Вирусы и антивирусные программы icon

Вирусы и антивирусные программы



НазваниеВирусы и антивирусные программы
страница1/3
Дата конвертации04.12.2012
Размер432.02 Kb.
ТипДокументы
источник
  1   2   3
1. /Вирусы и антивирусные программы.docВирусы и антивирусные программы

Вирусы и антивирусные программы


Компьютерные вирусы были и остаются одной из наиболее распространенных причин потери информации. Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека - в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Что такое компьютерный вирус

Объяснений, что такое компьютерный вирус, можно привести несколько. Самое простое - бытовое объяснение для домохозяйки, которая ни разу в жизни компьютера не видела, но знает, что Он есть, и что в Нем водятся Вирусы. Такое объяснение дается довольно легко, чего нельзя сказать о втором объяснении, рассчитанном на специалиста в области программ. Мне пока не представляется возможным дать точное определение компьютерного вируса и провести четкую грань между программами по принципу "вирус – не вирус".

Объяснение для домохозяйки

Объяснение будет дано на примере клерка, работающего исключительно с бумагами. Идея такого объяснения принадлежит Д.Н.Лозинскому.

Представим себе аккуратного клерка, который приходит на работу к себе в контору и каждый день обнаруживает у себя на столе стопку листов бумаги со списком заданий, которые он должен выполнить за рабочий день. Клерк берет верхний лист, читает указания начальства, пунктуально их выполняет, выбрасывает "отработанный" лист в мусорное ведро и переходит к следующему листу. Предположим, что некий злоумышленник тайком прокрадывается в контору и подкладывает в стопку бумаг лист, на котором написано следующее:

"Переписать этот лист два раза и положить копии в стопку заданий соседей"

Что сделает клерк? Дважды перепишет лист, положит его соседям на стол, уничтожит оригинал и перейдет к выполнению второго листа из стопки, т.е. продолжит выполнять свою настоящую работу. Что сделают соседи, являясь такими же аккуратными клерками, обнаружив новое задание? То же, что и первый: перепишут его по два раза и раздадут другим клеркам. Итого, в конторе бродят уже четыре копии первоначального документа, которые и дальше будут копироваться и раздаваться на другие столы.

Примерно так же работает и компьютерный вирус, только стопками бумаг-указаний являются программы, а клерком - компьютер. Так же как и клерк, компьютер аккуратно выполняет все команды программы (листы заданий), начиная с первой. Если же первая команда звучит как "скопируй меня в две другие программы", то компьютер так и сделает, - и команда-вирус попадает в две другие программы. Когда компьютер перейдет к выполнению других "зараженных" программ, вирус тем же способом будет расходиться все дальше и дальше по всему компьютеру.

В приведенном выше примере про клерка и его контору лист-вирус не проверяет, заражена очередная папка заданий или нет. В этом случае к концу рабочего дня контора будет завалена такими копиями, а клерки только и будут что переписывать один и тот же текст и раздавать его соседям - ведь первый клерк сделает две копии, очередные жертвы вируса - уже четыре, затем 8, 16, 32, 64 и т.д., т.е. количество копий каждый раз будет увеличиваться в два раза.

Если клерк на переписывание одного листа тратит 30 секунд и еще 30 секунд на раздачу копий, то через час по конторе будет "бродить" более 1.000.000.000.000.000.000 копий вируса! Скорее всего, конечно же, не хватит бумаги, и распространение вируса будет остановлено по столь банальной причине.

Как это ни смешно (хотя участникам этого инцидента было совсем не смешно), именно такой случай произошел в 1988 году в Америке - несколько глобальных сетей передачи информации оказались переполненными копиями сетевого вируса (вирус Морриса), который рассылал себя от компьютера к компьютеру. Поэтому "правильные" вирусы делают так:

"Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа".

Проблема решена - "перенаселения" нет, но каждая стопка содержит по копии вируса, при этом клерки еще успевают справляться и с обычной работой.

"А как же уничтожение данных?" - спросит хорошо эрудированная домохозяйка. Все очень просто - достаточно дописать на лист примерно следующее:

  1. Переписать этот лист два раза и положить копии в стопку заданий соседей, если у них еще нет этого листа.

  2. Посмотреть на календарь - если сегодня пятница, попавшая на 13-е число, выкинуть все документы в мусорную корзину

Примерно это и выполняет хорошо известный вирус "Time".

Попытка дать "нормальное" определение

Основная трудность, возникающая при попытках дать строгое определение вируса, заключается в том, что практически все отличительные черты вируса (внедрение в другие объекты, скрытность, потенциальная опасность и проч.) либо присущи другим программам, которые никоим образом вирусами не являются, либо существуют вирусы, которые не содержат указанных выше отличительных черт (за исключением возможности распространения).

Например, если в качестве отличительной характеристики вируса принимается скрытность, то легко привести пример вируса, не скрывающего своего распространения. Такой вирус перед заражением любого файла выводит сообщение, гласящее, что в компьютере находится вирус и этот вирус готов поразить очередной файл, затем выводит имя этого файла и запрашивает разрешение пользователя на внедрение вируса в файл.

Если в качестве отличительной черты вируса приводится возможность уничтожения им программ и данных на дисках, то в качестве контрпримера к данной отличительной черте можно привести десятки совершенно безобидных вирусов, которые кроме своего распространения ничем больше не отличаются.

Основная же особенность компьютерных вирусов - возможность их самопроизвольного внедрения в различные объекты операционной системы - присуща многим программам, которые не являются вирусами. Например, самая распространенная операционная система MS-DOS имеет в себе все необходимое, чтобы самопроизвольно устанавливаться на не-DOS'овские диски. Для этого достаточно на загрузочный флоппи-диск, содержащий DOS, записать файл AUTOEXEC.BAT следующего содержания:

SYS A:

COPY *.* A:SYS B:

COPY *.* B:SYS C:

COPY *.* C:...

Модифицированная таким образом DOS сама станет самым настоящим вирусом с точки зрения практически любого существующего определения компьютерного вируса.

Таким образом, первой из причин, не позволяющих дать точное определение вирусу, является невозможность однозначно выделить отличительные признаки, которые соответствовали бы только вирусам.

Второй же трудностью, возникающей при формулировке определения компьютерного вируса является то, что данное определение должно быть привязано к конкретной операционной системе, в которой этот вирус распространяется. Например, теоретически могут существовать операционные системы, в которых наличие вируса просто невозможно. Таким примером может служить система, где запрещено создавать и изменять области выполняемого кода, т.е. запрещено изменять объекты, которые либо уже выполняются, либо могут выполняться системой при каких-либо условиях.

Поэтому представляется возможным сформулировать только обязательное условие для того, чтобы некоторая последовательность выполняемого кода являлась вирусом.

ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.

Следует отметить, что это условие не является достаточным (т.е. окончательным), поскольку, следуя вышеприведенному примеру, операционная система MS-DOS удовлетворяет данному свойству, но вирусом, скорее всего, не является.

Вот почему точного определения вируса нет до сих пор, и вряд ли оно появится в обозримом будущем. Следовательно, нет точно определенного закона, по которому "хорошие" файлы можно отличить от "вирусов". Более того, иногда даже для конкретного файла довольно сложно определить, является он вирусом или нет.

А какие могут быть объективные критерии вируса? Саморазмножение, скрытность и деструктивные свойства? Но ведь на каждый объективный критерий можно привести два контрпримера - a) пример вируса, не подходящего под критерий, и b) пример не-вируса, подходящего под критерий:

Саморазмножение:

  1. Intended-вирусы, не умеющие размножаться по причине большого количества ошибок, или размножающиеся только при очень ограниченных условиях.

  2. MS-DOS и вариации на тему SYS+COPY.

Скрытность:

  1. Вирусы "KOH", "VirDem", "Macro.Word.Polite" и некоторые другие информируют пользователя о своем присутствии и размножении.

  2. Сколько примерно (с точностью до десятка) драйверов сидит под стандартной Windows95? Скрытно сидит, между прочим.

Деструктивные свойства:

  1. Безобидные вирусы, типа "Yankee", которые прекрасно живут в DOS, Windows 3.x, Win95, NT и ничего никуда не гадят.

  2. Старые версии Norton Disk Doctor'а на диске с длинными именами файлов. Запуск NDD в этом случае превращает Disk Doctor'а в Disk Destroyer'а.

Посему тема "нормального" определения компьютерного вируса остается открытой. Есть только несколько точных вех: например, файл COMMAND.COM вирусом не является, а печально известная программа с текстом "Dis is one half" является стопроцентным вирусом ("OneHalf"). Все, что лежит между ними, может, как оказаться вирусом, так и нет.

Классификация компьютерных вирусов

Вирусы можно разделить на классы по следующим основным признакам:

  • среда обитания;

  • операционная система (OC);

  • особенности алгоритма работы;

  • деструктивные возможности.

По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:

  • файловые;

  • загрузочные;

  • макро;

  • сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны (можно представить себе и нерезидентный загрузочный вирус, но его инфицирующая способность должна быть ничтожной), файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление “хозяину” (хотя еще неизвестно, кто в такой ситуации хозяин...).

Какие же действия выполняет вирус? Он ищет новый объект для заражения — подходящий (по типу) файл, который еще не заражен (в том случае, если вирус “приличный”, а то попадаются такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код таким образом, чтобы, как и в случае с файлом-вирусоносителем, получить управление при запуске этого файла. Кроме своей основной функции — размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть и т.д.) — это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие свои способности не только во время работы зараженного файла. Механизмы заражения файлов различных типов (COM, EXE, SYS, OVL) достаточно подробно описаны в специальной литературе. Мы рассмотрим лишь некоторые часто задаваемые вопросы, касающиеся файловых вирусов. Заражая исполняемый файл, вирус всегда изменяет его код, следовательно, заражение исполняемого файла вирусом всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

  • он не обязан менять длину файла; известны вирусы, внедряющиеся в файл без изменения его длины, для этого они могут находить “дырки”— неиспользуемые участки кода — или даже “сжимать” часть файла, высвобождая себе место;

  • он не обязан менять начало файла; известное заблуждение, что вирус, внедряясь в файл, всегда меняет первые байты, идет от примитивных вирусов, заражающих COM-файлы путем изменения в них первой команды безусловного перехода; на самом деле даже COM-файлы можно заражать, не меняя первые байты, а для EXE-файлов об этом и говорить не стоит: их первые байты всегда постоянны (точнее, варианты возможны, но вирусы тут ни при чем).

Наконец, к файловым часто относят вирусы, которые “имеют некоторое отношение к файлам”, но совсем не обязаны внедряться в их код. Рассмотрим в качестве примера схему функционирования вирусов известного семейства Dir-II. Нельзя не признать, что, появившись в 1991 г., эти вирусы стали причиной настоящей вирусной эпидемии в России, которая, впрочем, была довольно скоро ликвидирована усилиями сотрудников ДиалогНауки, выпустивших программу Anti-Dir, не позволившую эпидемии развиться, пока обработка этого вируса (теперь уже вирусов) не была включена в Aidstest. Мы снова рассмотрим крайне упрощенную модель, на которой, однако, ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, НОМЕР ПЕРВОГО КЛАСТЕРА ФАЙЛА и РЕЗЕРВНЫЕ БАЙТЫ. Последние оставлены “про запас” и самой MS DOS не используются.

При запуске исполняемых файлов (речь сейчас именно о них) система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. (Они хранятся в FAT — таблице распределения файлов.) Вирусы семейства Dir-II производят следующую “реорганизацию” файловой системы: сам вирус записывается в некоторые свободные секторы диска (обычно последние), которые он, как правило, помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных байтах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его “собственными руками”), резидентно устанавливается в память и передает управление вызванному файлу.

Диск, зараженный вирусом Dir-II, в стерильной системе производит странное впечатление. Исполняемые файлы кажутся безнадежно испорченными, при копировании таких файлов всегда копируется ровно один кластер, причем никакого отношения к файлу не имеющий,— это и есть тело вируса. Все прочие проявления вы легко можете предположить сами, тем более что большинство из нас имели “удовольствие” наблюдать все это на своих компьютерах.

Мы рассказали здесь о вирусе Dir-II не только затем, чтобы продемонстрировать, что файловые вирусы уже давно не укладываются в классическое определение, но и для того, чтобы лишний раз обратить ваше внимание на вредность поспешных и необдуманных действий при признаках “странного” поведения компьютера. Сколько дисков, которые вполне можно было бы восстановить, были безнадежно испорчены неосторожным “лечением” chkdsk /f или просто отформатированы.

И в заключение разговора о файловых вирусах рассмотрим еще один любопытный класс вирусов, которые также, формально являясь файловыми, не внедряются в исполняемые программы, но и не изменяют файловую систему так кардинально, как это делают вирусы семейства Dir-II. Речь пойдет о вирусах-спутниках. Как и ранее, мы рассмотрим предельно упрощенную модель такого вируса. Попробуйте ответить на странный вопрос: могут ли находиться в одном каталоге два исполняемых файла с одним именем, но разными расширениями — COM и EXE?

Ну, то, что могут просто находиться,— сомнений никаких, а вот что произойдет при запуске файла с указанным именем? Какой из них будет запущен? На эту тему в DOS есть правило, по которому раньше будет запущен файл с расширением COM. Указанное правило позволяет очень просто реализовать вирус, который станет находить файлы с расширением EXE и создавать файлы с теми же именами, но расширениями COM. В эти файлы станет записываться сам вирус, который будет вызываться всякий раз, когда мы будем запускать на выполнение какой-нибудь “зараженный” файл (а ведь самого файла-то никто не трогал!). Такие вирусы тоже могут быть резидентными; будучи установленными в памяти, они способны маскировать файлы-двойники, но это все уже тонкости. Сам механизм на удивление прост.

Вирусы-спутники еще часто называют вирусами-компаньонами. Описанный механизм функционирования таких вирусов не единственный. Есть, к примеру, такой способ: вирус переименовывает исполняемый файл, и сам записывается под его именем. В этом случае он будет запускаться первым и, сделав все, что нужно, передавать управление компаньону.

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. Мы сознательно обойдем все многочисленные тонкости, которые неизбежно встретились бы при строгом разборе алгоритма его функционирования. Нам кажется, что, поняв суть дела на простой модели, вы гораздо легче в дальнейшем воспримете более сложные вещи. Итак, МЫ НЕ СТАНЕМ ОТВЛЕКАТЬСЯ НА МЕЛОЧИ И ПОСТОЯННО ОГОВАРИВАТЬ, ЧТО “НА САМОМ ДЕЛЕ...”.

Что происходит, когда вы включаете свой компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в ПЗУ (ПНЗ ПЗУ).

Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:

Всякая дискета размечена на так называемые секторы и дорожки. Секторы объединяются в кластеры, но для нас это несущественно.

Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один — так называемый сектор начальной загрузки (boot sector).

В секторе начальной загрузки хранится информация о дискете — количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки (мы еще раз отмечаем, что намеренно не отвлекаемся на детали) следующая:

ПНЗ (ПЗУ) — ПНЗ(диск) — СИСТЕМА

Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части — голову и хвост. Хвост, вообще говоря, может быть пустым.

Пусть теперь у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва — в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

  • выделяет некоторую область диска и помечает ее как недоступную операционной системе; это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad);

  • копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;

  • замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой;

  • организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке

ПНЗ (ПЗУ) — ПНЗ(диск) — СИСТЕМА

появляется новое звено:

ПНЗ (ПЗУ) — ВИРУС — ПНЗ(диск) — СИСТЕМА

Теперь вас не должно удивлять то, что вирус способен резидентно установиться в память даже с несистемной дискеты. При попытке загрузки с такой дискеты вирус все равно получает управление, устанавливается в память, и только потом вы получите сообщение Non system disk or disk error, которое выдает программа начальной загрузки. Если вы соглашаетесь продолжить загрузку с винчестера, вирус останется в памяти, а дальше уж по обстоятельствам (находясь в памяти, загрузочный вирус, как правило, пытается заразить дискеты, которые вы используете; он также может выполнять некоторые другие любопытные действия). Даже если вы сразу выполните холодную перезагрузку, вирус может уже успеть заразить винчестер. Мораль очень проста: никогда не оставляйте (случайно) дискет в дисководе A.

Мы рассмотрели схему функционирования простого бутового вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров. При этом в отличие от дискет на винчестере имеются два типа загрузочных секторов, содержащих программы начальной загрузки, которые получают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record — главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов (в простейшем случае разметка винчестера выполняется программой FDISK), то лишь один из них помечен как загрузочный (boot). Программа начальной загрузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с кодом программы начальной загрузки, содержащейся на обычных дискетах, а соответствующие загрузочные секторы отличаются только таблицами параметров. Таким образом, на винчестере имеются два объекта атаки загрузочных вирусов — программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.

В заключение разговора о загрузочных вирусах расскажем об одном необычном механизме заражения винчестеров, который уже довольно давно был реализован в вирусе StarShip и позднее в ряде других вирусов. Формально вирус StarShip заражает загрузочный сектор активного логического раздела винчестера. При этом любопытно, что сам этот загрузочный сектор остается в целости и сохранности. Он не меняется!

Рассмотрим подробнее схему загрузки компьютера с винчестера. После того как программа начальной загрузки в ПЗУ “решила”, что компьютер будет загружаться с винчестера, она передает управление программе начальной загрузки в MBR. Эта небольшая программа анализирует Partition table, находит активный логический раздел и передает управление загрузочному сектору этого раздела. Как она находит активный раздел? Он помечен как активный в Partition table. Куда она передает управление? Положение загрузочного сектора также указано в Partition table.

Вирус записывается на диск (в последние секторы активного раздела, но это не очень существенно) и переставляет на себя указатель загрузочного сектора активного раздела. Таким образом, программа в MBR “своими руками” запустит вирус, который резидентно устанавливается в память и передает управление оригинальному загрузочному сектору (сохранить адрес оригинального сектора, понятное дело, не проблема). При рассмотрении файловых вирусов мы увидим, что пример, когда заражаемый объект не меняется, к сожалению, не единственный.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.

Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макро-языка с возможностями:

  1. привязки программы на макро-языке к конкретному файлу;

  2. копирования макро-программ из одного файла в другой;

  3. возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют редакторы Microsoft Word, Office97 и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макро-языки: Word - Word Basic, Excel, Office97 (включая Word97, Excel97 и Access) - Visual Basic for Applications. При этом:

  1. макро-программы привязаны к конкретному файлу (AmiPro) или находятся внутри файла (Word, Excel, Office97);

  2. макро-язык позволяет копировать файлы (AmiPro) или перемещать макро-программы в служебные файлы системы и редактируемые файлы (Word, Excel, Office97);

  3. при работе с файлом при определенных условиях (открытие, закрытие и т.д.) вызываются макро-программы (если таковые есть), которые определены специальным образом (AmiPro) или имеют стандартные имена (Word, Excel, Office97).

Данная особенность макро-языков предназначена для автоматической обработки данных в больших организациях или в глобальных сетях и позволяет организовать так называемый "автоматизированный документооборот". С другой стороны, возможности макро-языков таких систем позволяют вирусу переносить свой код в другие файлы, и таким образом заражать их.

На сегодняшний день известны четыре системы, для которых существуют вирусы - Microsoft Word, Excel, Office97 и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:

  • резидентность;

  • использование стелс-алгоритмов;

  • самошифрование и полиморфичность;

  • использование нестандартных приемов.

РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов - вирус "Frodo", первый загрузочный стелс-вирус - "Brain".

САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус "3APA3A"), защитить от обнаружения свою резидентную копию (вирусы "TPVO", "Trout2"), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.

По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

  • безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

  • неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

  • опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

  • очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус "DenZuk" довольно корректно работает с 360K дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие "COM или EXE" не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается неработоспособным. Возможно также "заклинивание" резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее.

  1   2   3




Похожие:

Вирусы и антивирусные программы iconУрок №10 Тема: «Компьютерные вирусы и антивирусные программы»
Преподаватель: Компьютерные вирусы – программы, которые создают программисты специально для нанесения ущерба пользователям пк. Их...
Вирусы и антивирусные программы iconУрок 15. Компьютерные вирусы и антивирусные программы Цель урока: иметь представление о вредоносном программном обеспечении
«Лаборатория Касперского» выпустила плакат «Врага надо знать в лицо!», на котором представлены самые распространенные вирусы.( Вместо...
Вирусы и антивирусные программы iconУрок 15. Компьютерные вирусы и антивирусные программы Цель урока: иметь представление о вредоносном программном обеспечении
«Лаборатория Касперского» выпустила плакат «Врага надо знать в лицо!», на котором представлены самые распространенные вирусы. Вместо...
Вирусы и антивирусные программы iconАнтивирусные программы DrWeb
Эвристический анализ позволяет с высокой степенью вероятности обнаруживать новые, ранее неизвестные компьютерные вирусы
Вирусы и антивирусные программы iconТема: Защита информации от несанкционированного доступа. Компьютерные вирусы и антивирусные программы
Цель: познакомить учащихся с типами вредоносных программ и антивирусными программами, компьютерными вирусами и защитой от них
Вирусы и антивирусные программы iconТема: Компьютерные вирусы и антивирусные программы
Что общего и чем различаются между собой окна приложений, окна папок и окна документов?
Вирусы и антивирусные программы iconРабочая программа По информатике в 7 классе, составленный на основе программы
Графический интерфейс операционной системы и приложений. Представление файловой системы с помощью графического интерфейса. Основные...
Вирусы и антивирусные программы iconВирусы трудно отнести к растениям или животным, протистам или монерам. Их называют неклеточными формами жизни
Вне клетки хозяина вирусы инертны. Некоторые вирусы получены в виде кристаллов. Вирусная частица состоит из ДНК или рнк, заключенных...
Вирусы и антивирусные программы iconФайловые вирусы obj, lib и вирусы в исходных текстах

Вирусы и антивирусные программы iconКомпьютерный вирус-это а программы, способные к самокопированию
Вирусы, которые внедряются в программы и активизируются при их запуске, называются
Разместите кнопку на своём сайте:
Документы


База данных защищена авторским правом ©lib2.podelise.ru 2000-2013
При копировании материала обязательно указание активной ссылки открытой для индексации.
обратиться к администрации
Документы