Реферат: Классификация компьютерных вирусов.

ИНСТИТУТУПРАВЛЕНИЯ И ЭКОНОМИКИ

(САНКТ-ПЕТЕРБУРГ)

МУРМАНСКИЙ ФИЛИАЛ

ЗАОЧНОЕ ОТДЕЛЕНИЕ

СПЕЦИАЛЬНОСТЬ«ГОСУДАРСТВЕННОЕ И МУНИЦИПАЛЬНОЕ УПРАВЛЕНИЕ»

КОНТРОЛЬНАЯ РАБОТА

                  по дисциплине:   Информатика                

                  на тему:     Классификациякомпьютерных вирусов.

ВЫПОЛНИЛ:

Студент  Митичев Руслан Сергеевич           

                                        Группа  Г  2-22

Курс 1

№ зачетной книжки 06375

дом.телефон  43-75-11

ПРОВЕРИЛ:

Преподаватель            

Мурманск

2003

Содержание

           Введение…………………………………………………………1 стр.<span Times New Roman""> 1.<span Times New Roman"">        …………………… 2-5 стр.<span Times New Roman""> 2.<span Times New Roman"">         Загрузочные вирусы…………………………………………… 6-7 стр.<span Times New Roman""> 3.<span Times New Roman"">         Макро-вирусы…………………………………………………. 8 стр.<span Times New Roman""> 4.<span Times New Roman"">        Файловыевирусы……………………………………………… 9-12 стр.<span Times New Roman"">  4.1.<span Times New Roman"">     Overwriting……………………………………………………….9 стр.<span Times New Roman"">  4.2.<span Times New Roman"">     Parasitic…………………………………………………………. 10 стр.<span Times New Roman"">  4.3.<span Times New Roman"">     Вирусы без точки входа………………………………………… 10 стр.<span Times New Roman"">  4.4.<span Times New Roman"">      Компаньон – вирусы …………………………………………… 10 стр.<span Times New Roman"">  4.5.<span Times New Roman"">      Файловые черви ………………………………………………… 11 стр.<span Times New Roman"">  4.6.<span Times New Roman"">      Link-вирусы ……………………………………………………. 11 стр.<span Times New Roman"">  4.7.<span Times New Roman"">      OBJ-, LIB-вирусы и вирусы в исходных текстах……………. 12 стр.<span Times New Roman""> 5.<span Times New Roman"">          Резидентные вирусы…………………………………………13-14 стр.<span Times New Roman"">  5.1.<span Times New Roman"">      DOS-вирусы …………………………………………………… 13 стр.<span Times New Roman"">  5.2.<span Times New Roman"">      Загрузочные вирусы …………………………………………… 14 стр.<span Times New Roman"">  5.3.<span Times New Roman"">      Windows-вирусы ……………………………………………… 14 стр.<span Times New Roman""> 6.<span Times New Roman"">         Стелс-вирусы………………………………………………….15-16 стр.<span Times New Roman"">  6.1.<span Times New Roman"">      Загрузочные вирусы …………………………………………… 15 стр.<span Times New Roman"">  6.2.<span Times New Roman"">      Файловые вирусы ……………………………………………… 15 стр.<span Times New Roman"">  6.3.<span Times New Roman"">      Макро-вирусы ………………………………………………… 16 стр.<span Times New Roman""> 7.<span Times New Roman"">          Полиморфик-вирусы………………………………………… 17-18 стр.<span Times New Roman"">  7.1.<span Times New Roman"">      Полиморфные расшифровщики ……………………………… 17стр.<span Times New Roman""> 8.<span Times New Roman"">          IRC-черви…………………………………………………….19-21 стр.<span Times New Roman"">  8.1.<span Times New Roman"">      IRC-клиенты …………………………………………………… 19 стр.<span Times New Roman"">  8.2.<span Times New Roman"">      Скрипт-черви …………………………………………………. 19 стр.<span Times New Roman"">  8.3.<span Times New Roman"">      mIRC.Acoragil иmIRC.Simpsalapim ………………………… 21стр.<span Times New Roman"">  8.4.<span Times New Roman"">      Win95.Fono…………………………………………………… 21стр.<span Times New Roman""> 9.<span Times New Roman"">        Сетевые вирусы……………………………………………… 22-23 стр.10.<span Times New Roman"">        Прочие «вредные программы»…………………………… 24-26 стр. 10.1   Троянскиекони (логические бомбы) ………………………… 24 стр. 10.2   Утилиты скрытого администрирования(backdoor) ………… 24 стр. 10.3    Intended-вирусы ……………………………………………… 25 стр. 10.4    Конструкторы вирусов ……………………………………… 25стр. 10.5    Полиморфные генераторы …………………………………… 26стр.          Заключение…………………………………………………… 27 стр.

Список литературы ………………………………………………… 28 стр.

Литература

1.<span Times New Roman"">    

Ю.А.Шафрин Информационные технологии.– М.: Лаборатория базовых знаний, 1999 В.В. Качала, Н.М. Качала Основыинформатики. – Мурманск: Издательство МГТУ, 1998.

2.<span Times New Roman"">    

Романец Ю.В., Тимофеев П.А., ШаньгинВ.Ф. Защита информации в компьютерных системах и сетях. — М.: Радио и связь,1999.

3.<span Times New Roman"">    

С.В. Симонович, Г.А. ЕвсеевПрактическая информатика. – М.: АСТ-Пресс: Инфорком-Пресс, 1998.

4.<span Times New Roman"">    

Ю.И. Рыжиков Информатика. – СПб.:Корона принт, 2000.

5.<span Times New Roman"">    

Н.В. Макарова, Л.А. Матвеев, В.Л.Бройдо Информатика: Учебник для экономических специальностей вузов. – М.:Финансы и статистика, 1999.<span Times New Roman"">                  <span Times New Roman"">                  

   Компьютерные вирусы. Что это такое и как с этим бороться? На эту темунаписаны десятки книг и сотни статей, борьбой с компьютерными вирусамипрофессионально занимаются сотни (или тысячи) специалистов в десятках (а можетбыть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и актуальна,чтобы быть объектом такого пристального внимания. Однако это не так.Компьютерные вирусы были и остаются одной из наиболее распространенных причинпотери информации. Известны случаи, когда вирусы блокировали работу организацийи предприятий. Более того, несколько лет назад был зафиксирован случай, когдакомпьютерный вирус стал причиной гибели человека — в одном из госпиталейНидерландов пациент получил летальную дозу морфия по той причине, что компьютербыл заражен вирусом и выдавал неверную информацию.

   Несмотря на огромные усилия конкурирующих между собой антивирусных фирм,убытки, приносимые компьютерными вирусами, не падают и достигаютастрономических величин в сотни миллионов долларов ежегодно. Эти оценки явнозанижены, поскольку известно становится лишь о части подобных инцидентов.

    Приэтом следует иметь в виду, что антивирусные программы и «железо» не дают полнойгарантии защиты от вирусов. Примерно так же плохо обстоят дела на другойстороне тандема «человек-компьютер». Как пользователи, так ипрофессионалы-программисты часто не имеют даже навыков «самообороны», а ихпредставления о вирусе порой являются настолько поверхностными, что лучше бы их(представлений) и не было.

<span Times New Roman",«serif»">1.<span Times New Roman"">    <span Times New Roman",«serif»">Классификациякомпьютерных вирусов.

Вирусы можно разделить на классы по следующим основнымпризнакам: .

1.<span Times New Roman"">               

средаобитания;

2.<span Times New Roman"">    

операционная система (OC);

3.<span Times New Roman"">    

особенности алгоритма работы;

4.<span Times New Roman"">    

деструктивные возможности.

По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:

1.<span Times New Roman"">               

файловые;

2.<span Times New Roman"">               

загрузочные;

3.<span Times New Roman"">               

макро;

4.<span Times New Roman"">               

сетевые.

    Файловые вирусылибо различными способами внедряются в выполняемые файлы (наиболеераспространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы),либо используют особенности организации файловой системы (link-вирусы).

    Загрузочные вирусызаписывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор,содержащий системный загрузчик винчестера (Master Boot Record), либо меняютуказатель на активный boot-сектор.

    Макро-вирусызаражают файлы-документы и электронные таблицы нескольких популярныхредакторов.

    Сетевые вирусыиспользуют для своего распространения протоколы или команды компьютерных сетейи электронной почты.

     Существует большоеколичество сочетаний — например, файлово-загрузочные вирусы, заражающие какфайлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеютдовольно сложный алгоритм работы, часто применяют оригинальные методыпроникновения в систему, используют стелс и полиморфик-технологии. Другойпример такого сочетания — сетевой макро-вирус, который не только заражаетредактируемые документы, но и рассылает свои копии по электронной почте.

    ЗаражаемаяОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению)является вторым уровнем деления вирусов на классы. Каждый файловый или сетевойвирус заражает файлы какой-либо одной или нескольких OS — DOS, Windows,Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel,Office97. Загрузочные вирусы также ориентированы на конкретные форматырасположения системных данных в загрузочных секторах дисков.

   Среди ОСОБЕННОСТЕЙАЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:

1.  резидентность;

2.<span Times New Roman"">    

использование стелс-алгоритмов;

3.<span Times New Roman"">    

самошифрование и полиморфичность;

4.<span Times New Roman"">    

использование нестандартных приемов.

   РЕЗИДЕНТНЫЙ вируспри инфицировании компьютера оставляет в оперативной памяти свою резидентнуючасть, которая затем перехватывает обращения операционной системы к объектамзаражения и внедряется в них. Резидентные вирусы находятся в памяти и являютсяактивными вплоть до выключения компьютера или перезагрузки операционнойсистемы. Нерезидентные вирусы не заражают память компьютера и сохраняютактивность ограниченное время. Некоторые вирусы оставляют в оперативной памятинебольшие резидентные программы, которые не распространяют вирус. Такие вирусысчитаются нерезидентными.

    Резидентными можносчитать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютерана все время работы зараженного редактора. При этом роль операционной системыберет на себя редактор, а понятие «перезагрузка операционной системы»трактуется как выход из редактора.

    В многозадачныхоперационных системах время «жизни» резидентного DOS-вируса также может бытьограничено моментом закрытия зараженного DOS-окна, а активность загрузочныхвирусов в некоторых операционных системах ограничивается моментом инсталляциидисковых драйверов OC.

    Использование стелс-алгоритмовпозволяет вирусам полностью или частично скрыть себя в системе. Наиболеераспространенным стелс-алгоритмов является перехват запросов OC начтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечатих, либо «подставляют» вместо себя незараженные участки информации. В случаемакро-вирусов наиболее популярный способ — запрет вызовов меню просмотрамакросов. Один из первых файловых стелс-вирусов — вирус «Frodo», первыйзагрузочный стелс-вирус — «Brain».

    САМОШИФРОВАНИЕ иПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобымаксимально усложнить процедуру детектирования вируса. Полиморфик-вирусы(polymorphic) — это достаточно труднообнаружимые вирусы, не имеющие сигнатур,т.е. не содержащие ни одного постоянного участка кода. В большинстве случаевдва образца одного и того же полиморфик-вируса не будут иметь ни одногосовпадения. Это достигается шифрованием основного тела вируса и модификациямипрограммы-расшифровщика.

    РазличныеНЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можноглубже спрятать себя в ядре OC (как это делает вирус «3APA3A»), защитить отобнаружения свою резидентную копию (вирусы «TPVO», «Trout2»), затруднитьлечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.

По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

1.<span Times New Roman"">               

безвредные,т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памятина диске в результате своего распространения);

2.<span Times New Roman"">               

неопасные,влияние которых ограничивается уменьшением свободной памяти на диске играфическими, звуковыми и пр. эффектами;

3.<span Times New Roman"">          

 опасные вирусы, которые могут привести ксерьезным сбоям в работе компьютера;

4.<span Times New Roman"">          

оченьопасные, в алгоритм работы которых заведомо заложены процедуры, которые могутпривести к потере программ, уничтожить данные, стереть необходимую для работыкомпьютера информацию, записанную в системных областях памяти, и даже, какгласит одна из непроверенных компьютерных легенд, способствовать быстромуизносу движущихся частей механизмов — вводить в резонанс и разрушать головкинекоторых типов винчестеров.

    Но даже если валгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзяс полной уверенностью назвать безвредным, так как проникновение его в компьютерможет вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус,как и всякая программа, имеет ошибки, в результате которых могут быть испорченыкак файлы, так и сектора дисков (например, вполне безобидный на первый взглядвирус «DenZuk» довольно корректно работает с 360K дискетами, но можетуничтожить информацию на дискетах большего объема). До сих пор попадаютсявирусы, определяющие «COM или EXE» не по внутреннему формату файла, а по егорасширению. Естественно, что при несовпадении формата и расширения имени файлпосле заражения оказывается неработоспособным. Возможно также «заклинивание»резидентного вируса и системы при использовании новых версий DOS, при работе вWindows или с другими мощными программными системами. И так далее.<span Arial",«sans-serif»; display:none;mso-hide:all">Конец формы

2. Загрузочныевирусы

    Загрузочныевирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или MasterBoot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан наалгоритмах запуска операционной системы при включении или перезагрузкекомпьютера — после необходимых тестов установленного оборудования (памяти,дисков и т.д.) программа системной загрузки считывает первый физический секторзагрузочного диска (A:, C: или CD-ROM в зависимости от параметров,установленных в BIOS Setup) и передает на него управление.

    Вслучае дискеты или компакт-диска управление получает boot-сектор, которыйанализирует таблицу параметров диска (BPB — BIOS Parameter Block) высчитываетадреса системных файлов операционной системы, считывает их в память и запускаетна выполнение.

    Призаражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либопрограммы, получающей управление при загрузке системы. Принцип заражения, такимобразом, одинаков во всех описанных выше способах: вирус «заставляет»систему при ее перезапуске считать в память и отдать управление не оригинальномукоду загрузчика, а коду вируса.

    Заражениедискет производится единственным известным способом — вирус записывает свой кодвместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами — вирус записываетсялибо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычнодиска C:), либо модифицирует адрес активного boot-сектора в Disk PartitionTable, расположенной в MBR винчестера.

    Приинфицировании диска вирус в большинстве случаев переносит оригинальныйboot-сектор (или MBR) в какой-либо другой сектор диска (например, в первыйсвободный). Если длина вируса больше длины сектора, то в заражаемый секторпомещается первая часть вируса, остальные части размещаются в других секторах(например, в первых свободных).

   Существует несколько вариантов размещения на диске первоначальногозагрузочного сектора и продолжения вируса: в сектора свободных кластеровлогического диска, в неиспользуемые или редко используемые системные сектора, всектора, расположенные за пределами диска.

    Еслипродолжение вируса размещается в секторах, которые принадлежат свободнымкластерам диска (при поиске этих секторов вирусу приходится анализироватьтаблицу размещения файлов — FAT), то, как правило, вирус помечает в FAT этикластеры как сбойные (так называемые псевдосбойные кластеры). Этот способиспользуется вирусами «Brain», «Ping-Pong» и некоторыми другими.

    Ввирусах семейства «Stoned» задействован другой метод. Эти вирусы размещаютпервоначальный загрузочный сектор в неиспользуемом или редко используемомсекторе — в одном из секторов винчестера (если такие есть), расположенных междуMBR и первым boot-сектором, а на дискете такой сектор выбирается из последнихсекторов корневого каталога.

    Конечно,существуют и другие методы размещения вируса на диске, например, вирусысемейства «Azusa» содержат в своем теле стандартный загрузчик MBR и призаражении записываются поверх оригинального MBR без его сохранения.

   Пользователям новых операционных систем (Novell, Win95, OS/2)загрузочные вирусы также могут доставить неприятности. Несмотря на то, чтоперечисленные выше системы работают с дисками напрямую (минуя вызовы BIOS), чтоблокирует вирус и делает невозможным дальнейшее его распространение, код вирусавсе-таки, хоть и очень редко, получает управление при перезагрузке системы.Поэтому вирус «March6», например, может годами «жить» в MBR сервера и никак невлиять при этом на его (сервера) работу и производительность. Однако прислучайной перезагрузке 6-го марта этот вирус полностью уничтожит все данные надиске.

<span Times New Roman",«serif»">3.<span Times New Roman"">    <span Times New Roman",«serif»">Макро-вирусы

    Макро-вирусы (macro viruses) являютсяпрограммами на языках (макро-языках), встроенных в некоторые системы обработкиданных (текстовые редакторы, электронные таблицы и т.д.). Для своегоразмножения такие вирусы используют возможности макро-языков и при их помощипереносят себя из одного зараженного файла (документа или таблицы) в другие.Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel иOffice97. Существуют также макро-вирусы, заражающие документы Ami Pro и базыданных Microsoft Access.

    Для существованиявирусов в конкретной системе (редакторе) необходимо наличие встроенного всистему макро-языка с возможностями:

    1. привязкипрограммы на макро-языке к конкретному файлу;

    2. копированиямакро-программ из одного файла в другой;

    3. возможностьполучения управления макро-программой без вмешательства пользователя(автоматические или стандартные макросы).

    Данным условиямудовлетворяют редакторы Microsoft Word, Office97 и AmiPro, а также электроннаятаблица Excel и база данных Microsoft Access. Этисистемысодержатвсебемакро-языки: Word — Word Basic, Excel, Office97 (включаяWord97,Excel97 иAccess) — Visual Basic for Applications.

    На сегодняшний день известны четыре системы, длякоторых существуют вирусы — Microsoft Word, Excel, Office97 и AmiPro. В этихсистемах вирусы получают управление при открытии или закрытии зараженногофайла, перехватывают стандартные файловые функции и затем заражают файлы, ккоторым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать,что большинство макро-вирусов являются резидентными: они активны не только вмомент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

<span Times New Roman",«serif»">4.<span Times New Roman"">    <span Times New Roman",«serif»">Файловыевирусы

   К данной группе относятся вирусы, которые при своем размножении тем илииным способом используют файловую систему какой-либо (или каких-либо) ОС.

   Внедрение файлового вируса возможно практически во все исполняемые файлывсех популярных ОС. На сегодняшний день известны вирусы, поражающие все типывыполняемых объектов стандартной DOS: командные файлы (BAT), загружаемыедрайверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемыедвоичные файлы (EXE, COM).

   Существуют вирусы, поражающие исполняемые файлы других операционныхсистем — Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включая VxD-драйвераWindows 3.x и Windows95.

   Существуют вирусы, заражающие файлы, которые содержат исходные текстыпрограмм, библиотечные или объектные модули. Возможна запись вируса и в файлыданных, но это случается либо в результате ошибки вируса, либо при проявленииего агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных- документы или электронные таблицы, — однако эти вирусы настолько специфичны,что вынесены в отдельную группу.

    По способу заражения файлов вирусы делятся на «overwriting»,паразитические («parasitic»), компаньон-вирусы («companion»), «link»-вирусы,вирусы-черви и вирусы, заражающие объектные модули (OBJ), библиотекикомпиляторов (LIB) и исходные тексты программ.

4.1Overwriting

   Данный метод заражения является наиболее простым: вирус записывает свойкод вместо кода заражаемого файла, уничтожая его содержимое. Естественно, чтопри этом файл перестает работать и не восстанавливается. Такие вирусы оченьбыстро обнаруживают себя, так как операционная система и приложения довольнобыстро перестают работать.

4.2 Parasitic

   К паразитическим относятся все файловые вирусы, которые при распространениисвоих копий обязательно изменяют содержимое файлов, оставляя сими файлы приэтом полностью или частично работоспособными. Основными типами таких вирусовявляются вирусы, записывающиеся в начало файлов («prepending»), в конец файлов(«appending») и в середину файлов («inserting»). В свою очередь, внедрениевирусов в середину файлов происходит различными методами — путем переноса частифайла в его конец или копирования своего кода в заведомо неиспользуемые данныефайла («cavity»-вирусы).

4.3 Вирусы без точки входа

   Отдельно следует отметить довольно незначительную группу вирусов, неимеющих «точки входа» (EPO-вирусы — Entry Point Obscuring viruses). К нимотносятся вирусы, не записывающие команд передачи управления в заголовокCOM-файлов (JMP) и не изменяющие адрес точки старта в заголовке EXE-файлов.Такие вирусы записывают команду перехода на свой код в какое-либо место всередину файла и получают управление не непосредственно при запуске зараженногофайла, а при вызове процедуры, содержащей код передачи управления на теловируса. Причем выполняться эта процедура может крайне редко (например, привыводе сообщения о какой-либо специфической ошибке).

В результате вирус может долгие годы«спать» внутри файла и выскочить на свободу только при некоторых ограниченныхусловиях.

4.4 Компаньон – вирусы

   К категории «компаньон» относятся вирусы, не изменяющие заражаемыхфайлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файласоздается файл-двойник, причем при запуске зараженного файла управлениеполучает именно этот двойник, т.е. вирус.

   Наиболее распространены компаньон-вирусы, использующие особенность DOSпервым выполнять .COM-файл, если в одном каталоге присутствуют два файла содним и тем же именем, но различными расшинениями имени — .COM и .EXE. Такиевирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но срасширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирусзаписывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файлаDOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит иEXE-файл. Некоторые вирусы используют не только вариант COM-EXE, но также иBAT-COM-EXE.

   Возможно существование и других типов компаньон-вирусов, использующихиные оригинальные идеи или особенности других операционных систем.

4.5 Файловые черви

   Файловые черви (worms) являются, в некотором смысле, разновидностьюкомпаньон-вирусов, но при этом никоим образом не связывают свое присутствие скаким-либо выполняемым файлом. При размножении они всего лишь копируют свой кодв какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либозапущены пользователем. Иногда эти вирусы дают своим копиям «специальные»имена, чтобы подтолкнуть пользователя на запуск своей копии — например,INSTALL.EXE или WINSTART.BAT.

   Существуют вирусы-черви, использующие довольно необычные приемы,например, записывающие свои копии в архивы (ARJ, ZIP и прочие). К таким вирусамотносятся «ArjVirus» и «Winstart». Некоторые вирусы записывают команду запусказараженного файла в BAT-файлы (например, «Worm.Info»).

4.6  Link-вирусы

   Link-вирусы, как и компаньон-вирусы не изменяют физического содержимогофайлов, однако при запуске зараженного файла «заставляют» ОС выполнить свойкод. Этой цели они достигают модификацией необходимых полей файловой системы.

   На сегодняшний день известен единственный тип Link-вирусов — вирусысемейства «Dir_II». При заражении системы они записывают свое тело в последнийкластер логического диска. При заражении файла вирусы корректируют лишь номерпервого кластера файла, расположенный в соответствующем секторе каталога. Новыйначальный кластер файла будет указывать на кластер, содержащий тело вируса.Таким образом, при заражении файлов их длины и содержимое кластеров диска,содержащих эти файлы, не изменяется, а на все зараженные файлы на одномлогическом диске будет приходиться только одна копия вируса.

4.7  OBJ-, LIB-вирусы и вирусы в исходных текстах

   Вирусы, заражающие библиотеки компиляторов, объектные модули и исходныетексты программ, достаточно экзотичны и практически не распространены. Всего ихоколо десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код вформате объектного модуля или библиотеки. Зараженный файл, таким образом, неявляется выполняемым и неспособен на дальнейшее распространение вируса в своемтекущем состоянии. Носителем же «живого» вируса становится COM- или EXE-файл,получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектнымимодулями и библиотеками. Таким образом, вирус распространяется в два этапа: напервом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получаетсяработоспособный вирус.

<span Times New Roman",«serif»">5.<span Times New Roman"">    <span Times New Roman",«serif»">Резидентныевирусы

   Под термином «резидентность» (DOS'овский термин TSR — Terminate and Stay Resident) понимается способность вирусов оставлять своикопии в системной памяти, перехватывать некоторые события (например, обращенияк файлам или дискам) и вызывать при этом процедуры заражения обнаруженныхобъектов (файлов и секторов). Таким образом, резидентные вирусы активны нетолько в момент работы зараженной программы, но и после того, как программазакончила свою работу. Резидентные копии таких вирусов остаются жизнеспособнымивплоть до очередной перезагрузки, даже если на диске уничтожены все зараженныефайлы. Часто от таких вирусов невозможно избавиться восстановлением всех копийфайлов с дистрибутивных дисков или backup-копий. Резидентная копия вирусаостается активной и заражает вновь создаваемые файлы. То же верно и длязагрузочных вирусов — форматирование диска при наличии в памяти резидентноговируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражаетдиск повторно после того, как он отформатирован.

Нерезидентные вирусы, напротив,активны довольно непродолжительное время — только в момент запуска зараженнойпрограммы. Для своего распространения они ищут на диске незараженные файлы изаписываются в них. После того, как код вируса передает управление программе-носителю,влияние вируса на работу операционной системы сводится к нулю вплоть доочередного запуска какой-либо зараженной программы.

5.1<span Times New Roman"">                       DOS-вирусы

   DOS предусматривает два легальных способа создания резидентных модулей:драйверами, указываемыми в CONFIG.SYS, и при помощи функции KEEP (INT 21h,AH=31h или INT 27h). Многие файловые вирусы для маскировки своегораспространения используют другой способ — обработку системных областей,управляющих распределением памяти (MCB). Они выделяют для себя свободныйучасток памяти (включая UMB), помечают его как занятый и переписывают туда своюкопию.

5.2<span Times New Roman"">                        Загрузочныевирусы

   Подавляющее большинство резидентных загрузочных вирусов для выделениясистемной памяти для своей резидентной копии использует один и тот же прием:они уменьшают объем DOS-памяти (слово по адресу 0040:0013) и копируют свой кодв «отрезанный» блок памяти. Объем DOS-памяти обычно уменьшается наединицу (один килобайт) в случае коротких загрузочных вирусов, код которыхзанимает один сектор дискового пространства (512 байт). Вторая половинакилобайта используется такими вирусами как буфер чтения/записи при заражениидисков. Если же размер вируса больше одного килобайта или он используетнестандартные методы заражения, требующие большего объема буфера чтения/записи,объем памяти уменьшается на несколько килобайт (среди известных вирусовмаксимальное значение у вируса RDA.Fighter — 30K).

5.3<span Times New Roman"">                       Windows-вирусы

    Для того, чтобы оставить выполняемый код в памяти Windows, существуеттри способа, причем все три способа (за исключением Windows NT) уже применялисьразличными вирусами.

   Самый простой способ — зарегистрировать программу как одно изприложений, работающих в данный момент. Для этого программа регистрирует своюзадачу, окно которой может быть скрытым, регистрирует свой обработчик системныхсобытий и т.д. Второй способ — выделить блок системной памяти при помощиDPMI-вызовов и скопировать в него свой код (вирус h33r). Третий способ —остаться резидентно как VxD-драйвер (Wnidows 3.xx и Windows95) или как драйверWindows NT.

<span Times New Roman",«serif»">6. Стелс-вирусы

   Стелс-вирусы теми или иными способами скрывают факт своего присутствия всистеме. Известные стелс-вирусы всех типов, за исключением Windows-вирусов —загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы. Появлениестелс-вирусов, заражающих файлы Windows, является скорее всего делом времени.

6.1 Загрузочные вирусы

   Загрузочные стелс-вирусы для скрытия своего кода используют два основныхспособа. Первый из них заключается в том, что вирус перехватывает командычтения зараженного сектора (INT 13h) и подставляет вместо него незараженныйоригинал. Этот способ делает вирус невидимым для любой DOS-программы, включаяантивирусы, неспособные «лечить» оперативную память компьютера.Возможен перехват команд чтения секторов на уровне более низком, чем INT 13h.

Второй способ направлен противантивирусов, поддерживающих команды прямого чтения секторов через портыконтроллера диска. Такие вирусы при запуске любой программы (включая антивирус)восстанавливают зараженные сектора, а после окончания ее работы снова заражаютдиск. Поскольку для этого вирусу приходится перехватывать запуск и окончаниеработы программ, то он должен перехватывать также DOS-прерывание INT 21h.

С некоторыми оговоркамистелс-вирусами можно назвать вирусы, которые вносят минимальные изменения взаражаемый сектор (например, при заражении MBR правят только активный адресзагрузочного сектора — изменению подлежат только 3 байта), либо маскируются подкод стандартного загрузчика.

6.2 Файловые вирусы

   Большинство файловых стелс-вирусов использует те же приемы, чтоприведены выше: они либо перехватывают DOS-вызовы обращения к фа

еще рефераты
Еще работы по компьютерам и переферийным устройствам