Компьютерные вирусы

Введение

Компьюмтерный вимрус -- разновидность компьютерных программ, отличительной особенностью которых является способность к размножению (саморепликация). В дополнение к этому вирусы могут без ведома пользователя выполнять прочие произвольные действия, в том числе наносящие вред пользователю и/или компьютеру. По этой причине вирусы относят к вредоносным программам.

Неспециалисты ошибочно относят к компьютерным вирусам и другие виды вредоносных программ - программы-шпионы и даже спам.[1] Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Создание и распространение вредоносных программ (в том числе вирусов) преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).

Согласно доктрине информационной безопасности РФ, в России должен проводиться правовой ликбез в школах и вузах при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.

Глава 1. Общие сведения о компьютерных вирусах и методах защиты от вирусов

1.1 Понятие и классификации компьютерных вирусов

Компьютерным вирусом называется программа, способная внедряться в другие программы. Это, конечно, невозможно без способности к самовоспроизводству, т.е. размножению. Но не всякая могущая размножаться программа является компьютерным вирусом.

Очевидна аналогия понятий компьютерного и биологического вирусов. В связи с этим настоящий раздел будет изобиловать медицинскими терминами, как нельзя лучше, отражающими существо затрагиваемых вопросов.

Вирусы могут быть полезными (в частности, в игровых программах), безвредными (например, создающими только звуковые и видеоэффекты) или наносящими ущерб (препятствующими нормальной работе ПЭВМ или разрушающими файловую структуру). На первых мы заострять внимание не будем.

Возможными каналами проникновения вирусов в компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации.

Исторически появление компьютерных вирусов связано с идеей создания самовоспроизводящихся механизмов, в частности, программ, которая возникла в 50-х гг. Еще в 1951 г. один из «отцов» вычислительной техники -- Дж. фон Нейман -- предложил метод создания таких механизмов. Его соображения на этот счет получили дальнейшее развитие в работах других исследователей. В результате появились безобидные игровые программы, основанные на вирусной технологии.

Воспользовавшись накопленными научными и практическими результатами, некоторые лица (часто именуемые «технокрысами») стали разрабатывать самовоспроизводящиеся программы с целью нанесения ущерба пользователям ЭВМ. Авторы вирусов сосредоточили свои усилия именно в области ПЭВМ вследствие их массовости и почти полного отсутствия средств защиты как на аппаратном уровне, так и на уровне ОС. Среди побудительных мотивов, движущих авторами вирусов, можно назвать следующие:

Ї озорство и одновременно недопонимание всех последствий распространения вируса;

Ї стремление «насолить» кому-либо;

Ї неестественная потребность в совершении преступлений;

Ї желание самоутвердиться;

Ї невозможность использовать свои знания и умения в конструктивном русле (это в большей степени экономическая проблема);

Ї уверенность в полной безнаказанности (в ряде стран, в том числе и в нашей, пока отсутствуют соответствующие правовые нормы).

Первые случаи массового заражения ПЭВМ вирусами были отмечены в 1987 г.

Сначала появился так называемый Пакистанский вирус, созданный братьями Амджатом и Базитом Алви. Этим они решили наказать американцев, покупавших дешевые незаконные копии ПО в Пакистане: такие копии братья стали продавать, инфицируя их разработанным вирусом. В результате он заразил только в США более 18 тыс. компьютеров и, проделав кругосветное путешествие, попал в СНГ (тогда -- СССР).

Следующим широко известным вирусом стал вирус Lehigh (Лехайский вирус), распространившийся в одноименном университете США. В течение нескольких дней он уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет многих студентов. По состоянию на февраль 1989 г. только в США этим вирусом было поражено около 4 тыс. ПЭВМ.

Затем количество вирусов и число зараженных компьютеров стали лавинообразно увеличиваться в соответствии с экспоненциальным законом. Это потребовало принятия срочных мер как технического и организационного, так и юридического характера.

Появились различные антивирусные средства, вследствие чего ситуация до боли стала напоминать гонку вооружений и средств защиты от них.

Определенный сдерживающий эффект был достигнут в результате принятия рядом стран законодательных актов о компьютерных преступлениях. Уже имеются и конкретные результаты этого. Так, недавно студент Моррис-младший за создание и распространение вируса в американской национальной сети Internet, в результате чего было заражено около б тыс. компьютеров, приговорен к условному заключению сроком на 2 года, 400 часам общественных работ и штрафу в размере 10 тыс. долларов.

В настоящее время насчитывается около 900 различных вирусов, включая штаммы (разновидности вируса одного типа), которые не знают границ. Естественно, многие вирусы курсируют и по нашей стране. Более того, недавно отчетливо проявилась печальная тенденция, а именно, увеличение числа вирусов, разработанных отечественными программистами. Если ситуация не изменится, то в скором, времени наше содружество будет претендовать (если уже не претендует) на роль лидера в данной области, что, несомненно, окажет отрицательное влияние на возможности экспорта программных изделий из СНГ.

Подобно биологическим вирусам жизненный цикл компьютерных вирусов, как правило, включает следующие фазы:

1) латентный период, в  течение которого вирусом никаких  действий не предпринимается;

2) инкубационный период, в рамках которого вирус только  размножается;

3) период проявления, в  течение которого наряду с  размножением выполняются несанкционированные  пользователем действия.

Первые две фазы служат для того, чтобы скрыть источник вируса, канал его проникновения, и заразить (инфицировать) как можно больше файлов до выявления вируса. Длительность этих фаз может определяться временным интервалом, наступлением какого-либо события или наличием требуемой конфигурации аппаратных средств (в частности, наличием НЖМД).

Компьютерные вирусы классифицируются в соответствии со следующими признаками:

1) среда обитания;

2) способ заражения среды  обитания;

3) способ активизации;

4) способ проявления (деструктивные  действия или вызываемые эффекты);

5) способ маскировки.

Нелепо думать, что средой обитания вируса может быть любой файл или любой компонент системной области диска: напомним, что вирус является программой и поэтому имеется смысл его внедрения только в программу. Программы могут содержаться в файлах или в некоторых компонентах системной области диска, участвующих в процессе загрузки DOS. В соответствии с этим различают:

Ї файловые вирусы, инфицирующие программные файлы, т.е. файлы с программами;

Ї загрузочные вирусы, заражающие компоненты системной области, используемые при загрузке DOS;

Ї файлово-загрузочные вирусы, интегрирующие черты первых двух групп.

Файловые вирусы могут внедряться (имплантироваться) в:

Ї файлы с компонентами DOS;

Ї позиционно-независимые перемещаемые машинные программы, находящиеся в СОМ-файлах;

Ї позиционно-зависимые перемещаемые машинные программы, размещаемые в ЕХЕ-файлах;

Ї внешние драйверы устройств (SYS- и BIN-файлы);

Ї объектные модули (OBJ-файлы);

Ї файлы с программами на языках программирования (в расчете на компиляцию этих программ);

Ї командные файлы (ВАТ-файлы);

Ї объектные и символические библиотеки (LIB- и др. файлы);

Ї оверлейные файлы (OV?-, PIF- и др. файлы).

Наиболее часто файловые вирусы способны внедряться в СОМ и/или ЕХЕ-файлы.

Загрузочные вирусы могут заражать:

Ї BR (точнее -- SB) на дискетах;

Ї BR (точнее -- SB) системного логического диска, созданного на винчестере;

Ї MBR (точнее -- NSB) на жестком диске.

Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет (возможно, случайно) осуществлена попытка загрузиться.

Конечно, у файловых вирусов инфицирующая способность выше.

Файлово-загрузочные вирусы обладают еще большей инфицирующей способностью, так как могут распространяться как в программных файлах, так и на дискетах с данными.

Способы заражения среды обитания, естественно, зависят от типа последней. Зараженная вирусом среда называется вирусоносителем.

Тело файлового вируса может размещаться при имплантации в:

Ї конце файла;

Ї начале файла;

Ї середине файла;

Ї хвостовой (свободной) части последнего кластера, занимаемого файлом.

Наиболее легко реализуется внедрение вируса в конец СОМ-файла, что мы кратко и опишем. При получении управления вирус выбирает файл-жертву и модифицирует его следующим образом:

1) дописывает к файлу  собственную копию (тело вируса);

сохраняет в этой копии оригинальное начало файла;

2) сохраняет в этой  копии оригинальное начало файла;

3) заменяет оригинальное начало файла на команду передачи управления на тело вируса.

Структура получившегося файла-вирусоносителя показана на рис. 10.1.

Структура вирусоносителя

При запуске инфицированной описанным способом программы первоначально инициируется выполнение тела вируса, в результате чего:

1) восстанавливается оригинальное  начало программы (но не в файле, а в памяти!);

2) возможно, отыскивается  и заражается очередная жертва;

3) возможно, осуществляются  несанкционированные пользователем  действия;

4) производится передача  управления на начало программы-вирусоносителя, в результате чего она выполняется  обычным образом.

Имплантация вируса в начало СОМ-файла производится иначе: создается новый файл, являющийся конкатенацией тела вируса и содержимого оригинального файла.

Два описанных способа внедрения вируса ведут к увеличению длины оригинального файла.

Имплантация вируса в середину файла наиболее сложна и специализированна. Сложность состоит в том, что в этом случае вирус должен «знать» структуру файла-жертвы (например, COMMAND.COM), чтобы можно было внедриться, в частности, в область стека. Кроме того, при замене DOS на новую версию вирус может потерять способность к размножению. Описанный способ имплантации не ведет к увеличению длины файла.

Имплантировать вирус в ЕХЕ-файл труднее, чем в СОМ-файл. Это объясняется необходимостью модификации заголовка ЕХЕ-файла.

Внедрение вируса в дебетовую часть последнего кластера, занимаемого файлом, используется редко, так как при копировании вирусоносителя тело вируса не дублируется. Тем не менее при данном способе имплантации длина файла остается неизменной, что позволяет скрыть наличие вируса.

Размножению файловых вирусов обычно не препятствуют атрибуты R, Н и S.

BR и MBR дисков настолько  малы и так заполнены, что дописать  в них тело вируса не представляется  возможным. Поэтому используется следующий способ имплантации загрузочного вируса: вместо SB (NSB) записывается голова тела вируса, а его хвост и следующий за ним SB (NSB) размещаются в других кластерах или секторах. Для этого могут использоваться следующие кластеры (секторы):

-- любые свободные кластеры, которые затем объявляются дефектными;

-- секторы или кластеры  с фиксированным адресом в  начале или в конце логического  дискового пространства (часто это  секторы, занимаемые RDir, FAT или находящиеся между компонентами системной области, либо последние кластеры -- чтобы уменьшить вероятность их задействования в файловой структуре);

-- кластеры на созданной  для этого дополнительной дорожке  диска.

Загрузочный вирус получает управление в процессе загрузки DOS, выполняет требуемые действия, а затем инициирует выполнение системного (или внесистемного) загрузчика. В зависимости от способа активизации различают:

Ї нерезидентные вирусы;

Ї резидентные вирусы.

Для нерезидентного вируса активизация эквивалентна получению им управления после запуска инфицированной программы. Тело вируса исполняется однократно в случае выполнения зараженной программы и осуществляет описанные выше действия.

Резидентный вирус логически можно разделить на две части -- инсталлятор и резидентный модуль. При запуске инфицированной программы управление получает инсталлятор, который выполняет следующие действия:

1) размещает резидентный  модуль вируса в ОЗУ и выполняет  операции, необходимые для того, чтобы последний хранился в  ней постоянно;

2) подменяет некоторые  обработчики прерываний, чтобы резидентный  модуль мог получать управление  при возникновении определенных  событий (например, в случае открытия  или считывания файла).

Для размещения вируса резидентно в памяти могут использоваться стандартные средства DOS. Однако применение такого метода может быть легко обнаружено антивирусными средствами. Наиболее совершенные вирусы действуют в обход средств DOS, непосредственно корректируя список МСВ. Это позволяет произвести установку резидентного модуля в большей степени скрытно.

Резидентный модуль остается в памяти до перезагрузки DOS. Некоторые вирусы все же «выдерживают» теплую перезагрузку (по Ctrl-Alt-Del), перехватывая прерывание от клавиатуры и распознавая нажатие этой комбинации клавиш. Выявив такую ситуацию, вирус активизируется и сам загружает DOS выгодным для себя образом, оставаясь в памяти.

Получив управление по прерыванию, резидентный модуль вируса выполняет нижеприведенные действия:

1) возможно, отыскивает и  инфицирует очередную жертву;

2) вероятно, выполняет несанкционированные  действия.

В частности, резидентный вирус может заразить считываемый, открываемый или просто найденный программный файл.

По сравнению с нерезидентными резидентные вирусы являются более изощренными и опасными.

Загрузочные вирусы, как правило, создаются резидентными, так как иначе они практически не будут обладать инфицирующей способностью.