Архивы: по дате | по разделам | по авторам

Вирусов не бывает?

автор : Тимофей Бахвалов 17.02.2005

Интернет опасен, полон вирусов, червей и спама? Автор "Компьютерры" поставил опыт. Он выключил антивирус, удалил брандмауэр и отставил свой компьютер без всякой защиты. Прошло несколько месяцев, но никакая зараза не пробралась на его машину.

"Современный интернет таит в себе массу угроз и опасностей для любого домашнего и корпоративного пользователя". Это утверждение давно стало не требующей доказательств аксиомой. интернет опасен, полон вирусов, червей, спама и прочей заразы. Это знают даже дети, к этому привыкли, вирусов боятся до паранойи и истерик - не дай бог, заберется и сотрет папку "Мои документы"! Но так ли страшен черт, как его малюют?

Цифры

По оценкам крупнейших аналитических агентств Gartner, IDC и Deloitte & Touche, расходы на информационную безопасность корпоративного сектора до 2008 года будут расти примерно на 30% в год. Несказанная и необъяснимая щедрость, притом что IT-бюджеты компаний растут в среднем лишь на 5–6% в год.

По данным IDC, общемировой оборот рынка антивирусного, антихакерского и анти-malware ПО (брандмауэров и фильтров) в 2004 году превысил $4,2 млрд., а к 2008 году эта цифра достигнет $7,5 млрд. (ежегодный рост - 16,9%). Что это - реальная потребность или "осваивание средств" потребителей?

К 2008 году оборот рынка антивирусного ПО вырастет, утверждают аналитики IDC, до $4,85 млрд. (на 12,5%в год). Речь идет только о продажах антивирусных пакетов; эта цифра не включает консультационные услуги, за которые корпорации выложат и вовсе астрономические суммы. Так, цена того же самого отчета IDC "Worldwide Secure Content Management 2004–2008 Forecast Update and 2003 Vendor Shares" (IDC #31598, август 2004) с прогнозами роста рынка и расчетами долей вендоров (первое место, кстати, занимает компания Symantec с 33% рынка), составляет, ни много ни мало, $4500.

Вирусные и другие подобные страхи - это, прежде всего, огромные деньги. Корпорации безропотно платят за страшную статистику эпидемий, смакуемую экспертами и аналитиками (факты и цифры отчетов предоставляют, естественно, сами вендоры ПО обеспечения инфобезопасности). И даже бесстрашные домашние пользователи вынуждены сегодня платить за антивирусы, ведь OEM-версии последних уже давно идут "в нагрузку" к большинству новых ПК и ноутбуков, подобно операционной системе…

Угрозы?

На начало февраля сего года в базу данных, пожалуй, самого популярного в России Антивируса Касперского включено более 110 тысяч записей о вирусах и различных вредоносных программах.

110 тысяч - это очень серьезная цифра, учитывая скорость, с которой вирусы умеют размножаться в незащищенной среде. Но у нас возник вопрос - действительно ли антивирус и firewall необходимы среднестатистическому домашнему пользователю, когда мощность компьютера последнего не всегда располагает к установке дополнительных резидентных программ, отличающихся, к слову, завидной прожорливостью. Как ни странно, но статьи и советы о том, как защитить ПК и не подхватить по глупости вирус в интернете, можно пересчитать по пальцам. На запрос "заразиться вирусом" поисковая система Google в первой десятке выдает ссылки на сайты вроде AIDS.ru. Пятым идет сайт авиакомпании "Аэрофлот" с текстом о возможности заражения вирусом атипичной пневмонии в самолете.

Не найдете вы рекомендаций по компьютерной гигиене и на сайтах вендоров антивирусных программ. Что, впрочем, логично - зачем им отнимать хлеб у самих себя? Но не спешите в панике бежать в магазин и выкладывать свои кровные.

Мы провели эксперимент, результатом которого стал ряд простейших рекомендаций. Их соблюдение поможет вашему ПК избежать заражения даже самыми страшными вирусами.

Чистота эксперимента

В течение полугода ноутбук Samsung P35 под управлением Windows XP Home Edition был постоянно (24 часа в сутки, с редкими перезагрузками при установке обновлений и новых пакетов) подключен к интернету по ADSL-каналу с фиксированным IP (питерский провайдер Web Plus). Кроме этого, не реже, чем раз в неделю, мы на несколько часов подключаличь к Сети через модемное соединение, используя распространенные prepaid-карты.

Предустановленный Norton AntiVirus 2003 был удален; брандмауэры и фильтры любого рода в системе отсутствовали. С выходом и установкой русской версии Service Pack 2 для Windows XP встроенный брандмауэр Windows тоже был отключен. Была отключена и функция автоматического архивирования и восстановления системы. Свойства безопасности браузера Internet Explorer были выставлены на значения по умолчанию, включено принятие всех cookies, из надстроек над системой был активирован только блок всплывающих окон, появившийся в SP2. Помимо IE отдельные страницы открывались браузером Opera 7.5. В качестве почтового клиента использовался The Bat! 2.12, почта проверялась ежедневно, велась активная переписка и обмен документами. Файлы по ftp загружались клиентом BulletProof FTP, по http - стандартными средствами браузеров. Из множества ICQ-совместимых IM-клиентов использовался Miranda версии 0.3.3.1.

Таким образом, компьютер был гол, как сокол, и являлся, если пользоваться логикой разработчиков антивирусных пакетов, идеальной жертвой для хакеров и вирусов.

В ходе эксперимента несколько раз в неделю посещались сайты с так называемым варезом - оттуда скачивалось и устанавливалось нелицензионное и взломанное ПО (разумеется, исключительно в тестовых целях, и после завершения тестов файлы безжалостно удалялись). Программы скачивались и из P2P-сетей Gnutella и eDonkey. Там же бралась музыка и фильмы.

С помощью найденных в Сети крэков и генераторов ключей было взломано несколько десятков игр и программ (удалена проверка на наличие компакт-диска, сняты ограничения демонстрационных версий и т. п.). За это время было просмотрено около полусотни "сомнительных" сайтов, в том числе порнографических и явно распространяющих вредоносные приложения под видом полезных утилит и элементов ActiveX (надеемся, что и эти действия предпринимались исключительно в тестовых целях. - Прим. ред.).

Отметим, что перед проведением эксперимента из системы была удалена виртуальная машина Java от компании Sun. В большинстве случаев машина не нужна простому пользователю, а ее удаление позволяет не беспокоиться о вредоносных Java-скриптах, которые зачастую пробираются и устанавливаются в системы, не требуя никаких подтверждений и действий от пользователя, - для заражения достаточно лишь зайти на вредоносную страницу.

Спустя полгода ноутбук, через который за это время прошло более 30 Гбайт трафика, был проверен на вирусы. Для этого использовался Антивирус Касперского v5.0.18 Personal Pro с самыми актуальными базами на день проверки. Результат приятно порадовал - ни одного вируса (рис. 1).

Отдельно отметим, что Microsoft Office 97 SR-2, каталогизатор 4-MP3, утилита для анализа и подсчета объема сетевого трафика DU Meter, альтернатива системным часам DigiDay Clock, а также многие другие старые, но полезные программы были скопированы и установлены на ноутбук с жесткого диска десктопа, который до того момента тоже никогда (!) не знал антивирусов. В ходе четырех апгрейдов жестких дисков, проведенных за последние три года, информация просто копировалась на новые накопители безо всякой проверки на вирусы. Учитывая постоянную работу в интернете и огромный трафик, проходящий через накопители десктопа, программы, по идее, давно должны были пасть жертвой какой-нибудь, хотя бы самой мелкой вирусной напасти и кануть в Лету… Как бы то ни было, факт остается фактом. Установочные файлы хранились без антивирусной защиты от пяти до восьми лет (Я помню лишь один вирус, который заразил мой 486-й, работавший под DOS, и попал на жесткий диск с нелицензионной копией пакета QEMM 7.5. Он был вычислен не антивирусом - зараженный пакет просто не мог загрузиться в память из-за дополнительного кода. Лечить пришлось популярным в то время пакетом Dr. Web, который легко решил проблему).

Помимо антивирусной проверки компьютер был просканирован бесплатным пакетом Ad-Aware SE Personal, Build 1.05 от шведской компании Lavasoft.com. Как и в случае с AVP, использовались свежайшие базы. В результате было обнаружено 115 объектов, получивших статус "критические" (рис. 2). На поверку, все они оказались рекламными cookies, собирающими информацию о моих предпочтениях в интернет-серфинге. Еще 33 объекта несли сведения о последних открываемых файлах различных приложений - от Word до редактора реестра. Ни одного зловредного приложения или модуля, крадущего личную информацию, открывающего порты и т. д. и т. п., обнаружено не было. Девственно чистым оказался и системный реестр. Что это? Чудо? Везение? Нет. Скорее, простейшие правила компьютерной гигиены.

Патчи & трафик

Уже по завершении шестимесячного периода на компьютер был установлен брандмауэр Outpost Firewall Pro ver. 2.5.375.4822 (374) (Kaspersky Anti-Hacker v1.7.130.0 не установился - конфликт с драйверами ADSL-модема оборачивался синим экраном смерти сразу же после загрузки системы). Выяснилось, что за один день делается в среднем около пятидесяти попыток подключения к ноутбуку; кроме того, программа ежедневно фиксировала сканирование портов, но абсолютное большинство из них, при ближайшем рассмотрении, оказалось инициированными самими провайдерами в сервисных целях. Пожалуй, единственное удобство программы - во встроенном блокираторе рекламных баннеров и возможности контроля всех приложений. Файрвол обнаружит любую подозрительную сетевую активность, которую может генерировать вирус или программа, пытающаяся через интернет проверить валидность своей регистрации, и сообщит о ней пользователю.

Отсюда - Главная Рекомендация: регулярно обновляйте свою ОС через систему Windows Update. На тестовом компьютере с лицензионной копией XP все заплатки устанавливались через день-два после выхода. Это простейшее действие - залог того, что хакеры не воспользуются широко известной брешью и ваш компьютер не станет жертвой сетевой атаки (Разумеется, обладатели низкоскоростного подключения к интернету воспримут эту рекомендацию скептически. Что ж, у них есть другой путь - заказать бесплатный диск с копией Service Pack 2, который Microsoft рассылает всем желающим (www.microsoft.com/windowsxp/downloads/updates/sp2/cdorder/en_us/default.mspx)).

Софт

Скачивайте программы только с официальных сайтов и платите за них деньги. Точка. Только тогда можно быть уверенным, что под видом очередного "кряка" к вам не проникнет новый вирус. При скачивании программ из P2P-сетей не пользуйтесь сетями Gnutella - только eDonkey или BitTorrent. Две последние обеспечивают проверку контрольной суммы и имеют системы рейтинга файлов. Соответственно, если распространяемый файл заражен, информация об этом быстро распространяется и файл удаляется из баз поиска. Ссылки на файлы в этих сетях берите только с крупных и известных сайтов - все остальное, увы, лотерея и еще раз лотерея. Ни в коем случае не используйте P2P-сети при поиске "лекарств" для игр и программ - большинство P2P-червей маскирует себя именно под популярные крэки. Важно отметить, что лучший способ подцепить трояна - это скачать первый попавшийся псевдо-crack для ICQ или eDonkey и попробовать его установить. Поверьте на слово, ломалки такого рода - лишь приманка для тех, кто мечтает об "Универсальном Взломщике Интернета" и сим-картах, позволяющих звонить по мобильнику бесплатно. То есть помечтать-то, конечно, можно, но тяга к халяве выходит боком в ста процентах случаев.

E-mai & IM

Предупреждение не открывать нежданные и неизвестные вложения, приходящие по электронной почте, старо как мир, но именно e-mail стала главным фундаментом для распространения вирусов. По оценкам экспертов, около 75% современных вирусов распространяется посредством электронной почты (затем идут P2P-вирусы и гибриды). Вирусы чаще всего приходят с неизвестных адресов и содержат приложение - небольшой исполнительный файл (рис. 3). Текст письма описывает вложение как важное и требующее вашего непосредственного участия. После запуска приложения вирусы чаще всего регистрируются в ключе автозапуска системного реестра, завершают системные процессы, связанные со службами безопасности, и пытаются запретить доступ к сайтам антивирусных компаний. Затем вирусы ищут адреса электронной почты на жестких дисках и рассылают по ним свои копии, нередко используя встроенный smtp-сервер. Такая мощность и функциональность - обычное дело для современных вирусов.

То же самое касается общения через IM - службы мгновенного обмена сообщениями, такие как ICQ, Yahoo!, MSN и пр. Знакомясь через интернет, учтите, что вам могут выслать вирус, замаскированный под фотографию. Имя файла имеет двойное расширение: первое - .jpg, а второе, реальное, будет добавлено в конце, через пару десятков пробелов. В итоге вы увидите только "расширение" .jpg и, приняв файл за картинку, заразите компьютер вирусом.

Если у вас есть подозрение, что файл, который вам обязательно нужно открыть, заражен, - вы можете воспользоваться онлайновыми антивирусными службами. Например, сайт avp.ru позволяет загрузить проблемный файл, проверить и получить отчет о его здоровье. Правда, существует ограничение на размер файла - до 1 Мбайт.

Самый простой способ узнать, не завелся ли у вас в системе вирус, - проверка ветки автозапуска системного реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Откройте ветку редактором реестра (regedit) и посмотрите, нет ли подозрительных файлов, которые при загрузке компьютера запускаются автоматически. Чаще всего вирусы выдают странные имена файлов и невразумительное описание.

Помните, что вирус не сможет заразить ваш компьютер самостоятельно. В большинстве случаев требуется ваше участие - запуск программы, подтверждение установки элементов ActiveX и т. д.

Имейте голову на плечах, не забывайте об обновлении защитных средств, скачивайте только безопасный контент, не открывайте неизвестные сообщения электронной почты - и ваш домашний компьютер обойдется без всяких антивирусов и брандмауэров. Легко!

От редакции: Заметим,что описываемая автором схема действий хоть и эффективна для большинства домашних пользователей, но не является идеальной. Так, отсутствие поддержки Java может перекрыть доступ к внутренним сервисам некоторых сайтов. А сбой в работе оборудования провайдера, фильтрующего за вас львиную долю трафика, нередко приводит к проскальзыванию в образовавшуюся брешь разнообразных червей и троянов. Поэтому если набор действий, которые вы совершаете на компьютере, не меняется изо дня в день, рецепты из этой статьи будут вполне эффективными. А если речь идет о ноутбуке, который активно перемещается вместе с вами, служит разным людям и постоянно подключается к разным сетям, - лучше подстраховать проверенные народные средства с помощью популярных лекарств.

Из журнала "Компьютерра"