Компьютерные вирусы
sp; рис. 3
Отработав, вирус
передает управление
своему коду в конце
программы.
Восстанавливается
первоначальный вид
программы – тело
программы сдвигается
к адресу 0100h
После восстановления
вирус запускает
программу
рис. 4
EXE – вирусы
EXE – вирусы условно можно разделить на группы, используя в качестве
признака для деления особенности алгоритма.
Вирусы, замещающие программный код (Overwrite).
Такие вирусы уже стали раритетом. Их главный недостаток – слишком
грубая работа. Инфицированные программы не исполняются, так как вирус
записывается поверх программного кода, не сохраняя его. При запуске вирус
ищет очередную жертву (или жертвы), открывает найденный файл для
редактирования и записывает свое тело в начало программы, не сохраняя
оригинальный код. Инфицированные этими вирусами программы лечению не
подлежат.
Вирусы – спутники (Companion).
Эти вирусы получили свое название из-за алгоритма размножения: к
каждому инфицированному файлу создается файл – спутник. Рассмотрим более
подробно два типа вируса этой группы:
Вирусы первого типа размножаются следующим образом. Для каждого
инфицируемого EXE – файла в том же каталоге создается файл с вирусным
кодом, имеющим такое же имя, что и EXE – файл, но с расширением СОМ. Вирус
активизируется, если при запуске программы в командной строке указано
только имя исполняемого файла. Дело в том, что, если не указано расширение
файла, DOS сначала ищет в текущем каталоге файл с заданным именем и
расширением СОМ. Если СОМ – файл с таким именем не найден, ведется поиск
одноименного ЕХЕ – файла. Если не найден и ЕХЕ – файл, DOS попробует
обнаружить и ВАТ (пакетный) файл. В случае отсутствия в текущем каталоге
исполняемого файла с указанным именем поиск ведется во всех каталогах,
доступных по переменной РАТН. Другими словами, когда пользователь хочет
запустить программу и набирает в командной строке только ее имя (в основном
так все и делают ), первым управление получает вирус, код которого
находится в СОМ – файле. Он создает СОМ – файл еще к одному или нескольким
ЕХЕ – файлам (распространяется), а затем исполняет ЕХЕ – файл с указанным в
командной строке именем. Пользователь же думает, что работает только
запущенная ЕХЕ – программа. Вирус – спутник обезвредить довольно просто –
достаточно удалить СОМ – файл.
Вирусы второго типа действуют более тонко. Имя инфицируемого ЕХЕ –
файла остается прежним, а расширение заменяется каким – либо другим,
отличным от исполняемого (СОМ, ЕХЕ и ВАТ). Например файл может пллучить
расширение DAT (файл данных) или OVL (программный оверлей). Затем на место
ЕХЕ – файла копируется вирусный код. При запуске такой инфицированной
программы управление получает вирусный код, находящийся в ЕХЕ – файле.
Инфицировав еще один или несколько ЕХЕ – файлов таким же образом, вирус
возвращает оригинальному файлу исполняемое расширение (но не ЕХЕ, а СОМ,<
| | скачать работу |
Компьютерные вирусы |