Компьютерные вирусы

 

• Какое обязательное свойство компьютерного вируса?

 

• Когда появилась первая версия антивируса Е.В.Касперского?

Классификация компьютерных  вирусов:

 

Вирусы можно разделить на  классы по следующим основным  признакам:

 

 

 

• среда обитания;
• способ заражения среды обитания);
• особенности алгоритма работы;
• деструктивные возможности.

В зависимости от среды обитания вирусы можно разделить на:

 

•  файловые;
• загрузочные;
• макровирусы;
• сетевые.

Файловые вирусы

 

либо различными способами внедряются  в выполняемые файлы (наиболее  распространённый тип вирус), либо  создают файлы-двойники (вирусы-компаньоны), либо используют особенности  организации файловой системы (link-вирусы).

Загрузочные вирусы 

 

записывают себя либо в загрузочный  сектор диска (boot-секторы), либо в  сектор, содержащий системный загрузчик  винчестера (Master Boot Record), либо меняют  указатель на активный boot-сектор.

Макровирусы

 

заражают файлы-документы и электронные  таблицы нескольких популярных  редакторов.

Сетевые вирусы 

 

используют для своего распространения  протоколы или команды компьютерных  сетей и электронной почты.

Существует большое количество  сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют «стелс» и полиморфик-технологии.  
Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылают свои копии по электронной почте.

Заражаемая операционная система является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких ОС.

Среди особенностей алгоритма работы вирусов выделяются следующие: 
-         резидентность; 
-         использование «стелс»-алгоритмов; 
-         самошифрование и полиморфичность; 
- использование нестандартных приёмов.

Резидентный вирус 

 

при инфицировании компьютера  оставляет в оперативной памяти  свою резидентную часть, которая  затем перехватывает обращения  ОС к объектам заражения и  внедряется в них. Эти вирусы  находятся в памяти и являются  активными вплоть до выключения  компьютера или перезагрузки  ОС.

Использование «стелс»-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространённым «стелс»-алгоритмом является перехват запросов ОС на чтение-запись заражённых объектов и затем «стелс»-вирусы либо временно лечат их, либо подставляют вместо себя незаражённые участки информации.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру обнаружения вируса.

 

Полиморфик-вирусы достаточно трудно поддаются обнаружению; они не имеют сигнатур, т.е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

По диструктивным возможностям вирусы можно разделить на: 
- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); 
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическим, звуковым и прочими эффектами; 
- опасные вирусы, которые могут привести к серьёзным сбоям в работе компьютера; 
- очень опасные – в алгоритм их работы заведомо заложены процедуры, которые могут вызвать потерю программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизма – вводить в резонанс и разрушать головки некоторых типов винчестеров.

Файловые вирусы

 

К данной группе относятся  вирусы, которые при своем размножении  тем или иным способом используют  файловую систему какой-либо (или  каких-либо) ОС.

 

Файловые вирусы могут внедряться  практически во все исполняемые  файлы всех популярных ОС. На  сегодняшний день известны вирусы, поражающие все типы выполняемых  объектов стандартной DOS: командные  файлы (ВАТ), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные  файлы (EXE, COM). Существуют вирусы, поражающие  исполняемые файлы других ОС - Windows 3.x, Windows 95/NT, OS/2, Macintosh, Unix, включая VxD-драйверы Windows 3.x и Windows 95.

Файловые вирусы

 

По способу заражения файлов  вирусы делятся на:

 

Файловые вирусы

 

Overwriting-вирусы

 

Parasitic- вирусы

 

Companion- вирусы

 

Link- вирусы

 

Файловые черви

Overwriting-вирусы

 

Данный метод заражения является  наиболее простым : вирус записывает  свой код вместо кода заражаемого  файла, уничтожая его содержимое. Естественно, что при этом файл  перестает работать и не восстанавливается. Такие вирусы очень быстро  обнаруживают себя, так как ОС  и приложения довольно быстро  перестают работать. Не известно ни одного случая, когда подобного типа вирусы были бы обнаружены "в живом виде" и стали причиной эпидемии.

 

К разновидности overwriting-вирусов  относятся вирусы, записывающиеся  вместо DOS-заголовка NewEXE-файлов. Основная  часть файла при этом остается  без изменений и продолжает  нормально работать в соответствующе  ОС, однако DOS-заголовок оказывается  испорченным. 

Parasitic-вирусы

 

К паразитическим относятся  все файловые вирусы, которые  при распространении своих копий  обязательно изменяют содержимое  файлов, оставляя сам файлы при  этом полностью или частично  работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различнь ми методами - путем переноса части файла в его конец или внедрения в заведомо неиспользуемые данные файла (cavity-вирусы).

Companion-вирусы

 

К категории компаньон-вирусов  относятся вирусы, не изменяющие  заражаемых файлов. Алгоритм работы  этих вирусов состоит в том, что для заражаемого файла  создается файл-двойник, причем при  запуске зараженного файла управление  получает именно этот двойник, т. е. вирус.

Link-вирусы 

 

Link-вирусы, как и компаньон-вирусы,  не изменяют физического содержимого файлов, однако при запуске зараженного файла заставляют ОС выполни свой код. Этой цели они достигают модификацией необходимых полей файловой системы. 

 

На сегодняшний день известен  единственный тип link-вирусов - вирус  семейства Dir_II. При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов и длина и содержимое кластеров с этими файлами не изменяются, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.

 

До заражения данные каталога  хранят адрес первого кластера  файла. 
После заражения данные каталога указывают на вирус, т. е. при запуске файла управление получают не файлы, а вирус.

Файловые черви

 

Файловые черви (worms) являются в  некотором смысле разновидностью  компаньон-вирусов, но при этом  никоим образом не связывают  свое присутствие с каким-либо  выполняемым файлом. При размножении  они всего лишь копируют свой  код в какие-либо каталоги дисков  в надежде, что эти новые копии  будут когда-либо запущены пользователем. Иногда эти вирусы дают своим  копиям "специальные" имена, чтобы  подтолкнуть пользователя на  запуск своей копии, например INSTALL.EXE или WINSTART.BAT. 
 

 

Существуют вирусы-черви, использующие  довольно необычные приемы, например, записывающие свои копии в  архивы (ARJ, ZIP и пр.). К таким вирусам  относятся "ArjVirus" и "Winstart".

 

Не следует путать файловые  вирусы-черви с сетевыми червями. Первые используют только файловые  функции какой-либо операционной  системы, вторые же при своем  размножении пользуются сетевыми  протоколами. 

Алгоритм работы файлового  вируса

 

Получив управление, вирус совершает  следующие действия: (приводим список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться местами и значительно расшириться):

 

- резидентный вирус проверяет  оперативную память на наличие  своей копии и инфицирует память  компьютера, если копия вируса  не найдена; резидентный вирус ищет незараженные файлы в текущем и (или) корневом каталогах, в каталогах, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы; 

Алгоритм работы файлового  вируса

 

Получив управление, вирус совершает  следующие действия:

 

- выполняет, если они есть,  дополнительные функции: деструктивные  действия, графические или звуковые  эффекты и т. д. (дополнительные  функции резидентного вируса могут вызываться спустя некоторое время после активизации в зависимости от текущего времени, конфигурации системы, внутренних счетчиков вируса или других условий; в этом случае вирус при активизации обрабатывает состояние системных часов, устанавливает свои счетчики и т. д.); 

Алгоритм работы файлового  вируса

 

Получив управление, вирус совершает  следующие действия:

 

- возвращает управление основной  программе (если она есть). Паразитические  вирусы при этом либо восстанавливают  программу (но не файл) в  исходном виде (например, у  СОМ-программы восстанавливается  несколько первых байтов, у ЕХЕ-программы вычисляется истинный стартовый адрес, драйвера восстанавливаются значения адресов программ стратегии и прерывания), либо лечат файл, выполняют его, а затем снова заражают. Компаньон-вирусы запускают на выполнение своего "хозяина", вирусы-черви и overwriting-вирусы возвращают управление DOS. 

Загрузочные вирусы

 

Загрузочные вирусы заражают  загрузочный (boot) сектор гибкого диска в boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска ОС при включении или перезагрузке компьютера: после необходимых тестов установленного оборудования (памяти, дисков и т. д.) программа системной загрузки считывает первый физический сектор загрузочного диска и передает управление на А:, С: или CD-ROM, в зависимости от параметров, установленных BIOS Setup. 

Загрузочные вирусы

 

При заражении дисков загрузочные  вирусы подставляют свой код  вместо какой-либо программы, получающей  управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных  выше способах: вирус "заставляет" систему при ее перезапуске  считать в память и отдать  управление не оригинальному  коду загрузчика, а коду вируса.

Загрузочные вирусы

 

Заражение дискет производится  единственным известным способом: вирус записывает свой код  вместо оригинального кода boot-сектора  дискеты. Винчестер заражается тремя  возможными способами: вирус записывается  либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска С:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенный в MBR винчестера. 

Алгоритм работы загрузочного вируса

 

Практически все загрузочные  вирусы резидентны. Они внедряются  в память компьютера при загрузке  с инфицированного диска. При  этом системный загрузчик считывает  содержимое первого сектора диска, с которого производится загрузка, помещает считанную информацию  в память и передает на нее (т. е. на вирус) управление. После  этого начинают выполняться инструкции  вируса, который:

 

• как правило, уменьшает объем свободной памяти (слово по адресу 0040:0013), копирует в освободившееся место свой код и считывает с диска свое продолжение (если оно есть). В дальнейшем некоторые вирусы ждут загрузки DOS и восстанавливают это слово в его первоначальном значении. В результате они оказываются расположенными не за пределами DOS, а как отдельные блоки DOS-памяти; 
  

Алгоритм работы загрузочного вируса

 

• перехватывает необходимые векторы прерываний (обычно - INT 13H), считывает в память оригинальный boot-сектор и передает на него управление.