Компьютерные вирусы

sp;                 рис. 3

                                                       Отработав,      вирус

                                                       передает   управление

                                                       своему коду  в  конце

                                                       программы.

                                                       Восстанавливается

                                                       первоначальный    вид

                                                       программы   –    тело

                                                       программы  сдвигается

                                                       к адресу 0100h

                                                       После  восстановления

                                                       вирус       запускает

                                                       программу

                                                       рис. 4

                                EXE – вирусы

    EXE – вирусы условно можно разделить на группы,  используя  в  качестве

признака для деления особенности алгоритма.

               Вирусы, замещающие программный код (Overwrite).

    Такие вирусы уже стали  раритетом.  Их  главный  недостаток  –  слишком

грубая работа.  Инфицированные  программы  не  исполняются,  так  как  вирус

записывается поверх программного кода, не сохраняя его.  При  запуске  вирус

ищет  очередную  жертву  (или  жертвы),   открывает   найденный   файл   для

редактирования и записывает  свое  тело  в  начало  программы,  не  сохраняя

оригинальный  код.  Инфицированные  этими  вирусами  программы  лечению   не

подлежат.

                       Вирусы – спутники (Companion).

    Эти вирусы  получили  свое  название  из-за  алгоритма  размножения:  к

каждому инфицированному файлу создается файл  –  спутник.  Рассмотрим  более

подробно два типа вируса этой группы:

    Вирусы  первого  типа  размножаются  следующим  образом.  Для   каждого

инфицируемого EXE – файла в  том  же  каталоге  создается  файл  с  вирусным

кодом, имеющим такое же имя, что и EXE – файл, но с расширением  СОМ.  Вирус

активизируется, если  при  запуске  программы  в  командной  строке  указано

только имя исполняемого файла. Дело в том, что, если не  указано  расширение

файла, DOS сначала  ищет  в  текущем  каталоге  файл  с  заданным  именем  и

расширением СОМ. Если СОМ – файл с таким именем  не  найден,  ведется  поиск

одноименного ЕХЕ – файла. Если  не  найден  и  ЕХЕ  –  файл,  DOS  попробует

обнаружить и ВАТ (пакетный) файл. В случае  отсутствия  в  текущем  каталоге

исполняемого файла с указанным  именем  поиск  ведется  во  всех  каталогах,

доступных по переменной РАТН.  Другими  словами,  когда  пользователь  хочет

запустить программу и набирает в командной строке только ее имя (в  основном

так  все  и  делают  ),  первым  управление  получает  вирус,  код  которого

находится в СОМ – файле. Он создает СОМ – файл еще к одному  или  нескольким

ЕХЕ – файлам (распространяется), а затем исполняет ЕХЕ – файл с указанным  в

командной  строке  именем.  Пользователь  же  думает,  что  работает  только

запущенная ЕХЕ – программа. Вирус – спутник обезвредить  довольно  просто  –

достаточно удалить СОМ – файл.

    Вирусы второго типа действуют более  тонко.  Имя  инфицируемого  ЕХЕ  –

файла остается  прежним,  а  расширение  заменяется  каким  –  либо  другим,

отличным от исполняемого (СОМ, ЕХЕ и  ВАТ).  Например  файл  может  пллучить

расширение DAT (файл данных) или OVL (программный оверлей). Затем  на  место

ЕХЕ – файла  копируется  вирусный  код.  При  запуске  такой  инфицированной

программы управление получает вирусный код,  находящийся   в  ЕХЕ  –  файле.

Инфицировав еще один или несколько ЕХЕ –  файлов  таким  же  образом,  вирус

возвращает оригинальному файлу исполняемое расширение (но  не  ЕХЕ,  а  СОМ,<

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно