В1

1. Основные понятия антивирусной защиты

1. Что такое антивирусы

Антивирус – программное средство, предназначенное для борьбы с вирусами, основными задачами которого является:

1. препятствование проникновению вирусов в компьютерную систему;

2. обнаружение наличия вирусов в компьютерной системе;

3. устранение вирусов из компьютерной системы без нанесения повреждений другим объектам системы;

4. минимизация ущерба от действий вирусов.

Практически любая антивирусная программа объединяет в разных пропорциях все технологии и методы защиты от вирусов, созданные к сегодняшнему дню.

Из всех методов антивирусной защиты можно выделить две основные группы:

5. сигнатурные методы – точные методы обнаружения вирусов, основанные на сравнении файла с известными образцами вирусов;

6. эвристические методы – приблизительные методы обнаружения, которые позволяют с определенной вероятностью предположить, что файл заражен.

Сигнатура (signature) – означает "подпись", или же в переносном смысле "характерная черта, нечто идентифицирующее". Сигнатурный анализ заключается в выявлении характерных идентифицирующих черт каждого вируса и поиска вирусов путем сравнения файлов с выявленными чертами.

Сигнатура вируса – совокупность черт, позволяющих однозначно идентифицировать наличие вируса в файле (включая случаи, когда файл целиком является вирусом).

Антивирусная база – совокупность сигнатур известных вирусов.

Задачу выделения сигнатур решают эксперты в области компьютерной вирусологии, способные выделить код вируса из кода программы и сформулировать его характерные черты в форме, наиболее удобной для поиска. Лучшим же антивирусом будет тот, для которого сигнатура нового вируса была выпущена раньше всех.

Очень часто для обнаружения семейства похожих вирусов используется одна сигнатура, и поэтому считать, что количество сигнатур равно количеству обнаруживаемых вирусов, нельзя.

Важное дополнительное свойство сигнатур – точное и гарантированное определение типа вируса. Данное свойство позволяет занести в базу, как сигнатуры, так и способы лечения вируса. Если бы сигнатурный анализ не давал ответа, что это за вирус, очевидно, лечение было бы не возможно – слишком большим был бы риск совершить не те действия и вместо лечения получить дополнительные потери информации.

Отрицательное свойство – для получения сигнатуры необходимо иметь образец вируса. Следовательно, сигнатурный метод непригоден для защиты от новых вирусов, т. к. до тех пор, пока вирус не попал на анализ к экспертам, создать его сигнатуру невозможно. С момента появления вируса в сети Интернет до выпуска первых сигнатур обычно проходит несколько часов, и все это время вирус способен заражать компьютеры почти беспрепятственно. Почти – потому что в защите от новых вирусов помогают дополнительные средства защиты, рассмотренные ранее, а также эвристические методы, используемые в антивирусных программах.

Поиск вирусов, похожих на известные

Эвристика – значит, "находить". Эвристический анализ основывается на (весьма правдоподобном) предположении, что новые вирусы часто оказываются похожи на какие-либо из уже известных. Поэтому в антивирусных базах находятся сигнатуры для определения не одного, а сразу нескольких вирусов. Следовательно, эвристический метод заключается в поиске файлов, которые не полностью, но очень близко соответствуют сигнатурам известных вирусов.

Преимущества: возможность обнаружить новые вирусы еще до того, как для них будут выделены сигнатуры.

Недостаток:

7. вероятность ошибочно определить наличие в файле вируса, когда на самом деле файл чист – такие события называются ложными срабатываниями;

8. невозможность лечения – и в силу возможных ложных срабатываний, и в силу возможного неточного определения типа вируса, попытка лечения может привести к большим потерям информации, чем сам вирус, а это недопустимо;

9. низкая эффективность – против действительно новаторских вирусов, вызывающих наиболее масштабные эпидемии, этот вид эвристического анализа малопригоден.

Поиск вирусов, выполняющих подозрительные действия

Другой метод, основанный на эвристике, исходит из предположения, что вредоносные программы так или иначе стремятся нанести вред компьютеру, и основан на выделении основных вредоносных действий.

Например:

10. удаление файла;

11. запись в файл;

12. запись в определенные области системного реестра;

13. открытиепортанапрослушивание;

14. перехват данных вводимых с клавиатуры;

15. рассылкаписем;

Выполнение каждого такого действия по отдельности не является поводом считать программу вредоносной. Однако, при выполнении программой последовательно нескольких таких действий, например, записывает запуск себя же в ключ автозапуска системного реестра, перехватывает данные вводимые с клавиатуры и с определенной частотой пересылает эти данные на какой-то адрес в Интернет, значит эта программа, по меньшей мере, подозрительна. Основанный на этом принципе эвристический анализатор постоянно следит за действиями, которые выполняют программы.

Преимущества: возможность обнаруживать неизвестные ранее вредоносные программы, даже если они не очень похожи на уже известные (использование для проникновения на компьютер новую уязвимость, а после этого – выполнять уже привычные вредоносные действия). Такую программу может пропустить эвристический анализатор первого типа, но вполне может обнаружить анализатор второго типа.

Недостатки:

16. ложные срабатывания;

17. невозможность лечения;

18. не высокая эффективность.

Компьютерное "облако" — это сетевая компьютерная система, предоставляющая информационные и вычислительные услуги, изолируя пользователя от поддерживающий инфраструктуры (серверов, систем хранения, компьютерных сетей, программного обеспечения) и обеспечивая удобный сетевой доступ к нужному количеству ресурсов, быстро выделяя и освобождая их по мере необходимости в автоматическом режиме.

Главное в облаке — это полная изоляция пользователя от всех технических сложностей при решении его задач.

Применение "облака" для обнаружения компьютерных вирусов заключается в сканировании файлов на удалённых серверах.Сканирование - это сбор информации о проверяемом файле и поиск соответствующей файлу сигнатуры. После этого производится анализ и определяется степень опасности файла. При отсутствии информации о файле, на сервер отсылается дополнительная информация или сам неопознанный файл для дополнительного анализа.

Сервера разработчика антивирусного программного обеспечения со своим программным обеспечением, к которым посредством Интернета подключены все компьютеры, также называется "облаком". Самые крупные производители антивирусной индустрии уже запустили свое облако во всемирную паутину.

Принцип работы облачной защиты

Неизвестный антивирусной программе файл попадает на домашний ПК. С него антивирусом снимается цифровой отпечаток и создает его уникальную контрольную сумму, после чего эта контрольная сумма передается антивирусной программой через Интернет в облако безопасности разработчика.

На серверах контрольная сумма сравнивается с уже имеющимися в базе облаков файлами. При совпадении контрольной суммы – сервер передает данные обратно на ПК пользователя, где установленная антивирусная программа начинает его обезвреживать. Если контрольная сумма в базе облака не найдена, аналитическое программное обеспечение, установленное на сервере, начинает детальное изучение переданного файла. Если выяснится, что файл может представлять потенциальную угрозу, то его контрольная сумма в качестве новой сигнатуры заносится в базу данных облака безопасности.

В завершении процесса облако рассылает новую сигнатуру на все подключенные компьютеры.

Преимущества:

Главное и основное преимущество "облачных" технологий — это скорость распространения информации о новом вирусе.

Недостатки:

Пользователи должны полностью довериться разработчику, так как компьютер и облако постоянно обмениваются файлами. При отсутствии Интернета - "облако" бесполезно.

Для успешной работы антивируса, чтобы антивирусные средства были эффективными, нужны дополнительные модули, выполняющие вспомогательные функции.

Модуль обновления

Каждый антивирус должен содержать модуль обновления, чтобы сигнатурный анализ эффективно справлялся с самыми последними вирусами, антивирусные эксперты постоянно анализируют образцы новых вирусов и выпускают для них сигнатуры. После создания новых сигнатур, они размещаются на серверах компании – производителя антивируса и становятся доступными для загрузки. Модуль обновления, обращаясь к этим серверам, и определив наличие новых файлов, загружает их на компьютер пользователя и дает команду антивирусным модулям использовать новые файлы сигнатур.

Некоторые антивирусные компании создают специальные протоколы для загрузки своих обновлений антивирусной базы. В таком случае, модуль обновления может использовать и этот специальный протокол.

Модули обновления отличаются настройками действий, на случай, если источник обновлений недоступен (адреса нескольких серверов). Или же в модуле обновления может быть настройка – повторять попытки обновления с заданным интервалом определенное количество раз или же до тех пор, пока сервер не станет доступным. Эти две настройки могут присутствовать и одновременно.

Модуль планирования

Выбирает для каждого действия расписание, которое больше всего подходит именно для этого типа действия. Существует ряд действий, которые антивирус должен выполнять регулярно: в частности, проверять весь компьютер на наличие вирусов и обновлять антивирусную базу. Модуль обновления как раз и позволяет настроить периодичность выполнения этих действий.

Модульуправления

19. Модуль для управления и настройки – это общий интерфейсный модуль, при помощи которого можно в удобной форме получить доступ к наиболее важным функциям:

20. Настройке параметров антивирусных модулей;

21. Настройке обновлений;

22. настройке периодического запуска обновления и проверки;

23. запуску модулей вручную, по требованию пользователя;

24. отчетам о проверке;

25. другим функциям, в зависимости от конкретного антивируса.

Основные требования к такому модулю – удобный доступ к настройкам, интуитивная понятность, подробная справочная система, описывающая каждую настройку, возможность защитить настройки от изменений, если за компьютером работает несколько человек.

Антивирусы, которые используются для защиты больших сетей, оборудованы специальным модулем управления. Основные свойства этого модуля управления:

26. поддержка удаленного управления и настройки – администратор безопасности может запускать и останавливать антивирусные модули, а также менять их настройки по сети, не вставая со своего места;

27. защита настроек от изменений – модуль управления не позволяет локальному пользователю изменять настройки или останавливать антивирус, чтобы пользователь не мог ослабить антивирусную защиту организации;

Карантин

Во многих антивирусах есть специальные технологии, которые защищают от возможной потери данных в результате действий антивируса.

Допустим, файл определился, с помощью эвристического анализа, как возможно зараженный и удаляется согласно настройкам антивируса. Однако эвристический анализатор не дает стопроцентной гарантии того, что файл действительно заражен, а значит, с определенной вероятностью антивирус мог удалить не зараженный файл.

Поэтому перед лечением или удалением файлов, лучше сохранить их резервные копии, тогда при ошибочном удалении или потери важной информации, всегда можно будет выполнить восстановление из резервной копии.

В2

1. Понятие «вредоносная программа». Классификация вредоносных программ.

Вредоносная программа (буквальный перевод англоязычного термина Malware, malicious — злонамеренный и software — программное обеспечение, жаргонное название — «малварь») — злонамеренная программа, то есть программа, созданная со злым умыслом и/или злыми намерениями.

Классификация

По наличию материальной выгоды

Не приносящие прямую материальную выгоду тому, кто разработал (установил) вредоносную программу:

1. хулиганство;

2. шутка;

3. вандализм, в том числе на религиозной, националистической, политической почве;

4. самоутверждение, стремление доказать свою квалификацию;

Приносящие прямую материальную выгоду злоумышленнику:

5. хищение конфиденциальной информации, включая получение доступа к системам банк-клиент, получение PIN кодов кредитных карточек и т. д.;

6. получение контроля над удаленными компьютерными системами с целью распространения спама с многочисленных компьютеров-зомби;

7. получение контроля над удаленными компьютерными системами с целью организации распределенных атак на отказ в обслуживании(DDoS);

8. предлагающие оплатить несуществующие услуги, например, по якобы удалению вирусов с ПК (ложные антивирусы, rogueware);

9. напрямую вымогающие деньги пользователя, например, требующие отправить платное СМС для того, чтобы разблокировать зараженный ПК

По цели разработки

10. программное обеспечение, которое изначально разрабатывалось специально для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ с целью причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).

11. программное обеспечение, которое изначально не разрабатывалось специально для обеспечения получения несанкционированного доступа к информации, хранимой на ЭВМ и изначально не предназначалась для причинения вреда (ущерба) владельцу информации и/или владельцу ЭВМ (сети ЭВМ).

По методам распространения:

12. Троянская программа не имеет собственных механизмов распространения.

13. Компьютерный вирус — распространяется в пределах одного компьютера. На другой компьютер вирус может «перепрыгнуть» только при непреднамеренном распространении заражённых файлов — например, через внешние носители.

14. Сетевой червь — распространяется по сети.

15. Руткит — загружается трояном или злоумышленником собственноручно, после получения им доступа к системе.

Наносимый вред вредоносных программ:

Вредоносной нагрузкой может быть:

16. создание помех работе пользователя (по ошибке, в шутку или для достижения других целей):

17. вандализм: уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования;

18. шифрование файлов при кодовирусной атаке;

19. шпионаж за пользователем:

20. постановка ложных ссылок, ведущих на поддельные вебсайты с регистрацией. «Зарегистрировавшись» на таком сайте, пользователь отдаёт злоумышленникам свой пароль;

21. похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации, для несанкционированного доступа к ресурсам (в том числе третьих систем), выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях, криптографической информации (для шифрования и цифровой подписи);

22. регистрация нажатий клавиш (Keylogger) с целю кражи информации такого рода, как пароли и номера кредитных карточек;

23. использование ресурсов заражённого компьютера в преступных целях:

24. получения несанкционированного (и/или дарового) доступа к ресурсам самого компьютера или третьим ресурсам, доступным через него, в том числе прямое управление компьютером;

25. выведения из строя или отказа обслуживания компьютерных систем, сетей и т. п., в том числе в составе ботнета;

26. сбор адресов электронной почты и распространение спама, в том числе в составе ботнета;

27. использование телефонного модема для совершения дорогостоящих звонков, что влечёт за собой значительные суммы в телефонных счетах;

28. прочие виды незаконной деятельности:

29. распространение других вредоносных программ (например, «троянский конь», распространяющий вирус). Троян такого типа называется Dropper;

30. дезактивация антивирусов и брандмауэров.

В целом вредоносные программы можно разделить на следующие классы: Вирусы (Viruses): программы, которые заражают другие программы – добавляют в них свой код, чтобы получить управление при запуске зараженных файлов. Это простое определение дает возможность выявить основное действие, выполняемое вирусом – заражение. Скорость распространения вирусов несколько ниже, чем у червей. Черви (Worms): данная категория вредоносных программ для распространения использует сетевые ресурсы. Название этого класса было дано исходя из способности червей "переползать" с компьютера на компьютер, используя сети, электронную почту и другие информационные каналы. Также благодаря этому черви обладают исключительно высокой скоростью распространения. Черви проникают на компьютер, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Помимо сетевых адресов часто используются данные адресной книги почтовых клиентов. Представители этого класса вредоносных программ иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Троянские программы (Trojans): программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т.е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к "зависанию", воруют конфиденциальную информацию и т.д. Данный класс вредоносных программ не является вирусом в традиционном понимании этого термина (т.е. не заражает другие программы или данные); троянские программы не способны самостоятельно проникать на компьютеры и распространяются злоумышленниками под видом "полезного" программного обеспечения. При этом вред, наносимый ими, может во много раз превышать потери от традиционной вирусной атаки. Программы-шпионы (Spyware): программное обеспечение, позволяющее собирать сведения об отдельно взятом пользователе или организации без их ведома. О наличии программ-шпионов на своем компьюртере вы можете и не догадываться. Как правило, целью программ-шпионов является:

 отслеживание действий пользователя на компьютере;

 сбор информации о содержании жесткого диска; в этом случает чаще всего речь идет о сканировании некоторых каталогов и системного реестра с целью составления списка программного обеспечения, установленного на компьютере;

 сбор информации о качестве связи, способе подключения, скорости модема и т.д. Однако данные программы не ограничиваются только сбором информации, они представляют реальную угрозу безопасности. Как минимум две из известных программ – Gator и eZula – позволяют злоумышленнику не просто собирать информацию, но и контролировать чужой компьютер. Другим примером программ-шпионов являются программы, встраивающиеся в установленный на компьютере браузер и перенаправляющие трафик. Наверняка вы встречались с подобными программами, если при запросе одного адреса веб-сайта открывался совсем другой. Одной из разновидностей программ-шпионов являются фишинг-рассылки. Фишинг (Phishing) – почтовая рассылка, целью которой является получение от пользователя конфиденциальной информации как правило финансового характера. Такие письма составляются таким образом, чтобы максимально походить на информационные письма от банковских структур, компаний известных брендов. Письма содержат ссылку на заведомо ложный сайт, где пользователю предлагается ввести, например, номер своей кредитной карты и другую конфиденциальную информацию.

Программы-рекламы (Adware): программный код, без ведома пользователя включенный в программное обеспечение с целью демонстрации рекламных объявлений. Как правило, программы-рекламы встроены в программное обеспечение, распространяющееся бесплатно. Реклама располагается в рабочем интерфейсе. Зачастую данные программы также собирают и переправляют своему разработчику персональную информацию о пользователе.

Потенциально опасные приложения (Riskware): программное обеспечение, не являющееся вирусом, но содержащее в себе потенциальную угрозу. При некоторых условиях наличие таких программ на компьютере подвергает ваши данные риску. К таким программам относятся утилиты удаленного администрирования, программы автоматического дозвона на платные ресурсы интернета с использованием Dial Up-соединения и другие.

Программы-шутки (Jokes): программное обеспечение, не причиняющее компьютеру какого-либо прямого вреда, но выводящее сообщения о том, что такой вред уже причинен, либо будет причинен при каких-либо условиях. Такие программы часто предупреждают пользователя о несуществующей опасности, например, выводят сообщения о форматировании диска (хотя никакого форматирования на самом деле не происходит), обнаруживают вирусы в незараженных файлах и т.д.

Программы-маскировщики (Rootkit): это утилиты, используемые для сокрытия вредоносной активности. Они маскируют вредоносные программы, чтобы избежать их обнаружения антивирусными программами. Rootkit'ы также могут модифицировать операционную систему на компьютере и заменять основные ее функции, чтобы скрыть свое собственное присутствие и действия, которые предпринимает злоумышленник на зараженном компьютере.

Прочие опасные программы: разнообразные программы, которые разработаны для создания других вредоносных программ, организации DoS-атак на удаленные сервера, взлома других компьютеров и т. п. К таким программам относятся хакерские утилиты (Hack Tools), конструкторы вирусов и т.д.

Спам (Spam): анонимная, массовая почтовая корреспонденция нежелательного характера. Так, спамом являются рассылки политического и агитационного характера, письма, призывающие помочь кому-нибудь. Отдельную категорию спама составляют письма с предложениями обналичить большую сумму денег или вовлекающие в финансовые пирамиды, а также письма, направленные на кражу паролей и номеров кредитных карт, письма с просьбой переслать знакомым (например, письма счастья) и т. п. Спам существенно повышает нагрузку на почтовые сервера и повышает риск потери информации, важной для пользователя.

Признаки наличия в компьютерной системе вредоносных

Программ

Проникновение в компьютерную систему вредоносных программ, как

правило, происходит скрытно, и если и обнаруживается, то чаще всего работающей в режиме мониторинга антивирусной программой.

Функционирование вредоносных программ может сопровождаться теми или иными эффектами, но в отдельных случаях может никак внешне не

проявляться (например, если это программа-шпион, а сетевой экран, который

мог бы детектировать ее обращения в сети, отсутствует).

Признаки, позволяющие сделать вывод об инфицировании компьютера, далеко не всегда однозначны. Одни и те же проявления могут быть обусловлены различными причинами, в числе которых следует назвать

не только работу вредоносных программ, но и не связанные с ними некорректную работу системного и прикладного программного обеспечения,

сбои или нестабильную работу аппаратной части компьютера, ошибки пользователей и т.д. В то же время можно указать на ряд признаков, появление которых можно трактовать как симптомы возможного проникновения в систему вредоносных программ. К таким признакам, если

они не связаны непосредственно с соответствующими действиями пользователей, относятся:

1) появление на экране непредусмотренных сообщений или изображений;

2) подача непредусмотренных звуковых сигналов;

3) «самопроизвольное» открытие и закрытие лотка CD-ROM-(DVD-ROM);

4) самопроизвольный запуск каких-либо программ;

5) появление предупреждений межсетевого экрана о попытке неинициированного выхода в Интернет какой-либо из программ;

6) видоизменение изображения на экране (например, поворот или перемещение символов);

7) мерцание экрана;

8) исчезновение или модификация файлов, каталогов, появление новых файлов и каталогов, изменение размеров файлов;

9) изменение атрибутов файлов, например, даты и времени создания;

10) появление новых учетных записей или изменение прав доступа имеющихся;

11) частые зависания и сбои в работе компьютера;

12) необычное аварийное завершение работы компьютера;

13) замедление работы компьютера, задержки при запуске программ;

14) невозможность загрузки операционной системы;

15) нарушение работы приложений;

16) частое обращение к жесткому диску;

17) блокирование записи на жесткий диск;

18) блокирование ввода с клавиатуры;

19) сбои в работе интернет-браузера, например, невозможность закрыть окно браузера;

20) неинициированные пользователем попытки установления сетевых соединений, фиксируемые межсетевым экраном;

21) появление в списке запущенных процессов новых, ранее не наблюдавшихся процессов, не связанных с работой запущенных служб и приложений.

Первые шесть из перечисленных признаков, как правило, определенно

указывают на наличие в системе вредоносных программ, в то время как

последующие часто обусловлены другими причинами.

Общие сведения

В общем случае за обнаружение присутствия вирусов на компьютере должны отвечать антивирусы - специальные программы, способные быстро и эффективно не только обнаруживать, но и обезвреживать вредоносные программы. Однако известно, и тому есть объективные причины, что ни один антивирус не обеспечивает полную защиту от всех вредоносных программ. Следовательно, хоть и маловероятно, но возможно заражение компьютера, даже если на нем установлен антивирус. При отсутствии антивируса, вероятность проникновения на компьютер вредоносных программ многократно возрастает.

Если компьютер заражен неизвестным вирусом, обычной практикой является самостоятельное обнаружение подозрительных файлов и отправка их на исследование в одну или несколько антивирусных компаний, как правило в ту, антивирус которой установлен на компьютере. Там эти файлы анализируют и при выявлении действительно неизвестного вируса или модификации вируса, выпускается обновление антивирусных баз, позволяющее обнаруживать и удалять этот вирус.

Но чтобы отправить подозрительные файлы на анализ, нужно сначала эти файлы найти. А чтобы всерьез заняться поиском, нужно иметь основания для подозрений в том, что компьютер заражен. Для этого нужно знать, какие особенности функционирования компьютера могут быть проявлениями вредоносных программ.

Виды проявлений

Не все вредоносные программы стремятся скрыть свое присутствие на компьютере. Некоторые ведут себя весьма активно: выводят на экран сообщения, открывают страницы веб-сайтов и т. п. Такие проявления логично назвать явными.

Другие вредоносные программы специальных сообщений не выводят, но могут провоцировать разного рода сбои в работе компьютера или прикладных программ. Например, одним из признаков попытки проникновения червя Sasser является появление на экране сообщения о сбое в процессе lsass.exe, в результате чего система будет перезагружена (см. рисунок 1).

Рисунок 1 – Признак заражения червем Sasser

Многие вредоносные программы пытаются отключить или полностью удалить антивирус, другие блокируют доступ к веб-серверам антивирусных компаний, чтобы сделать невозможным обновление антивирусных баз. Соответственно, если антивирус вдруг ни с того, ни с сего перестал запускаться, либо перестали открываться сайты антивирусных компаний при том, что в целом доступ в Интернет работает нормально, это могут быть проявления вирусов. Такого рода проявления будут называться косвенными.

Наконец, есть вирусы, которые никак не выдают своего присутствия на компьютере, не выводят сообщений и не конфликтуют с другими приложениями. Их проявления незаметны на первый взгляд и могут состоять в наличии дополнительных процессов в памяти, в сетевой активности, в характерных изменениях системного реестра Windows. Такие проявления будут называться скрытыми.

Таким образом проявления вредоносных программ можно условно разбить на три группы по тому, насколько легко их обнаружить:

1. Явные - вредоносная программа самостоятельно проявляет заметную активность

2. Косвенные - другие программы начинают выводить сообщения об ошибках или вести себя нестандартно из-за присутствия на компьютере вируса

3. Скрытые - ни явных ни косвенных проявлений вредоносная программа не имеет

Имеет смысл обсудить все три группы проявлений подробнее и на конкретных примерах.

Явные проявления

Характерны для троянских и в особенности для рекламных программ. Это и понятно, т. к. основным признаком вирусов и червей является способность к заражению, для реализации которой необходимо время. Если сетевой червь при проникновении на компьютер сразу же себя обнаружит, пользователь сможет отключить компьютер от сети, воспрепятствовав дальнейшему распространению вредоносной программы.

Напротив, троянские программы пишутся для выполнения какой-то конкретной вредоносной функции и скрытность им нужна в большей степени на этапе проникновения. Впрочем все зависит от типа трояна. С рекламными модулями все совсем просто: их основная цель - привлечение внимания к объекту рекламы (веб-сайту, программе и др.), а привлечь внимание, значит обнаружить свое присутствие.

В настоящее время явные проявления, как правило, так или иначе связаны с сетью Интернет.

Изменение настроек браузера

Изменение стартовой страницы браузера, изменение стандартной страницы поиска, несанкционированное открытие новых окон, ведущих на определенные сайты - все это может быть следствием присутствия в системе вредоносной программы.

Иногда к аналогичным эффектам может приводить выполнение вредоносного скрипта на одном из посещенных сайтов. В таком случае новые программы на компьютер не проникают, а настройки браузера с большими или меньшими усилиями можно восстановить и полностью решить проблему. Во всяком случае до следующего посещения сайта с вредоносным скриптом.

Если же после восстановления настроек они снова меняются при следующем запуске браузера или после перезагрузки компьютера, значит причина изменений - наличие на компьютере вредоносной программы.

Подобное поведение характерно для рекламных модулей, принудительно завлекающих пользователей на сайт, рекламирующий какую-либо продукцию. А также для троянских программ, которые направляют пользователя на сайты, содержащие другие вредоносные программы.

Всплывающие и другие сообщения

После установки в системе троянская или рекламная программа выводит на экран сообщения о том, что на компьютере обнаружены вредоносные или рекламные программы. Такие сообщения обычно сделаны похожими на стандартные служебные сообщения Windows и снабжены гиперссылками или кнопками для перехода на веб-сайт, с которого якобы можно загружать программу для обнаружения и удаления нежелательных модулей.

Несмотря на то, что проявления достаточно явные - сообщения на экране, в силу их маскировки под служебные сообщения, пользователь не всегда догадывается, что это результат работы вредоносных программ и в результате попадает на те же рекламные или вредоносные сайты, но уже сам.

Несанкционированный дозвон в Интернет

Не так давно получили распространения особые вредоносные программы - утилиты дозвона. Эти утилиты без санкции пользователя и игнорируя настройки пытаются установить модемное соединение с Интернетом через дорогую телефонную линию или дорогого провайдера. В результате владелец компьютера получает счет на внушительную сумму.

Следовательно, признаком заражения может быть несанкционированные попытки компьютера соединиться с Интернетом по модему

Косвенные проявления

В отличие от явных проявлений, косвенные проявления отнюдь не всегда являются преднамеренными и нередко вызваны ошибками, допущенными автором вредоносной программы.

Блокирование антивируса

Обычно вредоносная программа проникает на защищенный антивирусом компьютер либо если антивирус был отключен, либо если это сравнительно новая вредоносная программа, для которой не было записи в антивирусной базе. Понятно, что в скором времени антивирус будет включен, либо вирус будет внесен в антивирусную базу, и антивирус сможет его обнаружить и обезвредить. Чтобы воспрепятствовать этому, многие вредоносные программы небезуспешно пытаются выгрузить антивирус из памяти или даже удалить файлы антивируса с дисков компьютера.

Поэтому внезапное завершение работы антивируса вполне может являться поводом для беспокойства.

Блокирование антивирусных сайтов

Поскольку выгрузка или удаление антивируса все же достаточно заметны, некоторые вредоносные программы идут другим путем и нейтрализуют только возможность обновления антивирусных средств. Если антивирусная база не будет обновляться, антивирус не сможет обнаруживать новые вирусы и станет неэффективным.

При этом вредоносные программы не блокируют доступ в Интернет целиком - это было бы слишком заметно, а только доступ к сайтам и серверам обновлений наиболее известных компаний - производителей антивирусов. В среднем, пользователи не часто заходят на сайты антивирусных компаний, а сообщения антивируса о невозможности обновиться могут списывать на проблемы у провайдера или на самих серверах обновления. Таким образом вирус может длительное время оставаться незамеченным.

Сбои в системе или в работе других программ

Очень часто причиной сбоев в работе программ пользователи считают присутствие на компьютере вирусов. И хотя большинство подобных случаев на поверку оказывается ложной тревогой, вирусы действительно иногда могут быть причиной сбоев.

Кроме уже рассмотренного примера с червем Sasser, можно еще упомянуть червь MyDoom, вызывавший похожее сообщение об ошибке, но не в службе LSASS, а в службе DCOM/RPC. Другой пример, троянская программа Backdoor.NTHack, результатом присутствия которой на компьютере может быть сообщение об ошибке, возникающее при загрузке компьютера:

STOP 0x0000001e KMODE_EXCEPTION_NOT_HANDLED in win32k.sys

или

STOP 0xC000021A {Fatal System Error}

The Windows Logon Process terminated unexpectedly.

Почтовые уведомления

Если компьютер заражен и рассылает инфицированные почтовые сообщения, они могут быть обнаружены на одном из серверов в Интернете и антивирус на сервере может отправить уведомление отправителю зараженного сообщения. Следовательно, косвенным признаком присутствия вируса может быть получение почтового сообщения о том, что с почтового адреса пользователя компьютера был отправлен вирус.

Впрочем, в последнее время многие вирусы подменяют адрес отправителя и получение описанного уведомления не обязательно означает, что компьютер заражен. Из-за того, что формальный адрес отправителя, указанный в почтовом сообщении, может не иметь никакого отношения к зараженному компьютеру, антивирусные программы часто вообще не отсылают уведомлений отправителям зараженных сообщений.