Компютърни вируси

Всеки компютърен вирус е програма, която заразява други компютърни програми или документи чрез тяхното модифициране, като вмъква в тях соботвеното си копие. Не всички вируси са проектирани да извършват повреди в инфектираните компютри, но най-често те наистина го правят. Вирусите се предават от компютър на компютър когато във вече заразения такъв се изпълни инфектираната програма или се отвори инфектираният документ.
Вирусите се разпространяват изключително бързо поради две основни причини:

1. Недостатъчната компетентност и доверчивото поведение на Интернет потребителите.
2. Липсата на навици и възможности да се използват съвременни антивирусни продукти.

Типове вируси
a. Файл-инфектори
Прикрепват се към обикновени програмни файлове, притежаващи някое от следните разширения: .exe, .com, .sys, .dll, .ovl, .src, .scr. Болшинството от този тип вируси, при първото изпълнение или отваряне на инфектираната програма, се скриват в паметта на компютъра и заразяват всяка впоследствие въведена програма. Някои са полиморфни вируси, които произвеждат променящо се (но работоспособно!) копие на себе си посредством самокриптиране с променлив ключ. Последното се прави с надеждата, че антивирусните програми няма да бъдат в състояние да открият промененото копие.
b. Инфектори на файловата система
Не изменят самата програма, а само нейния елемент в управляващата таблица (Directory Table), така че вирусът се зарежда и изпълнява преди набелязаната програма.
c. Макровируси
Инфектират документи на Microsoft Office - най-често файлове на Word и Excel.
Написани са на т.н. скрипт-ориентирани програмни езици, а за Office97 и на Visual Basic.
Тези вируси предизвикват най-различни изменения като: разместване на думи в документите, промяна в цветовете на екрана, форматиране на диска, изпращане на документи по E-mail без уведомяване на потребителя и много, много други.
d. Инфектори на системни или boot записи
Заразяват изпълнимия код на някои системни области, които не са обикновени файлове, например: boot сектора на DOS от диска или дискетата, MBR записа на фиксирания диск, променят CMOS параметрите (в резултат на което CMOS паметта се оказва извън допустимото адресно пространтство и не може да бъде използвана)
e. Троянски кон
Изпълняват съвсем други функции, а не тези, които са обявени в описанието или заглавието им. За разлика от традиционните вируси, тези програми не инфектират други файлове, но могат да причинят сериозни неприятности, например да изпращат на определен адрес в Интернет файла с паролите на заразения компютър.
f. Многоцелеви вируси
Инфектират както файлове, така и boot записи от диска.


Web пробиви (атаки)

За разлика от вирусите, които за да бъдат активирани е необходимо да бъде изпълнена съответната програма, този вид атаки се извършват от автоматично изпълними програми, чието предназначение е отново кражба или разрушаване на данните в компютъра. Те могат да бъдат инсталирани в компютъра Ви докато Вие сърфирате в Интернет, правите download на необходими файлове от чужди сайтове или (най-често!) сте в ICQ или IRC сесия. Този тип програми могат да бъдат Java аплети, ActivX обекти, Java скриптове, Visual Basic скриптове или практически всеки нов програмен език, предназначен за проектиране на Web страници. Те могат да бъдат скрити в компютъра Ви и истинската жертва да не сте Вие, а някой друг конкретен потребител на Интернет, като активирането им в такъв случай става или автоматично, или с команда от техния създател. Използват се често за компроментиране на конкретни мрежи или компании, какъвто бе случаят с програмата PICTURE.EXE от началото на 1999г., която препращаше към неизвестни E-mail адреси кодовете и паролите на много от абонатите на America Online.

Типове Web пробиви

a. Java аплети
Тези програми са предназначени да се изпълняват от Интернет клиенти, съдържащи т.н. Java Virtual Machine (JVM)- обикновено Internet Explorer или Netscape Navigator. Езикът Java бе създаден от фирмата Sun Microsystems и в него има вградени защитни функции, но вече много от действуващите в Интернет JVM не са създадени от Sun. В резултат на това в Интернет съществуват стотици аплети, които могат да причинят сериозни проблеми въпреки защитните функции на езика Java, като:
отказ от обслужване (Denial-of-Service) - задръстване на конкретния сървер с огромен поток от пакети, които го блокират изцяло и го правят недостъпен за обикновенните му потребители (спомнете си случая със сървърите на Yahoo, Microsoft и др. от 02.2000г.);
крадене на пароли или други системни ресурси на потребителите на атакувания сървер. Java аплетите се инсталират автоматично и се изпълняват незабавно без да подозирате за разрушителните им функции, ако не разполагате с необходимата "защитна стена".
b. ActivX програми
Предназначени са за изпълнение от Windows-базирани приложения, поддържащи ActivX, най-често Internet Explorer. За разлика от Java аплетите, тези програми нямат специфичен програмен език. ActivX няма вградени защитни функции и програмите от този тип могат да правят всичко, което един програмист може да пожелае: да модифицират информацията в бази-данни, да копират файлове от диска и ги препращат където авторът им пожелае, да изключват компютъра, да предизвикват Denial-of-Service (DoS) атака, да изтриват файлове, да форматират дискове и пр.
c. Скриптове
Създават се чрез съществуващите скрипт-ориентирани езици, като JavaScript, VBScript и др. Вграждат се в HTML кода на Интеренет страниците и се изпълняват от почти всички Интернет приложения. По принцип те са по-слаби от Java аплетите и ActivX програмите, но като тях могат да модифицират файлове или да предизвикват DoS атаки. Опасността им за Интернет потребителите нараства заради една допълнителна тяхна функция - възможността чрез тях да се изпълняват Java аплети, ActivX програми и други програмни файлове без потребителят да усеща това.
d. Cookies (ще ги наричаме "кукита" вместо буквалният им превод - "бисквити")
По принцип това са текстови файлове, които се записват в локалния диск, когато посещавате един сайт в Интернет. Те се използват впоследствие, като улесняват повторното посещение на същия сайт, но освен това всяко куки съдържа конкретна информация, попълнена от посетения Интернет сайт. Някои примери за такива данни, записани в диска на компютъра Ви: паролата Ви за достъп до сайта (ако той е защитен), покупателните Ви навици (ако сте пазарували чрез този сайт), посетените страници (т.е. от какво се интересувате) и пр.
Понеже кукитата не съдържат изпълними програми, самите те не могат да предизвикат някаква атака, но тъй като те съдържат поверителна информация относно Вашите навици, тя би могла да бъде прочетена от друг Интернет сайт посредством подходящо направен скрипт или ActivX програма.

Как става заразяването

1. Чрез обмен на дискети
Твърде стар и тривиален начин, при който не е необходимо да сте свързани с Интернет. Решението е да инсталирате на компютъра си съвременна антивирусна програма и чрез нея да сканирате всички външни дискети и нелицензирани CD дискове преди да използвате програмите и файловете от тях.
2. Чрез електронна поща
Електронната поща е най-използваното приложение на Интернет. Много често освен текст към писмата има прикрепени файлове от различен тип, които могат да съдържат както вируси, така и други опасни програми - аплети, скриптове и др. Ситуацията се утежнява от факта, че съвременните E-mail програми, които функционират в персоналните компютри, могат да получават писма в HTML формат и тези програми изпълняват антоматично скритите в такива писма скриптове.
3. При свързване с Интернет сайтове
Така нареченото "сърфиране" в Интернет е втората по честота на използването Интернет услуга. При това почти всички Интернет сървери използват най-новите технологии, като Java и ActivX програми, за да създават динамични и впечатляващи Интернет страници. Тези програми се зареждат и изпълняват автоматично при обръщане към съответната страница.
В основните използвани браузери - Internet Explorer и Netscape Communicator съществуват възможности да се забрани изпълнението на Java и ActivX приложения, но болшинството интернет сървери изискват тези технологии да бъдат активни, за да предоставят съответната Web страница. За съжаление едва ли има Интернет сървери, които могат да се похвалят с абсолютна обезопасеност и непробиваемост от страна на кракери. Това се дължи на изключително сложните и разнообразни Интернет приложения, които функционират в тях и в които рано или късно могат да бъдат открити грешки, допускащи неоторизиран достъп до базисния софтуер. По този начин злонамерени лица с достатъчно опит могат да проникнат във всеки сървер и да инсталират скриптове или програми в някои Web страници на сървера, без съответния администратор да знае за това.
4. При ICQ или IRC сесии
Едно от любимите занимания на тийнейджърите е т.н. "бърборене" (chat) в Интернет.
Твърде опасно удоволствие, защото тези сесии се следят от кракерите, които с подходящи програми (предлагат се в изобилие от кракерските сървери по света) могат да проникнат в собствения Ви компютър и или да изтеглят файла с паролата, или да причинят някаква друга вреда.
5. При теглене (download) на файлове
Често използвана процедура, която, макар и с по-малка вероятност, Ви излага на повечето от изброените до тук опасности. Ето защо, преди да изпълните изтегления файл, проверете го с инсталирания в компютъра Ви антивирусен продукт.


Как да се предпазим

Надяваме се, че успяхме да Ви убедим, че Интернет не е безопасно място. Нистина, животът Ви не е застрашен, но може сериозно да пострада портфейлът Ви. Разбира се, не считайте, че при всяко влизане в Интернет ще получите вирус или ще бъдете атакувани по друг начин, но не забравяйте за опасностите и вземете мерки, за да се предпазите от тях.
1. Избор на подходящи пароли
Много наши Интернет потребители подхождат лекомислено при избор на паролите си.
2. Инсталиране на защитни програмни продукти
Този е най-сигурният начин за защита, който по понятни причини рядко се използва от българските Интернет потребители. Тези продукти са два типа: антивирусни програми и програми, изпълняващи ролята на "защитна стена" (firewall) за компютъра Ви или за локалната Ви мрежа. В сайта могат да се намерят множество такива продукти. Във форума има много дискусии за антивирусен софтуер. Изберете си вие сами подходящия, след като прочетете съветите на другите.
Обръщаме внимание върху едно много важно условие при ползване на защитни продукти: необходимо е да разполагате постоянно с последния му обновен вариант, както и с най-новия вариант на неговата база-данни, ако има такава, за да бъде защитата Ви ефективна.


Какво да направя ако открия вирусна инфекция?

Не се панирайте. Често пъти обхванати от паниката може да допуснете грешки и да причините по-големи щети от колкото самият вирус би причинил. Веднага рестартирайте компютъра и заредете от ГАРАНТИРАНО ЧИСТА СИСТЕМНА ДИСКЕТА, ЗАЩИТЕНА СРЕЩУ ЗАПИС. Когато рестартирате използвайте бутона - Reset! Не използвайте комбинацията: CTRL-ALT-DEL защото повечето вируси са способни да издържат удара и остават в паметта! Ако няма бутон Reset изключете компютъра и го включете отново.
Стартирайте антивирусна програма (най-добре под DOS) за да откриете вирусите и заразените файлове. Най-добре използвайте няколко програми от различни производители което би ви осигурило по-пълно засичане на заразените файлове и вируса (вирусите) които са ги заразили.
Изтрийте всички заразени файлове и ги възстановете от архив. Проверете дали настройките във вашият BIOS не са разбъркани от вируса. Някой вируси променят настройките на BIOS-а така че да се прескачат флопитата ви. Ако настройките са разбъркани ги възстановете. Други вируси просто разбъркват настройките на вашият BIOS за да не може въобще да стартирате компютъра. Други вируси се записват в BIOS-а на вашият компютър и се зареждат с данните за компютъра. Препоръчително е да изтривате всичките заразените файлове защото няма гаранция че изчистването на файла (ако е възможно) е отстранило тялото и кода на вируса изцяло и коректно и има възможност "изчистеният" файл да се зарази отново. Това може да се случи когато вирусният код не е правилно или напълно премахнат. Кода може да се саморегенерира и да пресъздаде вируса и да презарази отново целият компютър или мрежа. Винаги възстановявайте файловете от архив след като заразените файлове са изтрити. Това е много добра предпазна мярка срещу вируси. Когато е засечена инфекция веднага преформатирайте всички ваши дискети които са масово използвани от BIOS-а на вашият компютър ако тази опция е включена (някои стари BIOS-и нямат директно записана настройваща програма на самия чип и ползват специални дискети на които е записана настройващата програма.) Това ще ви предпази от повторно заразяване. Вирусът създава множество свой копия върху дискетата - заразява я. Ако тези дискети се използват повторно преди да се преформатират ще се разпространи заразата отново. Преди да стартирате коя да е анти-вирусна програма трябва да рестартирате от ГАРАНТИРАНО ЧИСТА системна дискета, която ТРЯБВА ДА БЪДЕ ЗАЩИТЕНА СРЕЩУ ЗАПИС. Програмите които ще се стартират срещу вирусите трябва да са на същата системна дискета от която е заредено. Не мислете, че положението е неспасяемо при BIOS вирусите, въпреки че след всяко изчистване всичко пак се заразява. Премахването на такъв вирус не е препоръчително в домашни условия и е желателно само като крайна мярка. Ето и как става това. Стартирайте BIOS и внимателно препишете всички ваши настойки. Сваля се от дънната платка батерииката захранваща BIOS и се сваля и BIOS чипa за около 1 минута - достатъчна да се изтрият променливите на опциите на BIOS и самия вирус. После по обратен ред върнете на местата обратно първо BIOS чипа и после батерииката. Включете компютъра и възстановете обратно настойките които старателно преписахте в началото.
Добра идея е при Windows 9X да използвате сканиране от Safe mode защото тогва се зарежда само Windows в минимален режим и ако има вируси те няма да се заредят освен ако не са заразили win.com файла
Ако вируса се разпространява по E-Mail то тогава препишете всичките си адреси в тефтерче и ги изтриите от адресната книга, после спрете интернет връзката, откачете телефония кабел от модема и следвайте горните точки в тази глава.
Задължително проверете за допълнителни съвети за премахването на конкретен вирус. Примерът по-долу е за вируса TROJ_SIRCAM.A
1. След пускане на антивирусна програма се открива вируса. Нека програмата докладва, че го е премахнала.
2. Въпреки всичко направете задължително търсене в Google за името на този вирус.
Ето някои резултати:
http://www.autism-pdd.net/worm.html
http://www.trendmicro.com/vinfo/virusencyc...e=WORM_SIRCAM.A
http://plovdiv.techno-link.com/buletin/25072001_25.htm

Последният е на български език и на тази страница пише например:

Ръчно премахване: TROJ_SIRCAM.A
Изключете се от мрежата.
Стартирайте REGEDIT.EXE
Отидете в HKEY_CLASSES_ROOT\exefile\shell\open\command
В десни панел, кликнете 2 пъти с мишката на (Default) и изтрийте C:\Recycled\SirC32.exe оставяйки само “%1” %* (двойни кавички , процент, едно ,двойни кавички ,процент, звездичка).
Стартирайте REGEDIT.EXE
Отидете в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
В десния панел изтрийте стойността Driver32
Отидете в HKEY_LOCAL_MACHINE\Software\Sircam и изтрийте ключа(key) Sircam
Отидете в MSDOS Prompt и в Windows\System folder. (C:\Windows\System or C:\Winnt\System32)
Напишете ATTRIB –S –H –R SCAM32.EXE за да махнете атрибута за скрит файл за файла на 'троянския кон' .
Напишете DEL SCAM32.EXE за да изтрийте файла на 'троянския кон' .
Изчистете Recycle Bin избирайки Empty Recycle Bin.
Отидете в Windows фолдера и потърсете RUN32.EXE.
Ако съществува файл RUNDLL32.EXE , изтрийте го и преименувайте RUN32.EXE на RUNDLL32.EXE
Отворете за редакция AUTOEXEC.BAT
Изтрийте @win \recycled\Sirc32.exe
Рестартирайте компютъра.

Както виждате процедурата не е лесна за начинаещи потребители

Ще се радваме, ако съм ви бил полезен!!!