Главная    Почта    Новости    Каталог    Одноклассники    Погода    Работа    Игры     Рефераты     Карты
  
по Казнету new!
по каталогу
в рефератах

Классификация компьютерных вирусов.

ная копия вируса остается активной и заражает вновь
создаваемые файлы. То же верно и для загрузочных вирусов — форматирование
диска при наличии в памяти резидентного вируса не всегда вылечивает диск,
поскольку многие резидентные вирусы заражает диск повторно после того, как
он отформатирован.
Нерезидентные вирусы, напротив, активны довольно непродолжительное время —
только в момент запуска зараженной программы. Для своего распространения
они ищут на диске незараженные файлы и записываются в них. После того, как
код вируса передает управление программе-носителю, влияние вируса на работу
операционной системы сводится к нулю вплоть до очередного запуска какой-
либо зараженной программы.

                                1  DOS-вирусы

    DOS предусматривает два легальных способа создания резидентных модулей:
драйверами, указываемыми в CONFIG.SYS, и при помощи функции KEEP (INT 21h,
AH=31h или INT 27h). Многие файловые вирусы для маскировки своего
распространения используют другой способ - обработку системных областей,
управляющих распределением памяти (MCB). Они выделяют для себя свободный
участок памяти (включая UMB), помечают его как занятый и переписывают туда
свою копию.

                           2   Загрузочные вирусы

    Подавляющее большинство резидентных загрузочных вирусов для выделения
системной памяти для своей резидентной копии использует один и тот же
прием: они уменьшают объем DOS-памяти (слово по адресу 0040:0013) и
копируют свой код в "отрезанный" блок памяти. Объем DOS-памяти обычно
уменьшается на единицу (один килобайт) в случае коротких загрузочных
вирусов, код которых занимает один сектор дискового пространства (512
байт). Вторая половина килобайта используется такими вирусами как буфер
чтения/записи при заражении дисков. Если же размер вируса больше одного
килобайта или он использует нестандартные методы заражения, требующие
большего объема буфера чтения/записи, объем памяти уменьшается на несколько
килобайт (среди известных вирусов максимальное значение у вируса
RDA.Fighter - 30K).

                              3  Windows-вирусы

     Для того, чтобы оставить выполняемый код в памяти Windows, существует
три способа, причем все три способа (за исключением Windows NT) уже
применялись различными вирусами.
    Самый простой способ - зарегистрировать программу как одно из
приложений, работающих в данный момент. Для этого программа регистрирует
свою задачу, окно которой может быть скрытым, регистрирует свой обработчик
системных событий и т.д. Второй способ - выделить блок системной памяти при
помощи DPMI-вызовов и скопировать в него свой код (вирус h33r). Третий
способ — остаться резидентно как VxD-драйвер (Wnidows 3.xx и Windows95) или
как драйвер Windows NT.



                               6. Стелс-вирусы

    Стелс-вирусы теми или иными способами скрывают факт своего присутствия
в системе. Известные стелс-вирусы всех типов, за исключением Windows-
вирусов — загрузочные вирусы, файловые DOS-вирусы и даже макро-вирусы.
Появление стелс-вирусов, заражающих файлы Windows, является скорее всего
делом времени.

                           6.1  Загрузочные вирусы

    Загрузочные стелс-вирусы для скрытия своего кода используют два
основных способа. Первый из них заключается в том, что вирус перехватывает
команды чтения зараженного сектора (INT 13h) и подставляет вместо него
незараженный оригинал. Этот способ делает вирус невидимым для любой DOS-
программы, включая антивирусы, неспособные "лечить" оперативную память
компьютера. Возможен перехват команд чтения секторов на уровне более
низком, чем INT 13h.
Второй способ направлен против антивирусов, поддерживающих команды прямого
чтения секторов через порты контроллера диска. Такие вирусы при запуске
любой программы (включая антивирус) восстанавливают зараженные сектора, а
после окончания ее работы снова заражают диск. Поскольку для этого вирусу
приходится перехватывать запуск и окончание работы программ, то он должен
перехватывать также DOS-прерывание INT 21h.
С некоторыми оговорками стелс-вирусами можно назвать вирусы, которые вносят
минимальные изменения в заражаемый сектор (например, при заражении MBR
правят только активный адрес загрузочного сектора - изменению подлежат
только 3 байта), либо маскируются под код стандартного загрузчика.

                             6.2 Файловые вирусы

    Большинство файловых стелс-вирусов использует те же приемы, что
приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT
21h) либо временно лечат файл при его открытии и заражают при закрытии.
Также как и для загрузочных вирусов, существуют файловые вирусы,
использующие для своих стелс-функций перехват прерываний более низкого
уровня - вызовы драйверов DOS, INT 25h и даже INT 13h.
    Полноценные файловые стелс-вирусы, использующие первый способ скрытия
своего кода, в большинстве своем достаточно громоздки, поскольку им
приходиться перехватывать большое количество DOS-функций работы с файлами:
открытие/закрытие, чтение/запись, поиск, запуск, переименование и т.д.,
причем необходимо поддерживать оба варианта некоторых вызовов (FCB/ASCII),
а после появления Windows95/NT им стало необходимо также обрабатывать
третий вариант - функции работы с длинными именами файлов.
Некоторые вирусы используют часть функций полноценного стелс-вируса. Чаще
всего они перехватывают функции DOS FindFirst и FindNext (INT 21h, AH=11h,
12h, 4Eh, 4Fh) и "уменьшают" размер зараженных файлов. Такой вирус
невозможно определить по изменению размеров файлов, если, конечно, он
резидентно находится в памяти. Программы, которые не используют указанные
функции DOS (например, "Нортоновские утилиты"), а напрямую используют
содержимое секторов, хранящих каталог, показывают правильную длину
зараженных файлов.

                              6.3 Макро-вирусы

    Реализация стелс-алгоритмов в макро-вирусах является, наверное,
наиболее простой задачей - достаточно всего лишь запретить вызов меню
File/Templates или Tools/Macro. Достигается это либо удалением этих пунктов
меню из списка, либо их подменой на макросы FileTemplates и ToolsMacro.
Частично стелс-вирусами можно назвать небольшую группу макро-вирусов,
которые хранят свой основной код не в самом макросе, а в других областях
документа - в его переменных или в Auto-text.



                            7. Полиморфик-вирусы

    К полиморфик-вирусам относятся те из них, детектирование которых
невозможно (или крайне затруднительно) осуществить при помощи так
называемых вирусных масок - участков постоянного кода, специфичных для
конкретного вируса. Достигается это двумя основными способами - шифрованием
основного кода вируса с непостоянным ключом и случайным набором команд
расшифровщика или изменением самого выполняемого кода вируса. Существуют
также другие, достаточно экзотические примеры полиморфизма - DOS-вирус
"Bomber", например, не зашифрован, однако последовательность команд,
которая передает управление коду вируса, является полностью полиморфной.
    Полиморфизм различной степени сложности встречается в вирусах всех
типов - от загрузочных и файловых DOS-вирусов до Windows-вирусов и даже
макро-вирусов.

                        7.1 Полиморфные расшифровщики

    Простейшим примером частично полиморфного расшифровщика является
следующий набор команд, в результате применения которого ни один байт кода
самого вируса и его расшифровщика не является постоянным при заражении
различных файлов:

      MOV  reg_1, count          ;
          reg_1, reg_2, reg_3 выбираются из
       MOV  reg_2, key          ;
             AX,BX,CX,DX,SI,DI,BP
       MOV  reg_3, _offset      ;
             count, key, _offset также могут меняться
_LOOP:
       xxx     byte ptr [reg_3], reg_2  ;
                  xor, add или sub
       DEC     reg_1
       Jxx     _loop;      ja или jnc;
 дальше следуют зашифрованные код и данные вируса
    Более сложные полиморфик-вирусы используют значительно более сложные
алгоритмы для генерации кода своих расшифровщиков: приведенные выше
инструкции (или их эквиваленты) переставляются местами от заражения к
заражению, разбавляются ничего не меняющими командами типа NOP, STI, CLI,
STC, CLC, DEC неиспользуемый регистр, XCHG неиспользуемые регистры и т.д.
    Полноценные же полиморфик-вирусы используют еще более сложные
алгоритмы, в результате работы которых в расшифровщике вируса могут
встретиться операции SUB, ADD, XOR, ROR, ROL и другие в произвольном
количестве и порядке. Загрузка и изменение ключей и других параметров
шифровки производится также произвольным набором операций, в котором могут
встретиться практически все инструкции процессора Intel (ADD, SUB, TEST,
XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP ...) со всеми возможными
режимами адресации.



                                8. IRC-черви

    IRC (Internet Relay Chat) — это специальный протокол, разработанный для
коммуникации пользователей Интернет в реальном времени. Этот протокол
предоставлят возможность Итрернет-"разговора" при помощи специально
разработанного программного обеспечения. Существует довольно большое
количество IRC-команд, при помощи которых пользователь может получить
информацию о других пользователях и каналах, изменять некоторые установки
IRC-клиента и прочее. Сущетсвует также возможность передавать и принимать
файлы - именно на этой возможности и базируются IRC-черви.

                              8.1  IRC-клиенты

    На компьютерах с MS Windows самыми распространенными клиентами являются
mIRC и PIRCH. Это не очень объемные, но довольно сложные программные
продукты, которые кроме предоставления основных услуг IRC (подключение к
серверам и каналам) имеют еще и массу дополнительных возможностей.К таким
возможностям относятся, например, сценарии работы (скрипты) и за
12345След.
скачать работу

Классификация компьютерных вирусов.

 

Отправка СМС бесплатно

На правах рекламы


ZERO.kz
 
Модератор сайта RESURS.KZ