Послесловие к компьютерному Чернобылю

Спустя две недели после 26 апреля есть возможность спокойно поразмышлять на тему о том, почему многие пользователи и даже опытные программисты оказались не готовы к атаке Win95.CIH, прозванного в народе "Чернобыльским чихом".

Берусь утверждать, что эта эпидемия была самой серьезной по своим последствиям. По некоторым данным, всего в разных странах было выведено из строя около полумиллиона компьютеров. Пострадали, главным образом, Европа и Азия. Америку спасла предыдущая эпопея с Meliss'ой, заставившая проверить диски и обновить антивирусы.

Но если Melissa вывела из строя на время только "почтовые ящики", то "Чих" навредил гораздо больше. Самый крайний вариант - замена "железа", а самый распространенный - потеря данных. В прессе уже полно историй о слезах по набранным за несколько лет и потерянным в один день книгам и диссертациям. А как быть с бухгалтерией за несколько лет работы? Или со статистическими данными, которые крупное учреждение накапливало лет пять-восемь, и о возможной потере которых даже страшно сообщить начальству?

Шокирующее впечатление производил на пользователей и самый первый контакт с вирусом. Например, один из клиентов "ВирусБлокАды" рассказывал, как утром включил компьютер, а там загрузка только с диска "А", и больше ничего!

Начались поиски знающих друзей и знакомых, и только тогда, когда увидели, что подобное творится у многих (например, мне один знакомый сообщил о вышедших из строя ПК сразу у восьми друзей-студентов), поняли, что происходит что-то чрезвычайное.

Спасался, кто как мог. Кто бодро пытался бороться сам, кто выключал ПК на весь день, а кто успел, то перебивал дату с 26.04 на любую другую. Кому все это не помогало, обращались уже к специалистам.

Вот, например, некоторые факты от "ВирусБлокАды": в первые дни поступило более 100 звонков, в основном, от минских пользователей, затем пошли обращения из регионов. Наиболее частый вопрос вначале: "Почему у нас не запускается компьютер?", а после появления соответствующей информации в СМИ: "У нас Чих, что делать?". Следующая волна обращений была от пользователей, которые пытались вылечиться с помощью "народных умельцев".

Самое удивительное во всей этой истории, что Win95.CIH известен уже целый год (он даже внесен в список десяти самых распространенных вирусов в мире и в этой десятке отмечен как самый вредоносный) и обезвреживается практически всеми антивирусными программами. Накануне 26-го числа во многих СМИ появились предупреждающие сообщения: в частности, 24 апреля на одном из московских семинаров о нем говорил Касперский. А на сайте КВ с 3 апреля даже проходил специальный форум по этому вирусу.

Уже после эпидемии опять же на сайте КВ был проведен специальный опрос на тему "Как часто Вы проверяете компьютер на наличие вирусов?", в котором приняли участие более 200 человек. Вот его результаты:

Пару раз в месяц - 43,1%

1-2 раза в неделю - 21,3%

Раз в день - 6,4%

Несколько раз в день - 2,5%

Вообще не проверяю - 26,4%

Похоже, что мужик действительно перекрестился, когда гром уже грянул, но не более того.

На этом примере убеждаешься в правоте специалистов-вирусологов, которые считают, что наибольший ущерб наносят, как ни парадоксально, давно известные и успешно уничтожаемые вирусы. В прошлом это был One Half, а теперь вот "ВинЧих".

Так почему же компьютеры становятся такой легкой добычей вирусов? На первый взгляд, причина - в деньгах. Но вирусологи с этим не согласны и их доводы представляются довольно убедительными. В качестве одного из аргументов приводится такой пример, что фирмы порой на канцелярские товары тратят больше, чем на антивирусные программы.

Более того, все известные разработчики предлагают для так называемых SOHO-клиентов (Small Office/Home Office) различные "облегченные" варианты своих программных продуктов бесплатно, например, AVP-Light или программа-детектор от VBA. Для тех, кто еще не воспользовался подобными возможностями, советуем заглянуть по следующим адресам: www.vba.com.by, www.DialogNauka.ru, www.kasperskylab.ru.

Вторая причина - забывание или нежелание пользоватей выполнять основные меры предосторожности. Чаще всего, как известно, вирусы приходят с внешних носителей (дискет и др.) или из Интернета. В последнем случае наиболее подозрительны сообщения, присланные от неизвестных отправителей, либо исполняемые файлы. Еще одна потенциальная угроза, получившая очень широкое распространение именно в последнее время - пиратские CD, и, судя по недавним событиям, многие подцепили "ВинЧих" как раз оттуда.

Здесь, на мой взгляд, совсем не лишним было бы предусмотреть в антивируснике такую функцию, как автоматическая проверка новых файлов или запрет на их открытие без такой проверки.

Профилактические же проверки, по мнению специалистов, лучше проводить не 1-2 раза в месяц, как указало большинство на упомянутом форуме, а, как минимум, раз в день, а то и 3 раза - утром, днем и в конце работы. В таком режиме очень бы пригодилось и назначение задания на автоматическую антивирусную проверку в фоном режиме всех вновь поступивших файлов либо всей системы целиком, либо наиболее важных ее участков.

Если же таких возможностей или желания пока нет, то остается только ориентироваться на наиболее известные признаки появления вирусов в системе. К ним относятся: замедление работы операционной системы; уменьшение свободного места на логическом диске; вывод нестандартных сообщений; необычные видеоэффекты; самопроизвольные попытки записи на защищенную от записи дискету при чтении ее содержимого.

Недавние события акцентировали внимание и на таком способе профилактики, как разделение жесткого диска на несколько логических, один из которых используется в качестве системного, а другие как пользовательские. В этом случае борьба с последствиями вирусов имеет гораздо больше шансов на успех, во всяком случае, так было в истории с тем же "ВинЧихом". Добавим сюда и хорошо известные советы - резервирование, копирование данных, особенно с ценной информацией, а то ведь гром опять может грянуть.

Наконец, самое известное правило - регулярно обновлять антивирусные программы, а также поддерживать контакты с соответствующими фирмами. На сегодняшний день у нас, в Минске, если пользоваться принятой при обсуждении данной темы медицинской терминологией, есть 2 "аптеки", где можно приобретать готовые лекарства, и одна "поликлиника", где можно пройти соответствующее лечение.

С точки зрения пользователя, вариант поликлиники, т.е. ООО "ВирусБлокАда", более предпочтителен по следующим причинам: во-первых, это не просто продавец, но и разработчик; во-вторых, что было особенно приятно узнать, это большое внимание именно к обслуживанию своих клиентов. Добавим сюда регулярное, раз в две недели, обновление вирусной базы, постоянное обновление всего комплекса (вот и сейчас тестируется новая "beta-версия"), плюс отслеживание не только импортных, но и местных вирусов.

Так, по данным компании, в настоящее время в Республике Беларусь имеются вирусы, попавшие на ее территорию не только из Интернета, но и привезенные из Российской Федерации, Республики Польша, а также написанные в самой республике (в основном, в Минске и Брестской области).

С одним из таких местных вредителей под названием "NutCracker" автору довелось столкнуться лично. Началось с банального торможения и частого появления "экранов смерти". Заподозрив неладное, попытался проверить всю систему. Но машина намертво зависала при попытке запустить антивирусник с жесткого диска. То же происходило при обращениях к дискете. Хорошо, что вовремя спохватился, а то ведь, как потом узнал, дело могло дойти и до полной потери данных. А написал его какой-то паренек, предположительно в одном из Брестких институтов.

К концу 1998 г. в мире насчитывалось уже порядка 10000 вирусов, а в Беларуси не проходит буквально недели без появления нового вируса или какой-нибудь разновидности.

Отсюда, вполне закономерно, снова всплывает ставший уже где-то и традиционным, вопрос: почему пишут вирусы? Вынесем за скобки момент самоутверждения, который, конечно, присутствует у начинающих программеров. Но, может быть, в их написании отрабатываются какие-то новые технологии программирования? По мнению моих собеседников, ответ отрицательный. Авторы вирусов используют те же приемы и методы, что и в программировании обычном. О какой-то новизне можно говорить, лишь имея в виду такое свойство вируса, как полиморфизм, т.е. способность к многочисленному самоизменению при заражении других программ. Главным же отличительным признаком является именно наличие деструктивных функций.

Тем не менее, стоит признать, что вирусы находят свое применение в нашей жизни, в частности, при организации так называемых "информационных войн". Так, по некоторым сведениям, они использовались во время боевых действий на Фолклендах, в Ираке, а теперь в Югославии. В этой связи обращает на себя внимание и противоречие в информационных сообщениях об авторе того же "Win95.CIH", 24-летнем тайваньском студенте Chen Ing-hau. Согласно одним сообщениям, он арестован и "понес заслуженное наказание", в других же говорится, что с ним "ведут переговоры" сотрудники ФБР.

В общем, враг не дремлет. А нам остается только взять на заметку, что за один год своего существования "ВинЧих" имеет уже 7 разновидностей. Старший просыпается именно 26 апреля, что нам, жителям Беларуси, не так уж трудно запомнить, а остальные могут заниматься своим черным делом по 26-м числам каждого месяца. Ближайшее 26-е уже не за горами. Так что, может, на всякий случай выключить компьютер и сходить на выставку "TIBO'99".

Сергей ДМИТРИЕВ,
ПКП "Веспол",
[email protected]

P.S. Автор выражает благодарность сотрудникам ООО "ВирусБлокАда" за содействие при подготовке данного материала.

Версия для печатиВерсия для печати

Номер: 

19 за 1999 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!