Компьютерные вирусы

Проявлениями (деструктивными действиями) вирусов могут быть:

Ї влияние на работу ПЭВМ;

Ї искажение программных файлов;

Ї искажение файлов с данными;

Ї форматирование диска или его части;

Ї замена информации на диске или его части;

Ї искажение BR или MBR диска;

Ї разрушение связности файлов путем искажения FAT;

Ї искажение данных в CMOS-памяти.

Большую часть вирусов первой группы, вызывающих визуальные или звуковые эффекты, неформально называют «иллюзионистами». Другие вирусы этой же группы могут замедлять работу ПЭВМ или препятствовать нормальной работе пользователя, модифицируя и блокируя функции выполняемых программ, а также DOS.

Вирусы всех остальных- групп часто называют «вандалами» из-за наносимого ими, как правило, непоправимого ущерба.

В соответствии со способами маскировки различают:

Ї немаскирующиеся вирусы;

Ї самошифрующиеся вирусы;

Ї стелс-вирусы.

Авторы первых вирусов уделяли особое внимание механизмам размножения (репликации) с внедрением тел в другие программы. Маскировка же от антивирусных средств не осуществлялась. Такие вирусы называются немаскирующимися.

В связи с появлением антивирусных средств разработчики вирусов сосредоточили усилия на обеспечении маскировки своих изделий. Сначала была реализована идея самошифрования вируса. При этом лишь небольшая его часть является доступной для осмысленного чтения, а остальная -- расшифровывается непосредственно перед началом работы вируса. Такой подход затрудняет как обнаружение вируса, так и анализ его тела специалистами;

В последнее время появились стелс-вирусы, названные по аналогии с широкомасштабным проектом STEALTH по созданию самолетов-невидимок. Методы маскировки, используемые стелс-вирусами, носят комплексный характер, и могут быть условно разделены на две категории:

1) маскировка наличия  вируса в программе-вирусоносителе;

2) маскировка присутствия  резидентного вируса в ОЗУ.

К первой категории относятся:

1) автомодификация тела вируса;

2) реализация эффекта  удаления тела вируса из вирусоносителя  при чтении последнего с диска, в частности, отладчиком (это осуществляется, путем перехвата прерывания, конечно, в случае наличия резидентного  вируса в ОЗУ);

3) имплантация тела вируса  в файл без увеличения его  размера;

4) эффект неизменности  длины инфицированного файла (осуществляется  аналогично п. 2);

5) сохранение неизменным оригинального начала программных файлов.

Например, при чтении каталога средствами DOS резидентный вирус может перехватить соответствующее прерывание и искусственно уменьшить длину-файла. Конечно, реальная длина файла не меняется, но пользователю выдаются сведения, маскирующие ее увеличение. Работая же с каталогами непосредственно (в обход средств DOS), ,Вы получите истинную информацию. Такие возможности предоставляет, в частности, оболочка Norton Commander.

К второй категории методов маскировки можно отнести:

1) занесение тела вируса  в специальную зону резидентных  модулей DOS, в хвостовые части  кластеров, в CMOS-память, видеопамять  и т.п.;

2) модификацию списка  МСВ, о чем уже говорилось;

3) манипулирование обработчиками  прерываний, в частности, специальные  методы их подмены, с целью  обойти резидентные антивирусные  средства;

4) корректировку общего  объема ОЗУ.

Конечно, маскировка может комбинироваться с шифрованием.

Таким образом, в рамках классификации мы изучили немало существенных свойств компьютерных вирусов. Файловые вирусы используют один из двух основных способов выбора жертвы для инфицирования:

1) заражение файла, к которому  осуществляется доступ;

2) явный поиск подходящего  файла в файловой структуре.

Первый способ может быть реализован только в резидентном вирусе путем перехвата прерываний. При таком подходе в качестве жертвы может быть выбран:

Ї считываемый файл (в частности, для выполнения или с целью копирования);

Ї открываемый файл;

Ї найденный по запросу к DOS файл.

Второй способ используется в основном нерезидентными вирусами. Поиск жертвы в этом случае может осуществляться:

Ї в текущем каталоге текущего или одного из дисков;

Ї в корневом каталоге одного из дисков;

Ї в каталогах, доступных по значению глобальной переменной PATH;

Ї в любых каталогах файловой структуры путем рекурсивного их обхода.

Файл COMMAND.COM может быть найден по значению глобальной переменной COMSPEC.

Подходящим может считаться либо файл с соответствующим расширением, либо файл с требуемой логической структурой.

При повседневной работе пользователь в состоянии обнаружить вирус обычно только по его симптомам. Естественно, симптомы вируса непосредственно определяются реализованными в нем способами проявления, а также другими характеристиками вируса В качестве симптомов вирусов выделяют следующие:

1) увеличение числа файлов  на диске;

2) появление на экране  сообщения «1 File(s) copied» («Скопирован один файл»), хотя Вы не выдавали команду COPY;

3) уменьшение объема свободной  оперативной памяти;

4) изменение даты и  времени создания файла;

5) увеличение размера  программного файла; ,

6) появление на диске  зарегистрированных дефектных кластеров;

7) ненормальная работа  программы;

8) замедление работы программы;

9) загорание лампочки  дисковода в то время, когда  к диску не должны происходить  обращения;

10) заметное возрастание  времени доступа к жесткому  диску;

11) сбои в работе DOS, в  частности, ее зависание;

12) невозможность загрузки DOS;

13) разрушение файловой  структуры (исчезновение файлов, искажение  каталогов).

В качестве примера опишем вирус Vienna, некогда получивший широкое распространение в нашей стране Его размер составляет 648 байт, а инфицирует он только СОМ-файлы. Поиск очередной жертвы осуществляется по расширению СОМ сначала в рабочем каталоге, а затем -- в каталогах, доступных по значению глобальной переменной PATH.

Первый, еще не инфицированный, файл либо заражается, либо (с вероятностью 1/8) искажается таким образом, что при запуске вызывает перезагрузку системы. Если испорченным оказался файл COMMAND.COM или любой файл, указанный в файле автозапуска AUTOEXEC.BAT, то процедура загрузки DOS зацикливается. Тело вируса имплантируется в конец СОМ-файла стандартным способом, а время создания последнего заменяется в поле секунд на значение 62. Это помогает вирусу определить инфицированность файла и тем самым избавиться от повторного его заражения.

Каталог существующих вирусов, а также средств их обнаружения и обезвреживания, приведен в Приложении 5.

Наряду с компьютерными вирусами существуют и другие опасные программы, суть которых состоит в обмане пользователя. Такие программы получили название «троянских», заимствованное из известной древнегреческой легенды о Троянском коне. Подобно ему «троянская» программа маскируется под полезную или интересную программу, но обладает порой чрезвычайно разрушительными побочными эффектами.

Например, имеется «троянская» программа CDIR.COM, которая одновременно с выводом каталогов в цвете разрушает FAT. В качестве другого примера можно назвать программу SEX.EXE, развлекающую пользователя путем отображения пикантных картинок и заодно разрушающую FAT. Интересен тот факт, что две версии популярного антивирусного пакета фирмы McAfee Associates, а именно, 70 и 73, оказались «троянскими» (они, конечно, имеют другое авторство) и попали даже в электронный бюллетень.

Одним из наиболее нашумевших случаев является следующий. Некий Джозеф Попп-младший послал в многие адреса по всему миру дискеты с информацией о СПИДе. Программа, ее отображающая, была «троянской» -- разрушала данные на дисках и выводила рекомендацию послать для исцеления дисков 387 долларов в адрес указанного почтового отделения в Панаме. В настоящее время упомянутый горе-шутник привлекается к уголовной ответственности.

В отличие от вирусов «троянские» программы не могут размножаться и внедряться в другие программные изделия.

Наиболее примитивные «троянские» программы проявляют свою сущность при каждом запуске на выполнение. Более совершенные из них аналогично вирусам начинают действовать при наступлении определенного, события или момента времени.

Еще один класс зачастую опасных программ составляют так называемые «черви», формально именуемые репликаторами. Их основная особенность состоит в способности к размножению без внедрения в другие программы. Репликаторы создаются с целью распространения по узлам вычислительной сети и могут иметь начинку, состоящую, в частности, из вирусов. В этом отношении можно провести недвусмысленную аналогию между «червем» и шариковой бомбой.

Примером репликатора является программа Christmass Tree, рисующая на экране дисплея рождественскую елку, а затем рассылающая свои копии по всем адресам, зарегистрированным средствами электронной почты.

1.2 Методы защиты информации от вирусов

Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.

Для защиты от вирусов можно использовать: -- общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя; -- профилактические меры, позволяющие уменьшить вероятность заражения вирусом; -- специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

1. копирование информации -- создание копий файлов и системных областей дисков;

2. разграничение доступа  предотвращает несанкционированное  использование информации, в частности, защиту от изменений программ  и данных вирусами, неправильно  работающими программами и ошибочными  действиями пользователей.

Несмотря на то, что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо и применение специализированных программ для защиты от вирусов. Эти программы можно разделить на несколько видов: детекторы, доктора (фаги), ревизоры, доктора-ревизоры, фильтры и вакцины (иммунизаторы).

ПРОГРАММЫ-ДЕТЕКТОРЫ позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Эти программы проверяют, имеется ли в файлах на указанном пользователем диске специфическая для данного вируса комбинация байтов. При ее обнаружении в каком-либо файле на экран выводится соответствующее сообщение. Многие детекторы имеют режимы лечения или уничтожения зараженных файлов. Следует подчеркнуть, что программы-детекторы могут обнаруживать только те вирусы, которые ей «известны». Некоторые программы-детекторы могут настраивать на новые типы вирусов, им необходимо лишь указать комбинации байтов, присущие этим вирусам. Тем не мение невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус.

Таким образом, из того, что программа не опознается детекторами как зараженная, не следует, что она здорова -- в ней могут сидеть какой-нибудь новый вирус или слегка модифицированная версия старого вируса, неизвестные программам-детекторам.

Многие программы-детекторы не умеют обнаруживать заражение «невидимыми» вирусами, если такой вирус активен в памяти компьютера. Дело в том, что для чтения диска они используют функции DOS, а они перехватываются вирусом, который говорит, что все хорошо. Правда детекторы пытаются выявить вирус путем просмотра оперативной памяти, но против некоторых «хитрых» вирусов это не помогает. Так что надежный диагноз программы-детекторы дают только при загрузке DOS с «чистой», защищенной от записи дискеты, при этом копия программы-детектора также должна быть запущена с этой дискеты.

Некоторые детекторы умеют ловить «невидимые» вирусы, даже когда они активны. Для этого они читают диск, не используя вызовы DOS. Правда, этот метод работает не на всех дисководах.

Большинство программ-детекторов имеют функцию «доктора», т.е. они пытаются вернуть зараженные файлы или области диска в их исходное состояние. Те файлы, которые не удалось восстановить, как правило, делаются неработоспособными или удаляются.

Большинство программ-докторов умеют «лечить» только от некоторого фиксированного набора вирусов, поэтому они быстро устаревают. Но некоторые программы могут обучаться не только способам обнаружения, но и способам лечения новых вирусов.

ПРОГРАММЫ-РЕВИЗОРЫ имеют две стадии работы. Сначала они запоминают сведения о состоянии программ и системных областей дисков (загрузочного сектора и сектора с таблицей разбиения жесткого диска). Предполагается, что в этот момент программы и системные области дисков не заражены. После этого с помощью программы-ревизора можно в любой момент сравнить состояние программ и системных областей дисков с исходным. О выявленных несоответствиях сообщается пользователю.

Чтобы проверка состояния программ и дисков проходила при каждой загрузке операционной системы, необходимо включить команду запуска программы-ревизора в командный файл AUTOEXEC.BAT. Это позволяет обнаружить заражение компьютерным вирусом, когда он еще не успел нанести большого вреда. Более того, та же программа-ревизор сможет найти поврежденные вирусом файлы.

Многие программы-ревизоры являются довольно «интеллектуальными» -- они могут отличать изменения в файлах, вызванные, например, переходом к новой версии программы, от изменений, вносимых вирусом, и не поднимают ложной тревоги. Дело в том, что вирусы обычно изменяют файлы весьма специфическим образом и производят одинаковые изменения в разных программных файлах. Понятно, что в нормальной ситуации такие изменения практически никогда не встречаются, поэтому программа-ревизор, зафиксировав факт таких изменений, может с уверенностью сообщить, что они вызваны именно вирусом.

Другие программы часто используют различные полумеры - пытаются обнаружить вирус в оперативной памяти, требуют вызовы из первой строки файла AUTOEXEC.BAT, надеясь работать на «чистом» компьютере, и т.д. Увы, против некоторых «хитрых» вирусов все это бесполезно.

Для проверки того, не изменился ли файл, некоторые программы-ревизоры проверяют длину файла. Но эта проверка недостаточна -- некоторые вирусы не изменяют длину зараженных файлов. Более надежная проверка -- прочесть весь файл и вычислить его контрольную сумму. Изменить файл так, чтобы его контрольная сумма осталась прежней, практически невозможно.