СВОДКИ С ЗАРАЗНОГО ФРОНТА

3V1L 5P1K3 (fallout@pisem.net)

Спецвыпуск Xakep, номер #032, стр. 032-018-2

Размножение червей по почте через адресную книгу зараженного компа стало на сегодня стандартом. Иногда для рассылки писем со своей копией вирь использует собственный SMTP-механизм, делающий его независимым от установленного на компе софта.

Распространение вирей через загрузочные секторы дискет или дисков уже давно себя изжило. Реже стали появляться макровирусы. Зато, все чаще встречаются вири которые пытаются расползаться через непривычные для них среды. Например, ICQ, P2P сети, чаты IRC.

Чуть ли не половина всех вирусных заражений происходит через дыры в софте. Пальма первенства в отношении количества уязвимостей, бесспорно, за МикроСофтом. Самые дырявые продукты это: аутглюк, ослик IE и ворд. Выход из положения - переходить на альтернативные проги от прочих разработчиков (хотя недавно появилось несколько вирей размножающихся через TheBAT ;(, дыры везде есть) или скачивать каждый день новые заплатки :). Также множество уязвимостей, юзаемых вирусами, лежит в ICQ и peer2peer клиентах (KaZaa, Edonkey). Но куда опаснее дыры в серверном ПО от MS (вспомнить хотя бы эпидемии с вирем CodeRed или Nimda и Microsoft IIS).

ПРОТИВОСТОЯНИЕ

Вот и вечное противостояние вирусов и антивирусов, добра и зла (смотря с какой стороны посмотреть :). Вирям становится все сложнее и сложнее пробиться через навороченную оборону антивируса. В день появляется с десяток новых вирусов, апдейты к антивирусам всеми силами пытаются за ними успеть, выходя по несколько раз в день. Антивирус представляет сейчас уже навороченный комплекс, состоящий из нескольких модулей: сканер - тестит файлы на наличие в них вирусов из базы; эвристический (ну и слово :) анализатор (часть сканера) - пытается эмулировать работу оси и запуск в ней подозрительного файла, по действиям файла делает вывод: вирь или не вирь, монитор - постоянно висит в памяти и следит за каждым новым появившимся файлом; поведенческий блокиратор - смотрит за прогой, не делает ли она запрещенных действий; ревизор диска - сохраняет сведения о состоянии всех файлов и при перезагрузках смотрит не поменялось ли чего и инспектор почты. Ну как, отпало желание писать вирусы :))? На самом деле не все так плохо. Антивирусу очень сложно определить является ли на самом деле программа вирусом, если ее нет в базе. Тут часто бывают проколы, когда безобидную прогу принимают за злостный вирь и наоборот. Плюс, многие юзеры часто выгружают антивирус из памяти, чтобы не жрал ресурсов, да и обновления не все регулярно качают.

СЕГОДНЯ

Современные вирусы сильно отличаются от прошлых. Форматировать винт и обнулять FlashBIOS это уже не модно :), но встречаются и исключения. Частенько вири стали снабжать функциями трояна (отсылка паролей, документов и прочей личной инфы на указанный адрес) и клавиатурного шпиона, бывает, что личные сведения юзера червь выкладывает ради прикола для общего пользования :). Бывает, червяк, обжившись на винте, сливает из сети какой-нибудь другой убойный вирус, ну и запускает его.