Реферат: Компьютерные вирусы

Содержание

 

Введение

1. Сущность проявления компьютерных вирусов

2. Характеристика путей проникновения вирусов в компьютеры

3. Стандартные методы заражения

4. Сценарии распространениявирусов

5. Сценарии нанесения ущерба вирусами

6. Структура современных вирусных программ

6.1 Структура файлового нерезидентного вируса

6.2 Структура файлового резидентного вируса

6.3 Структура бутового вируса

7. Как работает вирус

8. Понятие стелс-алгоритмов

Списокиспользованной литературы

 

Введение

Существует два варианта атаккомпьютерной системы: изнутри и снаружи. Следует сказать, что в последнеевремя, с распространением Интернета и локальных сетей, все большую угрозу длякомпьютеров представляют именно наружные атаки. Компьютер, подключенный к сети,может быть атакован по этой сети с удаленного компьютера. Почти во всех случаяхтакая атака состоит из передачи по сети на атакуемую машину некоторойпрограммы, при выполнении которой атакуемой машине наносится ущерб. По меретого как количество подключенных к Интернету компьютеров продолжает увеличиваться,опасность подобных атак также растет.

В последнее времясообщения об атаке компьютеров каким-либо вирусом иди червем появляются вгазетах почти каждый день. Вирусы и черви представляют главную проблемубезопасности для отдельных пользователей и компаний. Коварность вирусов незнает границ, а вред, который они могут принести в крупной компьютернойсистеме, поражает воображение. Не зря во многих странах создание ираспространение вирусов преследуется по закону как уголовное преступление.Представьте себе, какие могут быть последствия потери информации в крупномбанке, медицинском учреждении или нарушения работы военной компьютернойсистемы. А между тем подобные случаи уже возникали в ряде стран.

Важноесвойство компьютерных вирусов – способность “размножаться”, бесконтрольнораспространяясь в компьютерной среде. Переносчики компьютерных вирусов – этодискеты, локальные и глобальные сети, а в последнее время и компакт-диски,особенно с нелицензионным программным обеспечением. Вирусная эпидемия может всчитанные дни или часы охватить крупный вычислительный центр (а то и несколькоцентров), полностью парализовав его работу. При этом издержки могут исчислятьсямиллионами и десятками миллионов долларов.

Вданной работе мы подробно остановимся на вопросах, связанных с проявлением,функционированием и последствиями работы компьютерных вирусов.

1. Сущность проявления компьютерных вирусов

Массовое применениеперсональных компьютеров, к сожалению, оказалось связанным с появлениемсамовоспроизводящихся программ-вирусов, препятствующих нормальной работекомпьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой вкомпьютере информации. Проникнув в один компьютер, компьютерный вирус способенраспространиться на другие компьютеры.

/>Компьютернымвирусом называетсяспециально написанная программа, способная самопроизвольно присоединяться кдругим программам, создавать свои копии и внедрять их в файлы, системныеобласти компьютера и в вычислительные сети с целью нарушения работы программ,порчи файлов и каталогов, создания всевозможных помех в работе на компьютере.

Причины появления ираспространения компьютерных вирусов, с одной стороны, скрываются в психологиичеловеческой личности и ее теневых сторонах (зависти, мести, тщеславиинепризнанных творцов, невозможности конструктивно применить свои способности),с другой стороны, обусловлены отсутствием аппаратных средств защиты ипротиводействия со стороны операционной системы персонального компьютера.

Основными путямипроникновения вирусов в компьютер являются съемные диски (гибкие и лазерные), атакже компьютерные сети. Заражение жесткого диска вирусами может произойти призагрузке компьютера с дискеты, содержащей вирус. Такое заражение может быть ислучайным, например, если дискету не вынули из дисковода А: и перезагрузиликомпьютер, при этом дискета может и не быть системной. Заразить дискету гораздопроще. На нее вирус может попасть, даже если дискету просто вставили в дисководзараженного компьютера и, например, прочитали ее оглавление.

/>Зараженныйдиск – это диск, взагрузочном секторе которого находится программа – вирус.

После запуска программы,содержащей вирус, становится возможным заражение других файлов. Наиболее частовирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющиерасширения ЕХЕ, СОМ, SYS или ВАТ. Крайне редко заражаются текстовые и графическиефайлы.

/>Зараженнаяпрограмма – этопрограмма, содержащая внедренную в нее программу-вирус.

После заражения программывирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы непривлечь внимания. И наконец, не забывает возвратить управление той программе,из которой был запущен. Каждое выполнение зараженной программы переносит вирусв следующую. Таким образом, заразится все программное обеспечение.

Несмотря на принятые вомногих странах законы о борьбе с компьютерными преступлениями и разработкуспециальных программных средств защиты от вирусов, количество новых программныхвирусов постоянно растет. Это требует от пользователя персонального компьютеразнаний о природе вирусов, способах заражения вирусами и защиты от них.

При заражении компьютеравирусом очень важно своевременно его обнаружить. Для этого следует знать обосновных признаках проявления вирусов. К ним можно отнести следующие:

·         прекращение работыили неправильная работа ранее успешно функционировавших программ;

·         медленная работакомпьютера;

·         невозможностьзагрузки операционной системы;

·         исчезновениефайлов и каталогов или искажение их содержимого;

·         изменение даты ивремени модификации файлов;

·         изменениеразмеров файлов;

·         неожиданноезначительное увеличение количества файлов на диске;

·         существенноеуменьшение размера свободной оперативной памяти;

·         вывод на экраннепредусмотренных сообщений или изображений;

·         подачанепредусмотренных звуковых сигналов;

·         частые зависанияи сбои в работе компьютера.

Следует заметить, чтовышеперечисленные явления необязательно вызываются присутствием вируса, а могутбыть следствием других причин. Поэтому всегда затруднена правильная диагностикасостояния компьютера.

 
2. Характеристика путей проникновениявирусов в компьютеры

Каквирусы попадают в компьютер? Вы обязательно должны уяснить себе этот вопрос,чтобы по возможности перекрыть все возможные каналы поступления новых вирусов.

Ксчастью, вирус не может просто так появиться на компьютере (если, конечно, высами не разрабатываете его). Когда незараженный компьютер полностью изолированот внешнего мира – от него отключены дисководы, он не подключен к локальнойсети и в нем не установлен модем, вирус не может попасть в такой компьютер.

Компьютерныйвирус не появится от того, что вы оставили на ночь открытой форточку и устроилисквозняк. Дождь и снег за окном также не могут служить источником возникновениякомпьютерного вируса.

Чтобывирус проник на компьютер, необходимо, чтобы последний выполнил зараженнуюпрограмму или загрузился с зараженной дискеты. Наиболее часто вирусы попадают вкомпьютер вместе с пиратским программным обеспечением, программами Freeware иShareware.

Вотосновные пути, по которым вирусы проникают в компьютер:

·         получениепрограмм с электронной доски объявлений и через глобальные сети;

·         обмен дискетами ипрограммами;

·         проникновениевируса из локальной сети

Мыне можем сейчас предусмотреть все возможные пути проникновения вирусов вкомпьютер. Так, например, совсем недавно появился новый вид вирусов,распространяющихся через файлы документов текстового процессора Microsoft Wordfor Windows. После этого даже казавшееся ранее абсолютно безопасным копированиедокументов несет в себе опасность заражения./>

Использованиепиратского программного обеспечения

Незаконное использованиепрограммного обеспечения, при котором оно многократно копируется многимилюдьми, легко позволяет вирусам распространяться от компьютера к компьютеру. Внашей стране, да и во всем мире, пиратское копирование программ широкораспространено.

Быстреевсего вирусы распространяются, заражая выполнимые файлы компьютерных игр.Немногие могут удержаться, чтобы не скопировать у хорошего знакомого новуюверсию популярной игры, просто переписав на свои дискеты все ее файлы. Затемкто-нибудь перепишет игру у вас и так далее и так далее… Если на одном изкомпьютеров этой цепочки находится вирус, и он заразит выполнимые файлы игры,то все остальные любители развлечений также получат вирус.

Тольков случае законного использования программ вы можете быть спокойны за то, что неполучите вирус или троянскую программу. В крайнем случае, у вас будет комувыдвинуть претензии.

Темне менее, известны случаи, когда даже фирменное программное обеспечениесодержало в себе вирус, поэтому вы всегда должны внимательно относиться кпроблеме антивирусной защиты компьютера.

Широкое использование программ Freewareи Shareware

Помимо фирменногопрограммного обеспечения существуют так называемые бесплатные (Freeware) иусловно бесплатные (Shareware) программы. Вы можете свободно копировать ииспользовать такое программное обеспечение. Программы Shareware отличаются отFreeware тем, что если вы используете их дольше определенного срока и они вампонравились, вы должны отправить их создателю небольшое количество денег,обычно от пяти до двадцати американских долларов.

Вкачестве Shareware распространяются программы архиваторы, например архиваторARJ, различные графические пакеты и другие мелкие полезные программы.

Для того чтобы файловыйвирус проник в компьютер, достаточно запустить зараженную программу с дискетыили с сетевого диска

Несмотряна свою привлекательность, программное обеспечение Freeware и Shareware можетпослужить для проникновения вирусов. Это происходит вследствии того, чтопрограммы Freeware и Shareware поступают конечному пользователю через длиннуюцепочку копирований. Существует вероятность, что во время такого копированияпрограмма может быть заражена вирусом.

Поэтомуследует по возможности избегать бесплатных и условно бесплатных программ.Особенно это касается тех случаев, когда компьютер используется для выполненияответственных задач.

Электронная доска объявлений иглобальные сети

За последние нескольколет широкое распространение получили так называемые электронные доскиобъявлений (Bulletin Board System – BBS). BBS – это компьютер, снабженный однимили несколькими модемами, на котором выполняется специальная почтоваяпрограмма. Эта программа позволяет пользователям удаленных компьютеровсвязываться с BBS по телефонным линиям и выполнять обмен сообщениями и файлами.

Каждыйобладатель модема может позвонить на BBS со своего компьютера, записать на нееили считать себе любые файлы. Таким образом, на BBS может попасть программа,зараженная вирусом, троянская программа или программа-червь.

Правилапользования различными BBS могут значительно отличаться друг от друга. Длянекоторых BBS запрещена запись новых файлов. Пользователь может толькозагрузить файлы с BBS и обмениваться текстовыми сообщениями. На других BBS,наоборот, поощряется запись пользователями новых файлов. От объема записанныхпользователем файлов зависит, какой объем файлов пользователь может получитьдля себя.

Несмотряна то, что все вновь загруженные файлы должны, по идее, проверяться системнымоператором BBS на вирусы, иногда они этого могут не делать. Даже если проверкаосуществляется, новые вирусы, не известные антивирусным программам,используемым системным оператором BBS, могут остаться незамеченными. В случае,когда на BBS загружена троянская программа, проверка антивирусными программамискорее всего ничего не даст.

Многиеавторы вирусов специально записывают на BBS зараженные программы, чтобыинициировать таким образом распространение своего детища. Однако совсем необязательно, что зараженная программа записана на BBS специально. Возможно тот,кто ее записал, сам не знал о наличии вируса.

Другиепользователи, которые перепишут с BBS на диски своего компьютера зараженнуюпрограмму, получат вместе с ней вирус.

Следуетпомнить, что не только выполнимые файлы могут быть заражены вирусами. Дажетекстовый файл в формате Microsoft Word for Windows может содержать в себевирус.

Любой файл, содержащий всебе выполнимые инструкции, будь то команды центрального процессора илипрограммы, написанные на языке макрокоманд, могут содержать вирус

Есливам все же приходится использовать в своей работе программы, полученные с BBS,необходимо в обязательном порядке проверять их на наличие вирусов.

Обмен дискетами

Ваш компьютерподвергается опасности заражения вирусами не только когда вы записываете себевыполнимые файлы и файлы документов, содержащие макрокоманды.

Загрузочныевирусы могут проникнуть в компьютер, когда он загружается с зараженной дискеты.Подчеркнем, что зараженная дискета не обязательно должна быть системной, тоесть содержать файлы операционной системы. Загрузочный вирус может быть налюбой дискете.

Обычноэто происходит, когда вы случайно оставляете дискету в дисководе, а затем перезагружаетекомпьютер. Во время первоначальной загрузки компьютер считывает загрузочнуюзапись с дискеты и передает ей управление. Если дискета заражена, вирус сразуполучает управление и заражает жесткий диск компьютера. Теперь даже послевыключения питания компьютера и загрузки его с жесткого диска вирус будетактивизирован.

Файловыевирусы получают управление при запуске зараженного файла. Возможно, что работаяна компьютере, вы не запустите ни одного зараженного файла и вирус так и неполучит управления. Загрузочный вирус выполняется каждый раз, когда вызагружаете компьютер.

Самапо себе зараженная загрузочным вирусом дискета не представляет непосредственнойопасности. Вы можете вставить ее в компьютер, скопировать с нее любые файлы илизаписать новые файлы с жесткого диска компьютера. Вирус при этом не сможетзаразить компьютер. Только загрузка с дискеты позволяет вирусуактивизироваться.

Базоваясистема ввода/вывода (Basic Input Output System– BIOS) большинства современных компьютеров позволяет установить порядокзагрузки операционной системы. Если вы укажете, что операционная система должназагружаться сначала (или только) с жесткого диска, загрузочный вирус непроникнет к вам с зараженной дискеты, даже если вы случайно оставите ее в дисководе.Чтобы установить порядок загрузки операционной системы, надо запуститьпрограмму BIOS Setup, а затем руководствоваться описанием системной платыкомпьютера.

Однакомы не советуем вам специально экспериментировать с зараженными дискетами икопировать с них выполнимые файлы. Многие файлово-загрузочные вирусы могуттакже распространяться, заражая обычные выполнимые файлы. Такой вирус можетзаразить загрузочные секторы жесткого диска при запуске обычной программы.

Известныслучаи, когда загрузочный вирус был обнаружен на отформатированных дискетах,только что купленных в магазине. Вирус попал на них еще на заводе, во времяформатирования новых дискет./>

Вирусына компакт-дисках

В настоящее время всебольшее распространение получают устройства чтения компакт-дисков. Этиустройства позволяют читать специальные диски, объем которых составляет больше600 Мбайт. Постоянное снижение цены на устройства чтения компакт-дисков и ихсовершенствование позволяют предположить, что в скором времени все компьютерыбудут оснащены таким устройством.

Ксожалению, записать информацию на компакт-диск значительно сложнее, чемпрочитать. Существует две технологии их изготовления. Принципиальное различиемежду ними состоит в количестве дисков, которые можно изготовить заопределенное время. Ни одна из этих технологий не позволяет стирать ужезаписанные данные и записывать на их место другие.

Перваятехнология предполагает наличие сложного технологического оборудования.Заготовки для таких дисков изготавливаются на основе алюминия и имеют крайненизкую стоимость, но запись на них информации окупается только при большихтиражах. Поэтому на алюминиевых дисках обычно выпускают дистрибутивы современногопрограммного обеспечения, сложные игры, энциклопедии, то есть все, что находитширокий спрос.

Втораятехнология позволяет изготавливать единичные экземпляры компакт-дисков, ноустройства для их записи значительно дешевле и подключаются к компьютеру какдисковод. Сами же заготовки дисков выполняются с напылением золота и стоятдороже алюминиевых.

Файлы,записанные на компакт-дисках, могут быть заражены вирусами. Но в отличие от жесткихдисков и дискет, это может случиться только если файл был заражен и записан накомпакт-диск уже зараженным. Последующее использование компакт-диска не вызоветего заражения ни в каком случае, даже если компьютер, на котором вы работаете,забит вирусами до отказа. Секрет прост – обычные устройства чтениякомпакт-дисков физически не могут записывать данные на диск, и предназначенытолько для чтения.

Темне менее вирус может находиться на компакт-диске. Это происходит в том случае,когда фирма, подготовившая компакт-диск к выпуску, не позаботилась оантивирусной безопасности и вирус заразил файл перед записью его на диск.

Особенновнимательно следует обращаться с пиратскими (не лицензионными) компакт-дисками,выпущенными подпольно. Никто не даст вам гарантию, что на них нет вирусов.

Большинствоантивирусных программ позволяют проверить компакт-диск на вирусы. Следуеттолько иметь в виду, что если вирус обнаружен, вылечить такой файлнепосредственно на компакт-диске невозможно. В качестве одного из вариантов выможете скопировать зараженный файл к себе на жесткий диск и сразу вылечить егос помощью антивирусной программы. Пользоваться можно только этим вылеченнымфайлом.

Проникновение вируса из локальнойсети

Широкиевозможности обмена данными, которые предоставляют локальные сети, позволяютвирусам распространяться с огромной скоростью. Мы посвятили локальным сетямотдельную главу. А сейчас отметим только, что вирус может проникнуть накомпьютер, подключенный к локальной сети, когда пользователь копирует себефайлы из сети или просто запускает программы из сетевых каталогов.

3. Стандартные методы заражения

Эта информация не является«секретной», обнаружить ее легко в многочисленных статьях и книжках,посвященных не только вирусам, но и защите данных от несанкционированного копирования(НСК).

Вообще говоря, заражение всехпрограмм возможно по-разному.

Код вируса приписывается к концуфайла заражаемой программы, и тем или иным способом осуществляется переходвычислительного процесса на команды этого фрагмента.

Методоттеснения

Код вируса располагается в началезараженной программы, а тело самой программы приписывается к концу.

Методвытеснения

Из начала (или середины) файла«изымается» фрагмент, равный по объему коду вируса, приписывается кконцу. Сам вирус записывается в освободившееся место.

Разновидность метода вытеснения – когдаоригинальное начало не сохраняется вообще. Такие программы являются«убитыми насмерть» и не могут быть восстановлены никаким антивирусом.

Прочиеметоды

Ну и всякая экзотика, типа сохранениявытесненного фрагмента программы в «кластерном хвосте» файла и пр.

«Стандартные»методы заражения

Е. Касперский выделяет следующиеспособы и называет их «стандартными».

СлучайCOM-программы

Тело вируса приписывается к концуфайла, где-то внутри его сохраняются несколько (обычно, три) байтоворигинального начала программы, на их место записываются команды перехода наначало вируса. Когда вирус заканчивает выполнение предусмотренных им действий,он восстанавливает оригинальные байты начала программы (по адресу CS:100h) и передает тудауправление.

СлучайEXE-программ

Тело вируса приписывается к концуфайла, в заголовке его модифицируются значения полей, определяющихместоположение точки входа и размера программы (иногда еще – местоположениястека). В результате управление получает вирусный код. По окончании работывирус, используя сохраненные при заражении значения измененных полей,осуществляет переход на оригинальное начало программы.

4. Сценарии распространения вирусов

Существует несколько сценариевраспространения вирусов. Начнем наше обсуждение данной темы с классическоговарианта. Когда вирус создан, он помещается в какую-либо программу (какправило, чужую, хотя бывает, что автор вируса заражает им свою программу),после чего зараженная программа распространяется, например, помещается на web-сайте бесплатных илиоплачиваемых после скачивания программ. Эту программу кто-нибудь скачивает изапускает. Далее может быть несколько вариантов. Во-первых, вирус можетзаразить несколько файлов на жестком диске в надежде, что жертва решитподелиться этими файлами со своими друзьями. Он также может попытаться заразитьзагрузочный сектор жесткого риска. Как только загрузочный сектор инфицирован,вирус сможет запускаться в резидентном режиме при каждой последующей загрузкекомпьютера.

Кроме этого, вирус может проверитьналичие гибких дисков в дисководах и попытаться заразить их загрузочныесекторы. Гибкие диски представляют собой удобную мишень, так как ониперемещаются с машины на машину гораздо чаще, чем жесткие диски. Еслизагрузочный сектор гибкого диска инфицирован и такой диск используется длязагрузки другого компьютера, вирус может заразить файлы и загрузочный секторжесткого диска этого компьютера. В прошлом, когда гибкие диски представлялисобой основное средство переноса программ, этот механизм был основным путемраспространения вирусов.

Сегодня для распространения вирусовесть другие возможности. Вирус может проверять, подключена ли машина, на которойон работает, к локальной сети, вероятность чего очень высока для компьютеровуниверситета или компании. Затем вирус может начать заражать незащищенные файлына серверах этой локальной сети. На защищенные файлы эта инфекция распространитьсяне сможет, но часто вирусы используют специальный трюк, заключающийся в том,что намеренно вызывают странное поведение зараженных ими программ. Расчетделается на то, что пользователь, озадаченный ненормальным поведениемпрограммы, обратится за помощью к системному администратору. Системныйадминистратор попробует сам запустить странно ведущую себя программу, чтобыпосмотреть, что случилось, Если администратор выполнит это, обладаяполномочиями суперпользователя, то вирус, содержащийся в программе, получитвозможность заразить системные двоичные файлы, драйверы устройств, операционнуюсистему и загрузочные секторы. Для этого потребуется всего лишь одна ошибкасистемного администратора, в результате которой зараженными могут оказаться всемашины локальной сети.

Часто компьютеры в локальной сетиимеют полномочия регистрироваться по Интернету на удаленных машинах или дажевыполнять удаленно команды без регистрации. В данном случае вирусы получают ещебольше возможностей для распространения. Таким образом, одна ошибка системногоадминистратора может привести к инфицированию компьютеров всей компании. Вбольшинстве компаний системным администраторам запрещается ошибаться.

Еще один способ распространениявирусов заключается в публикации зараженной программы в одной из конференций USENET или на BBS. Кроме того, авторвируса может создать web-страницу, для просмотра которой требуется специальный плагин(plug-in, сменный программныймодуль), и тут же предложить загрузить этот плагин, который будет зараженвирусом.

В последнее время все большеераспространение получают вирусы, распространяемые вместе с документами(например, редактора Word). Этидокументы рассылаются по электронной почте или публикуются в конференциях USENET, BBS и на web-страницах Интернета,как правило, в виде файловых дополнений к письму. Даже люди, которым в головуне приходит запускать программу, присланную им незнакомым человеком, могут непонимать, что, открывая дополнение щелчком мыши, они могут впустить вирус всвою машину. Затем вирус может заглянуть в адресную книгу пользователя иразослать самого себя по всем адресам из этой книги. В строке Subject при этом, как правило,вирус указывает нечто интересное и правдоподобное, например:

Subject: Изменения планов

Subject: Re: то последнее письмо

Subject: Собака умерла прошлой ночью

Subject: Я серьезно болен

Subject: Я тебя люблю

Когда такое письмо приходит,получатель видит, что отправитель письма – его друг или коллега по работе, и нио чем не подозревает. Когда письмо открыто, уже слишком поздно. Вирус «I LOVE YOU»,распространившийся по всему миру в июне 2000 года, действовал именно этимспособом и нанес ущерб в несколько миллиардов долларов.

Помимо самих вирусов, такжераспространяется технология их изготовления. Существуют группы писателейвирусов, активно обменивающихся информацией по Интернету и помогающих другдругу в разработке новых технологий, инструментов и вирусов. Для большинства изних создание вирусов представляет собой скорее хобби, чем профессиональнуюкриминальную деятельность, но эффект от их действий от этого не становитсяменее разрушительным. Еще одну группу писателей вирусов представляют военные,рассматривающих вирусы как военное оружие, способное вывести из строякомпьютерные системы противника.

С распространением вирусов связанапроблема избежания обнаружения. Тюрьмы славятся плохим компьютерным оснащением,поэтому авторы вирусов предпочитают избегать этих мест. Опубликование вируса всети со своего домашнего компьютера означает серьезный риск. Когда вирус будет,в конце концов, обнаружен, полиция сможет проследить путь его появления в сети,найдя по временному штампу самое первое сообщение, содержащее этот вирус, а поэтому сообщению можно найти и его отправителя.

Чтобы минимизировать риск, авторвируса может отправить сообщение из какого-либо Интернет-кафе в другом городе.Он может принести вирус с собой на дискете и считать его самостоятельно или,если машины в Интернет-кафе не оборудованы устройствами чтения гибких дисков,попросить милую девушку за стойкой считать для него файл book.doc, чтобы он мог его распечатать. Получив его на свой жесткийдиск, злоумышленник меняет расширение файла на .ехе и запускает его,заражая тем самым всю локальную сеть вирусом, который срабатывает не сразу, адве недели спустя (на тот случай, если полиция решит проверить списки всехавиапассажиров, посетивших этот город за последнюю неделю). Вместо гибкогориска можно использовать удаленный FTP-сайт или принести с собой лэптоп g подключить его к Ethernet или порту USB. Подобная услуга частопредоставляется в Интернет-кафе, чтобы туристы с лэптопами могли получать своюэлектронную почту каждый день.

 
5. Сценарии нанесения ущербавирусами

Поскольку вирус – это программа, онможет делать то, что может программа. Ha пример, он может выводить на экран сообщение или изображение,воспроизводить звуки или выполнять другие безвредные действия. К сожалению, онтакже может удалять, модифицировать, уничтожать или воровать файлы (передаваяих кому-либо по электронной почте). Шантаж тоже возможен. Представьте себевирус, который зашифровал все файлы на жестком диске жертвы, после чего вывелследующее сообщение:

ПРИВЕТ ОТ КОМПАНИИ GENERAL ENCRYPTION!

ДЛЯ ПРИОБРЕТЕНИЯ КЛЮЧА ДЕШИФРАЦИИ К ВАШЕМУ ЖЕСТКОМУ ДИСКУ, ПОЖАЛУЙСТА,

ВЫШЛИТЕ $100 В МЕЛКИХ НЕМАРКИРОВАННЫХ КУПЮРАХ НА А/Я 2154, ПАНАМА-СИТИ,

ПАНАМА. СПАСИБО. МЫ РАДЫ СОТРУДНИЧАТЬ С ВАМИ.

Кроме того, вирус может сделатьневозможным использование компьютера во время своей работы. Такая атаканазывается атакой отказа в обслуживании.Обычно для этого вирус поедает ресурсы компьютера, например процессорное время,(или заполняет жесткий диск всяким мусором.

Эта программа создает процессы,пока не переполнится таблица процессов, после чего ни один новый процесс несможет запуститься. Теперь представьте себе вирус, заразивший в системе этимкодом каждую программу. Для защиты от подобной атаки во многих современныхсистемах UNIX количество дочерних процессов ограничено.

Что еще хуже, вирус может повредитьаппаратное обеспечение компьютера. Многие современные компьютеры содержатподсистему ввода-вывода BIOS во флэш-ПЗУ, содержимое которого может программно изменяться(чтобы проще было обновлять BIOS). Вирус может записать в BIOS случайный мусор, послечего компьютер перестанет загружаться. Если флэш-ПЗУ вставлено в кроватку, тодля устранения проблемы нужно открыть компьютер и заменить микросхему. Если жефлэш-П3У впаяно в материнскую плату, то, возможно, всю материнскую платупридется выбросить и купить новую. Определенноневеселый опыт.

Как правило, вирусы наносят ущербкому попало, но вирус может также преследовать и строго определенную цель.Например, компания может выпустить вирус, проверяющий, не работает ли он накомпьютере конкурирующей фирмы и не отсутствует ли системный администратор внастоящий момент в системе. Если горизонт чист, он может вмешаться в производственныйпроцесс, снижая качество продукции и создавая, таким образом, проблемы дляконкурента. В остальных случаях он не будет ничего предпринимать, снижаявероятность своего обнаружения.

Другой пример вируса направленногодействия – вирус, написанный амбициозным вице-президентом корпорации, которыйзапускает его в локальную сеть собственного предприятия. Вирус проверяет,работает ли он на компьютере президента, и если да, то находит электроннуютаблицу и меняет в ней две случайные ячейки. Рано или поздно, основываясь наэтой электронной таблице, президент примет неверное решение и будет уволен,освобождая кресло – сами понимаете для кого.

6. Структура современных вирусных программ

Структурно компьютерный вирусможно представить состоящим из двух частей: головы и хвоста. Головой называетсячасть вируса, которая первой получает управление. Хвост вируса – это частивируса, расположенные отдельно от головы. В простейшем случае вирус можетсостоять из одной головы, и действительно файловые вирусы обычно так иустроены. Такие вирусы будем называть несегментированными. В отличие от них сегментированныевирусы имеют располагающийся отдельно хвост и в какой-то мере аналогичныоверлейным файлам. Примером сегментированных вирусов являются бутовые вирусы,хотя возможна реализация сегментированных файловых вирусов.

/> 6.1 Структура файлового нерезидентного вируса

Файловые вирусы являются наиболеераспространенной разновидностью компьютерных вирусов. Принципиально онизаражают любой тип исполняемых файлов: COM, EXE, OVL и т.д. Однако основными объектамизаражения являются файлы типа COM и файлы типа EXE. Наиболее просто осуществляетсязаражение COM-файлов, которые представляют собой почти точную копию участкапамяти с загруженной программой. Единственная требуемая настройка при загрузкеCOM-файлов состоит в загрузке сегментных регистров значениями, соответствующимиместу загрузки программы. Значительная часть COM-файлов начинается с команды перехода,обходящей содержащие в начале программы данные.

При заражении COM-файловвирус запоминает в своем теле первые три или больше байтов программы и вместоних записывает переход на начало собственного кода. Так поступает большинствофайловых вирусов, заражающих COM-файлы, но не все. Дело в том, что придописывании тела вируса в конец заражаемого файла весь код вируса должен бытьнаписан специальным образом, обычно называемым позиционно-независимым программированием:при выполнении программы все ссылки должны адресоваться через соответствующеесмещение, которое обычно хранится в одном из регистров.

/> 6.2 Структура файлового резидентного вируса

Файловые резидентные вирусы,помимо отдельных файлов, заражают, если так можно выразиться, и памятькомпьютера. Предельно упрощая, память компьютера можно рассматривать как ещеодин файл, который можно заражать, дописываясь в голову, т.е. в область младшихадресов свободного участка памяти, в хвост, т.е. в область старших адресовсвободного участка памяти и наконец, в середину, т.е. в область адресов, ужеиспользуемых операционной системой или какой-нибудь программой (старшие адреса векторапрерываний, буфера и т.д.).

Вместе с тем, структура резидентноговируса существенно отличается от структуры нерезидентного вируса. Резидентныйвирус можно представлять как состоящий из двух относительно независимых частей:инсталлятора и модуля обработки прерываний. Последний, в свою очередь, состоит изряда программ обработки. Несколько упрощая, можно считать, что на каждое перехватываемоепрерывание приходится своя программа обработки.

Инсталлятор получает управлениепри выполнении зараженной программы и играет роль своеобразной ракеты-носителя,запускающей вирус на орбиту, т.е. в оперативную память. Он отрабатывает одинраз у после запуска зараженной программы и его целесообразно рассматривать как специализированныйфайловый вирус, заражающий оперативную память и, возможно, обычные файлы. Впоследнем случае инсталлятор можно рассматривать как доработанный для зараженияоперативной памяти файловый вирус.

6.3 Структура бутового вируса

Бутовые вирусы являютсявесьма специализированной разновидностью резидентных файловых вирусов.Упрощенно бутовый вирус можно представить себе как специализированныйрезидентный вирус, который заражает единственный файл у загрузочный секторгибкого или жесткого диска. Четкой границы между резидентными файловымивирусами и бутовыми вирусами не существует: в последнее время появилисьгибриды, сочетающие заражение файлов с заражением бутсектора винчестера. Это подчеркиваетблизость основных принципов организации этих двух типов вирусов.

Этот тип вирусовраспространяется, инфицируя дискеты, причем как загружаемые, так инезагружаемые (т.е. содержащие любую информацию). Заражение незагружаемыхдискет связано с определенным психологическим расчетом, который, к сожалению,слишком часто оправдывается: при перезагрузке системы пользователи обычно забываютпроверить, вставлена ли дискета в дисковод A, и часто перезагрузка выполняетсяс вставленной в указанный дисковод дискетой, с которой вирус и попадает навинчестер.

 
7. Как работает вирус

Мы достаточно налюбовалиськартинами разрушений. Рассмотрим теперь принципы работы вирусов. Автор вирусасоздает свое творение, вероятно, на ассемблере, после чего аккуратно вставляетего в программу на собственном компьютере с помощью специального инструмента,называемого «пипеткой»(dropper). Затем инфицированная программа распространяется, возможно,с помощью опубликования ее на BBS или в виде свободно распространяемой программы черезИнтернет. Эта программа может представлять собой занимательную новую игру,пиратскую версию коммерческого программного продукта или еще что-либо подобное,вызывающее интерес у публики. Затем пользователи начинают загружать этупрограмму на свои компьютеры.

После запуска программы вирус, какправило, начинает с того, что заражает другие программы на этой машине, послечего выполняет свою «полезную»нагрузку, то есть запускает ту часть программы, длякоторой и писался вирус. Во многих случаях эта программа может не запускаться,пока не наступит определенная дата или пока вирус гарантированно нераспространится на большое число компьютеров. Выбранная дата может даже бытьпривязана к какому-либо политическому событию (например, к столетию или500-летию обиды, нанесенной этнической группе автора).

 
8. Понятие стелс-алгоритмов

Использование СТЕЛС-алгоpитмов позволяет вирyсам полностью или частично скpыть себя в системе. Наиболее распростpаненным стелс-алгоpитмом является пеpехват запpосов OC на чтение/запись заpаженных объектов. Стелс-виpyсы пpи этом либо вpеменно лечат их, либо «подставляют»вместо себя незаpаженные yчастки инфоpмации. В слyчае макpо-виpyсов наиболее попyляpный способом является запpет вызовов меню пpосмотpа макpосов. Виpyсы: «Frodo», «Brain».

Стелс-вирусы пытаются скрыть своеприсутствие в компьютере. Они имеют резидентный модуль, постоянно находящийся воперативной памяти компьютера. Этот модуль устанавливается в момент запусказараженной программы или при загрузке с диска, зараженного загрузочным вирусом.

Резидентный модуль вирусаперехватывает обращения к дисковой подсистеме компьютера. Если операционнаясистема или другая программа считывают файл зараженной программы, то вирусподставляет настоящий, незараженный, файл программы. Для этого резидентныймодуль вируса может временно удалять вирус из зараженного файла. После окончания работы с файлом он заражается снова.

Примером стелс-вируса может служитьMagdzie.1114. Это файловыйвирус, заражающий выполнимые файлы в формате EXE. При запуске зараженнойпрограммы в оперативной памяти устанавливается вирусный резидентный модуль,который перехватывает обращения к файловой системе компьютера. Если операционнаясистема запускает или открывает для чтения файл зараженной программы, вирусвременно удаляет из нее свой код. Обратноезаражение происходит, когда операционная система закрывает файл.

Вирус Magdzie проявляется, удаляявсе файлы, название которых начинается с CHKLIST. 27 мая вирус выводит на экран небольшой текст и движущийсяграфический узор.

Загрузочные вирусы действуют потакой же схеме. Когда какая-либо программа считывает данные из загрузочногосектора, они заменяются настоящим содержимым загрузочного сектора.

В качестве загрузочного вируса,использующего для маскировки стелс-технологию, можно привести вирус July29. Вирусраспространяется, замещая главную загрузочную запись на жестких дисках изагрузочную запись на дискетах. Настоящие загрузочные секторы сохраняются.Когда программа пытается прочитать или записать данные в главную загрузочнуюзапись жесткого диска или загрузочную запись дискеты, резидентный модуль вирусаподставляет неинфицированный сектор.

Маскировка стелс-вирусовсрабатывает только в том случае, если в оперативной памяти компьютера находитсярезидентный модуль вируса. Когда вы загружаете компьютер с системной дискеты, увируса нет шансов получить управление и поэтому стелс-механизм не работает.

Списокиспользованной литературы

1.        Безруков Н. Компьютерная вирусология: Учебник [Электронный ресурс]:vx.netlux.org/lib/anb00.html

2.        Особенностиалгоритма работы вирусов [Электронныйресурс]: virussid.narod.ru/alg.htm

3.        Таненбаум Э.Современные операционные системы. – СПб.: Питер, 2004.

4.        Точки входавируса [Электронный ресурс]: www.viruslab.ru/security/types_malware/virus/technical_data/date_1.php

5.        Фролов А.,Фролов Г. Осторожно: компьютерные вирусы. – М.:Диалог-МИФИ, 2002. – 256 с.

6.        Что такоекомпьютерные вирусы, и как они работают [Электронныйресурс]: www.frolov-lib.ru/books/step/v05/ch1.htm#_Toc152503451