Компьютерные вирусы
сообщения о заражении компьютерных сетей и
домашних персональных компьютеров исчислялись сотнями, если не тысячами.
Начало эпидемии зарегистрировано на Тайване, где неизвестный хакер заслал
зараженные файлы в местные Интернет-конференции. Оттуда вирус пробрался в
США, где по недосмотру зараженными оказались сразу несколько популярных Web-
серверов - они распространяли зараженные вирусом игровые программы. Скорее
всего, именно эти зараженные файлы на игровых серверах и послужили причиной
повальной эпидемии вируса, не ослабевавшей в течении всего года. По
результатам рейтингов «популярности» вирус «подвинул» таких вирусных
суперзвезд, как «Word.CAP» и «Excel.Laroux». Следует обратить внимание
также на опасное проявление вируса: в зависимости от текущей даты вирус
стирал Flash BIOS, что в некоторых случаях могло привести к необходимости
замены материнской платы.
Август 1998: появление нашумевшего «BackOrifice» («Backdoor.BO») - утилиты
скрытого (хакерского) администрирования удаленных компьютеров и сетей.
Следом за «BackOrifice» появились несколько других аналогичных программ:
«NetBus», «Phase» и прочие.
Также в августе появился первый вирус, заражающий выполняемые модули Java -
«Java.StangeBrew». Данный вирус не представлял какой-либо опасности для
пользователей Интернет, поскольку на удаленном компьтере невозможно
использовать необходимые для размножения функции. Однако он
проиллюстрировал тот факт, что атакованы вирусами также могут быть и
приложения, активно используемые при просмотре Web-серверов.
Ноябрь 1998: «VBScript.Rabbit» - интернет-экспансия компьютерных паразитов
продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы),
которые активно применяются при написании Web-страниц. Как логическое
следствие VBScript-вирусов стало появление полноценного HTML-вируса
(«HTML.Internal»). Становится достаточно очевидным, что усилия
вирусописателей начинают концентрироваться вокруг сетевых приложений, и
дело идет к появлению полноценного сетевого вируса-червя, использующего
возможности MS Windows, Office и заражающего удаленные компьютеры, Web-
сервера и/или активно распростряняющегося по электронной почте.
Произошли также заметные перестановки в антивирусном мире. В мае 1998
компании Symantec и IBM объявили об объединении своих усилий на
антивирусном фронте: совместный продукт при этом распространяется фирмой
Symantec под той же маркой Norton Anti-Virus, а IBM Anti-Virus (IBMAV)
прекращает свое существование. На это моментально отреагировали основные
конкуренты: Dr.Solomon и NAI (ранее - McAfee) тут же выпустили пресс-релизы
с предложениями о льготном опдейте бывших пользователей IBMAV своими
собственными антивирусами.
Не прошло и месяца, как прекратил свое существование и сам Dr.Solomon. Он
был куплен компанией NAI (McAfee) за 640 миллионов долларов путем обмена
акций. Данное событие вызвало шок в антивирусном мире: конфликт между двумя
крупнейшими игроками антивирусного бизнеса закончился куплей/продажей, в
результате которой с рынка исчез один из наиболее заметных и технологически
сильных производителей антивирусного программного обеспеечения.
1999
Все на свете должно происходть медленно и
неправильно, чтобы не сумел загордиться человек,
чтобы человек был грустен и растерян.
(Венедикт Ерофеев. «Москва - Петушки»)
5.Классификация компьютерных вирусов
Вирусы можно разделить на классы по следующим основным признакам:
среда обитания;
операционная система (OC);
особенности алгоритма работы;
деструктивные возможности.
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:
файловые;
загрузочные;
макро;
сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые файлы
(наиболее распространенный тип вирусов), либо создают файлы-двойники
(компаньон-вирусы), либо используют особенности организации файловой
системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-
сектор), либо в сектор, содержащий системный загрузчик винчестера (Master
Boot Record), либо меняют указатель на активный boot-сектор.
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких
популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или команды
компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-загрузочные
вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие
вирусы, как правило, имеют довольно сложный алгоритм работы, часто
применяют оригинальные методы проникновения в систему, используют стелс и
полиморфик-технологии. Другой пример такого сочетания - сетевой макро-
вирус, который не только заражает редактируемые документы, но и рассылает
свои копии по электронной почте.
Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены
заражению) является вторым уровнем деления вирусов на классы. Каждый
файловый или сетевой вирус заражает файлы какой-либо одной или нескольких
OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы
форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на
конкретные форматы расположения системных данных в загрузочных секторах
дисков.
Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:
резидентность;
использование стелс-алгоритмов;
самошифрование и полиморфичность;
использование нестандартных приемов.
РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной
памяти свою резидентную часть, которая затем перехватывает обращения
операционной системы к объектам заражения и внедряется в них. Резидентные
вирусы находятся в памяти и являются активными вплоть до выключения
компьютера или перезагрузки операционной системы. Нерезидентные вирусы не
заражают память компьютера и сохраняют активность ограниченное время.
Некоторые вирусы оставляют в оперативной памяти небольшие резидентные
программы, которые не распространяют вирус. Такие вирусы считаются
нерезидентными.
Резидентными можно считать макро-вирусы, поскольку они постоянно
присутствуют в памяти компьютера на все время работы зараженного редактора.
При этом роль операционной системы берет на себя редактор, а понятие
«перезагрузка операционной системы» трактуется как выход из редактора.
В многозадачных операционных системах время «жизни» резидентного DOS-вируса
также может быть ограничено моментом закрытия зараженного DOS-окна, а
активность загрузочных вирусов в некоторых операционных системах
ограничивается моментом инсталляции дисковых драйверов OC.
Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично
скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является
перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при
этом либо временно лечат их, либо «подставляют» вместо себя незараженные
участки информации. В случае макро-вирусов наиболее популярный способ —
запрет вызовов меню просмотра макросов. Один из первых файловых стелс-
вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».
САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами
вирусов для того, чтобы максимально усложнить процедуру детектирования
вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые
вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного
участка кода. В большинстве случаев два образца одного и того же полиморфик-
вируса не будут иметь ни одного совпадения. Это достигается шифрованием
основного тела вируса и модификациями программы-расшифровщика.
Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы
как можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»),
защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»),
затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и
т.д.
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:
безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения
свободной памяти на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на
диске и графическими, звуковыми и пр. эффектами;
опасные вирусы, которые могут привести к серьезным сбоям в работе
компьютера;
очень опасные, в алгоритм работы которых заведомо заложены процедуры,
которые могут привести к потере программ, уничтожить данные, стереть
необходимую для работы компьютера информацию, записанную в системных
областях памяти, и даже, как гласит одна из непроверенных компьютерных
легенд, способствовать быстрому износу движущихся частей механизмов -
вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе,
этот вирус нельзя с полной уверенностью назвать безвредным, так как
проникновение его в компьютер может вызвать непредсказуемые и порой
катастрофические последствия. Ведь вирус, как и всякая программа, имеет
ошибки, в результате которых могут быть испорчены как файлы, так и сектора
дисков (например, вполне безобидный на первый взгляд вирус «DenZuk»
довольно корректно работает с 360K дискетами, но может уничтожить
информацию на дискетах большего объема). До сих пор попадаются вирусы,
определяющие «COM или EXE» не по внутреннему формату файла, а по его
расширению. Естественно, что при несовпадении формата и расширения имени
файл после заражения оказывается неработоспособным. Возможно также
«заклинивание» резидентного вируса и системы при ис
| |  скачать работу |
Компьютерные вирусы |
