Второй класс составляют вирусы, реализующие «пассивный» механизм поиска, т. е. вирусы, расставляющие «ловушки» для программных файлов. Как правило, файловые вирусы устраива­ют такие ловушки путем перехвата функции ExecОС, а макрови­русы — с помощью перехвата команд типа Saveasиз меню File.

3.Заражение жертвы. В простейшем случае заражение пред­ставляет собой самокопирование кода вируса в выбранный в ка­честве жертвы объект. Классификация вирусов на этом этапе связана с анализом особенностей этого копирования и способов модификации заражаемых объектов.

Особенности заражения файловыми вирусами. По способу ин­фицирования жертвы вирусы можно разделить на два класса.

К первому классу относятся вирусы, которые не внедряют свой код непосредственно в программный файл, а изменяют имя файла и создают новый, содержащий тело вируса.

Второй класс составляют вирусы, внедряющиеся непосредст­венно в файлы-жертвы. Они характеризуются местом внедрения. Возможны следующие варианты.

Внедрение в начало файла. Этот способ является наиболее удобным для СОМ-файлов MS-DOS, так как данный формат не предусматривает наличие служебных заголовков. При внедрении этим способом вирусы могут либо производить конкатенацию собственного кода и кода программы-жертвы, либо переписы­вать начальный фрагмент файла в конец, освобождая место для себя.

Внедрение в конец файла. Это — наиболее распространенный тип внедрения. Передача управления коду вирусов обеспечива­ется модификацией первых команд программы. (СОМ) или заго­ловка файла (ЕХЕ).

Внедрение в середину файла. Как правило, этот способ ис­пользуется вирусами применительно к файлам с заранее извест­ной структурой (например, к файлу COMMAND.COM) или же к файлам, содержащим последовательность байтов с одинаковыми значениями, длина которой достаточна для размещения вируса. Во втором случае вирусы архивируют найденную последователь­ность и замещают собственным кодом. Помимо этого вирусы могут внедряться в середину файла, освобождая себе место пу­тем переноса фрагментов кода программы в конец файла или же «раздвигая» файл.

Особенности заражения загрузочными вирусами определяются особенностями объектов, в которые они внедряются, — загру­зочными секторами гибких и жестких дисков и главной загру­зочной записью (MBR) жестких дисков. Основной проблемой является ограниченный размер этих объектов. В связи

---

с этим вирусам необходимо сохранить на диске ту свою часть, которая не уместилась на месте жертвы, а также перенести оригиналь­ный код инфицированного загрузчика. Существуют различные способы решения этой задачи. Ниже приводится классифика­ция, предложенная Е. Касперским [38, 85].

Используются псевдосбойные секторы. Вирус переносит необ­ходимый код в свободные секторы диска и помечает их как сбойные, защищая тем самым себя и загрузчик от перезаписи.

Используются редко применяемые секторы в конце раздела. Вирус переносит необходимый код в эти свободные секторы в конце диска. С точки зрения ОС эти секторы выглядят как сво­бодные.

Используются зарезервированные области разделов. Вирус пе­реносит необходимый код в области диска, зарезервированные под нужды ОС, а потому неиспользуемые.

Короткие вирусы могут уместиться в один сектор загрузчика и полностью взять на себя функции MBR или загрузочного сектора.

Особенности заражения макровирусами. Процесс заражения сводится к сохранению вирусного макрокода в выбранном доку­менте-жертве. Для некоторых систем обработки информации это сделать не просто, так как формат файлов документов может не предусматривать возможность сохранения макропрограмм. В качестве примера приведем Microsoft Word 6.0. Сохранение макро­кода для этой системы возможно только в файлах шаблонов (имеющих по умолчанию расширение .DOT). Поэтому для сво­его сохранения вирус должен контролировать обработку коман­ды Saveasиз меню File, которая вызывается всякий раз, когда происходит первое сохранение документа на диск. Этот кон­троль необходим, чтобы в момент сохранения изменить тип файла-документа (имеющего по умолчанию расширение .DOC) на тип файла-шаблона. В этом случае на диске окажутся и мак­рокод вируса, и содержимое документа.

Помимо простого копирования кода вируса в заражаемый объект на этом этапе могут использоваться более сложные алго­ритмы, обеспечивающие защиту вируса на стадии хранения. К числу таких вирусов относятся описанные выше полиморфные вирусы.

4. Выполнение деструктивных функций. Вирусы могут выпол­нять помимо самокопирования деструктивные функции.

По деструктивным возможностям вирусы можно разделить Hti безвредные, неопасные, опасные и очень опасные [85]. ,

Безвредные вирусы — это вирусы, в которых реализован толь­ко механизм самораспространения. Они не наносят вред систе­ме, за исключением расхода свободной памяти на диске в ре­зультате своего распространения.

---

Неопасные вирусы — это вирусы, присутствие которых в сис­теме связано с различными эффектами (звуковыми, видео) и уменьшением свободной памяти на диске, но которые не нано­сят вред программам и данным.

Опасные вирусы — это вирусы, которые могут привести к серьезным сбоям в работе компьютера. Последствием сбоя мо­жет стать разрушение программ и данных.

Очень опасные вирусы — это вирусы, в алгоритм работы кото­рых заведомо заложены процедуры, непосредственно приводя­щее к разрушениям программ и данных, а также к стиранию ин­формации, записанной в системных областях памяти и необхо­димой для работы компьютера.

На «степень опасности» вирусов оказывает существенное влияние та среда, под управлением которой вирусы работают.

Так, вирусы, созданные для работы в MS-DOS, обладают практически неограниченными потенциальными возможно­стями.

Распространение вирусов под управлением Windows NT/2000 ограничивается развитой системой разграничения доступа.

Возможности макровирусов напрямую определяются воз­можностями макроязыков, на которых они написаны. В частно­сти, язык Word Basic позволяет создать мощные макровирусы, способные доставить пользователям серьезные неприятности.

Дополняя эту классификацию, можно отметить также деле­ние вирусов на вирусы, наносящие вред системе вообще, и ви­русы, предназначенные для целенаправленных атак на опреде­ленные объекты.

5. Передача управления программе-носителю вируса. Здесь следует указать на деление вирусов на разрушающие и неразрушающие.

Разрушающие вирусы не заботятся о сохранении работоспо­собности инфицированных программ, поэтому для них этот этап функционирования отсутствует.

Для неразрушающих вирусов этот этап связан с восстановле­нием в памяти программы в том виде, в котором она должна корректно исполняться, и передачей управления программе-но­сителю вируса.

Вредоносные программы других типов

Кроме вирусов принято выделять еще несколько видов вре­доносных программ. Это троянские программы, логические бомбы, хакерские утилиты скрытого администрирования удален­ных компьютеров, программы, ворующие пароли доступа к ре­сурсам Интернет и прочую конфиденциальную информацию. • Четкого разделения между ними не существует: троянские про­граммы могут содержать вирусы, в вирусы могут быть встроены логические бомбы и т. д.

---

Троянские программы не размножаются и не рассылаются сами. Внешне они выглядят совершенно безобидно и даже пред­лагают полезные функции. Но когда пользователь загрузит та­кую программу в свой компьютер и запустит ее, она может неза­метно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.

Логической бомбой называется программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в БД появит­ся или исчезнет запись, и т. п. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.

15.1.3. Основные каналы распространения вирусов и других вредоносных программ

Для того чтобы создать эффективную систему антивирусной защиты компьютеров и корпоративных сетей, необходимо четко представлять себе, откуда грозит опасность. Вирусы находят са­мые разные каналы распространения, причем к старым спосо­бам постоянно добавляются новые.

Классические способы распространения

Файловые вирусы распространяются вместе с файлами про­грамм в результате обмена дискетами и программами, загрузки программ из сетевых каталогов, с Web- или ftp-серверов. Загру­зочные вирусы попадают на компьютер, когда пользователь забы­вает зараженную дискету в дисководе, а затем перезагружает ОС. Загрузочный вирус также может быть занесен на компьютер ви­русами других типов. Макрокомандные вирусы распространяются в результате обмена зараженными файлами офисных докумен­тов, такими как файлы Microsoft Word, Excel, Access.

Если зараженный компьютер подключен к локальной сети, вирус легко может оказаться на дисках файл-сервера, а оттуда через каталоги, доступные для записи, попасть на все остальные компьютеры сети. Так начинается вирусная эпидемия. Систем­ному администратору следует помнить, что вирус имеет в сети такие же права, что и пользователь, на компьютер которого этот вирус пробрался. Поэтому он может попасть во все сетевые ка­талоги, доступные пользователю. Если же вирус завелся на рабо­чей станции администратора сети, последствия могут быть очень тяжелыми.

---

Электронная почта

В настоящее время глобальная сеть Internet является основ­ным источником вирусов. Большое число заражений вирусами происходит при обмене письмами по электронной почте в форматах Microsoft Word. Электронная почта служит каналом рас­пространения макрокомандных вирусов, так как вместе с сооб­щениями часто отправляются офисные документы.

Заражения вирусами могут осуществляться как непреднаме­ренно, так и по злому умыслу. Например, пользователь заражен­ного макровирусом редактора, сам того не подозревая, может рассылать зараженные письма адресатам, которые в свою очередь отправляют новые зараженные письма и т. д. С другой стороны, злоумышленник может преднамеренно послать по электронной почте вместе с вложенным файлом исполняемый модуль вирус­ной или троянской программы, вредоносный программный сце­нарий Visual Basic Script, зараженную или троянскую программу сохранения экрана монитора, словом — любой опасный про­граммный код.

Распространители вирусов часто пользуются для маскировки тем фактом, что диалоговая оболочка Microsoft Windows no умолчанию не отображает расширения зарегистрированных фай­лов. Например, файл с именем FreeCreditCard.txt.exe, будет по­казан пользователю как FreeCreditCard.txt. Если пользователь попытается открыть такой файл, будет запущена вредоносная программа.

Сообщения электронной почты часто приходят в виде доку­ментов HTML, которые могут включать ссылки на элементы управления ActiveX, апплеты Java и другие активные компонен­ты. Из-за ошибок в почтовых клиентах злоумышленники могут воспользоваться такими активными компонентами для внедре­ния вирусов и троянских программ на компьютеры пользовате­лей. При получении сообщения в формате HTML почтовый клиент показывает его содержимое в своем окне. Если сообще­ние содержит вредоносные активные компоненты, они сразу же запускаются и выполняют заложенные в них функции. Чаще всего таким способом распространяются троянские программы и черви.

Троянские Web-сайты

Пользователи могут «получить» вирус или троянскую про­грамму во время простого серфинга сайтов Интернета, посетив троянский Web-сайт. Ошибки в браузерах пользователей зачастую приводят к тому, что активные компоненты троянских Web-сай­тов (элементы управления ActiveX или апплеты Java) внедряют на компьютеры пользователей вредоносные программы. Здесь ис­пользуется тот же самый механизм, что и при получении сообще­ний электронной почты в формате HTML. Но заражение происхо­дит незаметно: активные компоненты Web-страниц могут внешне никак себя не проявлять. Приглашение посетить троянский сайт пользователь может получить в обычном электронном письме.

---

Смотрите также файлы

• Коммерциялы емес ашы акционерлік оамы.docx

• Б Соглашение о деятельности государств на Луне, марсе и других небесных телах.docx

• Отчет по данной теме. Содержание задания.docx

• Практикум по методике преподавания русского языка как иностранного методические рекомендации и задания.pdf

• Психология и педагогика Психология.pptx