С. Пенроуз опубликовал в журнале "Scientific American" статью о самовоспроизводящихся механических структурах (или просто вирусах). В своей работе он описал простейшую двухмерную модель подобных структур, способных к активации, размножению, мутациям, захвату. Через некоторое время исследователь из США Ф.Ж.Штель практически реализовал эту модель с помощью программы на IBM 650.

В то время компьютеры занимали целые комнаты и были доступны лишь крупным компаниям и учебным заведениям. Но по мере развития технологий эти огромные вычислительные монстры уменьшались в размерах, цене и сложности. Настал момент, когда доступ к электронной машине получили самые разнообразные слои общества. Ученые сменились студентами и системными администраторами. У последних же было много свободного времени и желания поэкспериментировать┘

До 1995 г. вирусы не доставляли особых хлопот пользователям - их обнаружение было скорее исключением из правила, чем самим правилом. Но все изменилось с появлением на рынке операционной системы Windows 95 - пришли не только комфорт и удобство пользователей, но и очень питательная среда для вирусов. Новая Windows покорила весь мир, стала стандартом на многие годы вперед. Пакет офисных программ для работы с текстами и таблицами (MS Office) стал основным инструментом обработки любой документации. Однако его уязвимость позволила появиться на свет первой вирусной эпидемии.

Первый вирус, о котором заговорил мир, жил в обычных документах самого известного текстового редактора программы Word (входящей в состав MS Office). Конечно, с точки зрения программиста, это были не простые текстовые файлы, а целые программы, написанные на специальном языке Visual Basic for Application. Но об этом рядовые пользователи даже и не подозревали. Вирус Concept заражал текстовые документы Word. Он очень быстро распространился по всему миру и на многие недели остановил документооборот крупных компаний. По данным "Лаборатории Касперского", одного из крупнейших производителей антивирусной продукции в мире, он поразил около 1600 пользователей (в данном случае под пользователями понимаются как крупные корпорации, так и обычные физические лица). Эпидемия длилась несколько лет, с 1995 по 1998 г.

Если вдуматься, то 1600 - это пренебрежимо мало, но лиха беда начало. В начале 2002 г. разразилась эпидемия вируса Lentin - он за один месяц поразил около 35 тыс. компьютеров. Первому вирусу потребовалось несколько лет, чтобы достичь результата в 20 раз меньшего, чем этот. Однако Lentin не явился абсолютным рекордсменом: после него пришел вирус по имени Klez. В России его окрестили "Клещ" за умение приспосабливаться, цепляться и просачиваться в самые уязвимые места вашего компьютера. По данным "Лаборатории Касперского", рекорд "Клеща" составил 28 тыс. инцидентов за один месяц! Но если подсчитать статистику с начала 2002 года до октября месяца, то Klez вызвал 105 тыс. заражений.

И это не предел: сейчас в интернете буйствуют еще два вируса - Tanatos и Opasoft. По предварительным данным, они превзойдут по количеству инцидентов легендарного "Клеща" в 1,5-2 раза. Это уже не охота. Это война. Теперь статистика такова: получая от своих друзей электронные письма, вы никогда не сможете быть уверены в том, что эти письма не инфицированы. Пока не воспользуетесь антивирусом. Об одном из них и пойдет речь дальше.

Понять, как работают антивирусные программы, можно на примере продукта "Лаборатории Касперского". "Антивирус Касперского" состоит из нескольких модулей, каждый из которых отвечает за определенный круг задач. Основными модулями являются сканер, монитор, поведенческий блокиратор, ревизор диска, инспектор почты.

Сканер - это самый древний и эффективный способ борьбы с вирусами. Сегодня сканер является сердцем любого антивируса, его ядром, представляя собой механизм, на вход которого подается файл (любой), а на выходе появляется информация о том, заражен файл или нет. Если заражен, то сканер может попытаться вылечить "больного" (но не все вирусы поддаются лечению) или удалить его (многие вирусы не дают себя удалять обычными средствами).

Очевидно, что такой способ позволяет находить только уже известные вирусы (чьи данные внесены в базу). С новыми, только что появившимися паразитами работает эвристический анализатор - второй способ борьбы, используемый сканером. Эвристический анализатор - это воплощение искусственного интеллекта, анализирующее поведение подозрительного файла (его действия). Эвристический анализатор действует примерно следующим образом: он эмулирует операционную систему и запускает в ней испытуемый файл. Если это не вирус, то файл будет нормально работать и никаких подозрений не вызовет. В противном случае паразит попытается размножиться, заразить соседа или украсть важные данные.

Монитор - это обязательная составляющая антивируса, программа, позволяющая облегчить использование сканера. Правила безопасности гласят: если пришло электронное письмо, его надо проверить; если необходимо переписать файлы с дискеты - их нужно проверить; прежде чем скачать любой файл из интернета, необходимо убедиться в его безопасности. Каждый раз запускать сканер неудобно: долго, нудно и часто забывается. Монитор же постоянно сидит в памяти компьютера и осуществляет все проверки самостоятельно. Ресурсов на это тратится совсем немного, и компьютер работает в обычном режиме.

Поведенческий блокиратор действует так: запускает какой-нибудь файл и каждое его действие сверяет со списком недопустимых. Если действие совпадает, то оно блокируется. При этом пользователю может выдаваться предупреждение о том, что файл подозрительно себя ведет.

Список блокируемых действий составить достаточно просто: попытка обратиться к вашим личным данным (например, базе, где записаны все адреса ваших знакомых), системным файлам, еще чему-нибудь, что файлу не положено. Например, вы запустили простой документ Word, а он при этом пытается подключиться к интернету. Не правда ли, подозрительно? На этот случай и предусмотрен блокиратор.

Ревизор диска - это очень полезный модуль. Его суть в том, чтобы подсчитать для каждого файла на вашем диске контрольную сумму (это уникальный параметр, зависящий от всех свойств файла) и сохранить ее в таблице. При каждой перезагрузке компьютера ревизор сверяет свои данные с вновь вычисленными. Если обнаруживается несовпадение, то по определенным критериям можно определить, кому принадлежат изменения - пользователю или вирусу.

Инспектор почты - это встраиваемый в почтовый клиент модуль. Он интегрируется с той программой, которой вы получаете/отправляете почту. Таким образом, вы получаете возможность проверить на вирусы приходящие сообщения еще до того, как они будут записаны на диск. В принципе этот модуль дублирует часть функций монитора (ведь именно он отвечает за автоматическую проверку всего нового), но на самом деле инспектор почты позволяет решить много проблем, связанных с несовместимостью антивируса и почтового клиента. Так как принципы работы и способы хранения информации на диске почтовых клиентов серьезно различаются, многие антивирусы не могут корректно проверять почтовые сообщения. Именно для решения этих задач и создавался инспектор почты.

Вся совокупность перечисленных выше инструментов и создает то поле защиты, в котором пользователь может чувствовать себя относительно спокойно под покровительством "искусственного разума". Однако борьба с вирусами, как матчи гроссмейстеров с компьютерными системами не прекращается никогда - и требует постоянного напряжения от создателей защитных модулей и постоянных обновлений. И пусть Крамник свел последний матч вничью, у человека всегда есть шанс на победу - хотя в контексте борьбы с компьютерной заразой это уже не радует.