Класифікація комп'ютерних вірусів

ІНСТИТУТ УПРАВЛІННЯ І ЭКОНОМИКИ.

(САНКТ-ПЕТЕРБУРГ).

МУРМАНСЬКИЙ ФИЛИАЛ.

ЗАОЧНЕ ОТДЕЛЕНИЕ.

СПЕЦІАЛЬНІСТЬ «ДЕРЖАВНЕ І МУНІЦИПАЛЬНЕ УПРАВЛЕНИЕ».

1 КОНТРОЛЬНА РАБОТА.

з дисципліни: Інформатика на задану тему: Класифікація комп’ютерних вирусов.

ВЫПОЛНИЛ:

Студент Митичев Руслан Сергеевич.

Група Р 2;

Курс 1.

№ залікової книжки 6 375 дом. телефон 43−75−11.

ПРОВЕРИЛ:

Преподаватель.

4 Мурманск.

Запровадження … 1 стр.

Класифікація комп’ютерних вірусів … 2−5 стр.

Завантажувальні віруси … 6−7 стр.

Макро-вирусы … 8 стр.

Файлові віруси … 9−12 стр.

1 Overwriting… 9 стр.

2 Parasitic … 10 стр.

3 Віруси без точки входу … 10 стр.

4 Компаньйон — віруси … 10 стр.

5 Файлові хробаки … 11 стр.

6 Link-вирусы … 11 стр.

7 OBJ-, LIB-вирусы і віруси у вихідних текстах … 12 стр.

Резидентные віруси …13−14 стр.

1 DOS-вирусы … 13 стр.

2 Завантажувальні віруси … 14 стр.

3 Windows-вирусы … 14 стр.

Стелс-вирусы … 15−16 стр.

1 Завантажувальні віруси … 15 стр.

2 Файлові віруси … 15 стр.

3 Макро-вирусы … 16 стр.

Полиморфик-вирусы … 17−18 стр.

1 Полиморфные расшифровщики … 17 стр.

IRC-черви … 19−21 стр.

1 IRC-клиенты … 19 стр.

2 Скрипт-черви … 19 стр.

3 mIRC. Acoragil і mIRC. Simpsalapim … 21 стр.

4 Win95. Fono … 21 стр.

Мережні віруси … 22−23 стр.

Інші «шкідливі програми » … 24−26 стр.

10.1 Троянські коні (логічні бомби) … 24 стр.

10.2 Утиліти прихованого адміністрування (backdoor) … 24 стр.

10.3 Intended-вирусы … 25 стр.

10.4 Конструктори вірусів … 25 стр.

10.5 Полиморфные генератори … 26 стр.

Укладання … 27 стр.

Список літератури … 28 стр.

1. Ю. А. Шафрин Інформаційні технології. — М.: Лабораторія базових знаний,.

1999 В. В. Хитала, М. М. Хитала Основи інформатики. — Мурманск:

Видавництво МДТУ, 1998. 2. Романец Ю. В., Тимофєєв П.О., Шаньгин В. Ф. Захист інформацією комп’ютерних системах і мережах. — М.: Радіо і зв’язок, 1999. 3. С.В. Симоновичів, Г. А. Євсєєв Практична інформатика. — М.: АСТ-Пресс:

Инфорком-Пресс, 1998. 4. Ю.І. Рыжиков Інформатика. — СПб.: Корона принт, 2000. 5. Н. В. Макарова, Л.А. Матвєєв, В. Л. Бройдо Інформатика: Підручник для економічних спеціальностей вузів. — М.: Фінанси і статистика, 1999.

2 Введение.

Комп’ютерні віруси. Що це таке вже й як із цим боротися? Вже написані десятки книжок і сотні статей, боротьбу з комп’ютерними вірусами професійно займаються сотні (чи тисячі) фахівців у десятках (а то, можливо, сотнях) компаній. Здається, тема ця так складна й актуальна, щоб бути об'єктом такого пильної уваги. Але це не так. Комп’ютерні віруси були й залишаються однією з найбільш поширених причин втрати інформації. Відомі ситуації, коли віруси блокували роботу організацій та підприємств. Понад те, кілька років тому був зафіксовано випадок, коли комп’ютерний вірус призвів до загибелі людини — у одному з госпіталів Нідерландів пацієнт отримав летальную дозу морфію у тій причини, що був заражений вірусом і видавав зрадливу информацию.

Попри величезних зусиль які конкурують між собою антивірусних фірм, збитки, принесені комп’ютерними вірусами, не падають і досягають астрономічних величин на сотні мільйонів щорічно. Ці оцінки явно занижені, оскільки відомо стає лише частину подібних инцидентов.

У цьому слід пам’ятати, що антивірусні програми розвитку й «залізо» не дають повної гарантії захисту від вірусів. Приблизно так само само кепсько справи з другого боку тандема «людина-комп'ютер». Як користувачі, і профессионалы-программисты часто вже не мають навіть навичок «самооборони», які ставлення до вірус часом є настільки поверхневими, краще та їхні (уявлень) і было.

Класифікація комп’ютерних вирусов.

Віруси можна розділити на класи за такими основним ознаками: .

1. середовище проживання; 1. операційна система (OC); 2. особливості алгоритму роботи; 3. деструктивні можливості. По СЕРЕДОВИЩІ ОБИТАНИЯ віруси можна розділити на:

1. файловые;

2. загрузочные;

3. макро;

4. сетевые.

Файлові віруси або у різний спосіб впроваджуються у що їх файли (найпоширеніший тип вірусів), або створюють файлы-двойники (компаньон-вирусы), або використовують особливості організації файлової системи (link-вирусы).

Завантажувальні віруси записують себе або у завантажувальний сектор диска (boot-сектор), або у сектор, у якому системний завантажник вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор.

Макро-вирусы заражають файлы-документы і електронні таблиці кількох популярних редакторов.

Мережні віруси використовують із свого поширення протоколи чи команди комп’ютерних мереж, і електронної почты.

Існує велика кількість поєднань — наприклад, файловозавантажувальні віруси, заражающие як файли, і завантажувальні сектора дисків. Такі віруси, зазвичай, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення систему, використовують стелс і полиморфик-технологии. Інший приклад такої поєднання — мережевий макровірус, який би заражає редаговані документи, а й розсилає свої копії електронній почте.

Заражаемая ОПЕРАЦІЙНА СИСТЕМА (вірніше, ОС, об'єкти якої піддаються зараженню) є другим рівнем розподілу вірусів на класи. Кожен файловий або сітьової вірус заражає файли якоюсь однією чи навіть кількох OS — DOS, Windows, Win95/NT, OS/2 тощо. Макро-вирусы заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані конкретні формати розташування системних даних в завантажувальних секторах дисков.

Серед ОСОБЛИВОСТЕЙ АЛГОРИТМУ РОБОТИ вірусів вирізняються такі пункты:

1. резидентность;

2. використання стелс-алгоритмов;

3. самошифрование і полиморфичность;

4. використання нестандартних приемов.

РЕЗИДЕНТНЫЙ вірус при інфікуванні комп’ютера залишає оперативному пам’яті свою резидентную частина, які потім перехоплює звернення ОС до об'єктів зараження і впроваджується у них. Резидентные віруси перебувають у пам’яті і є активними до вимикання комп’ютера чи перезавантаження ОС. Нерезидентные віруси не заражають пам’ять комп’ютера та зберігають активність обмежений час. Деякі віруси залишають оперативному пам’яті невеликі резидентные програми, які поширюють вірус. Такі віруси вважаються нерезидентными.

Резидентными вважатимуться макро-вирусы, оскільки вони постійно є у пам’яті комп’ютера попри всі час зараженого редактора. У цьому роль ОС перебирає редактор, а поняття «перезавантаження ОС» сприймається як вихід із редактора.

У багатозадачних операційні системи час «життя» резидентного DOSвірусу також може бути обмежена моментом закриття зараженого DOS-окна, а активність завантажувальних вірусів у деяких операційні системи обмежується моментом інсталяції дискових драйверів OC.

Використання стелс-алгоритмов дозволяє вірусам в цілому або частково приховати себе у системі. Найпоширенішим стелс-алгоритмов є перехоплення запитів OC на чтение/запись заражених об'єктів. Стелс-вирусы при цьому або тимчасово лікують їх, або «підставляють» замість себе незаражені ділянки інформації. Що стосується макро-вирусов найпопулярніший спосіб — заборона викликів меню перегляду макросів. Одне з перших файлових стелсвірусів — вірус «Frodo», перший завантажувальний стелс-вирус — «Brain».

САМОШИФРОВАНИЕ і ПОЛИМОРФИЧНОСТЬ використовуються практично всі типами вірусів у тому, щоб максимально ускладнити процедуру детектування вірусу. Полиморфик-вирусы (polymorphic) — це дуже труднообнаружимые віруси, які мають сигнатур, тобто. які містять жодного постійного ділянки коду. Найчастіше два зразка однієї й тієї ж полиморфиквірусу ні мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями программы-расшифровщика.

Різні НЕСТАНДАРТНІ ПРИЙОМИ часто використовують у віруси у тому, щоб якнайглибше сховати себе у ядрі OC (як це робить вірус «3APA3A»), захистити від виявлення свою резидентную копію (віруси «TPVO», «Trout2»), утруднити лікування від вірусу (наприклад, помістивши свою копію в Flash-BIOS) тощо. По ДЕСТРУКТИВНИМ МОЖЛИВОСТЯМ віруси можна розділити на: 1. нешкідливі, тобто. неможливо що впливають роботу комп’ютера (крім зменшення вільної пам’яті на диску внаслідок свого распространения);

2. безпечні, вплив яких обмежується зменшенням вільної пам’яті на диску і графічними, звуковими тощо. ефектами; 3. небезпечні віруси, які можуть призвести до серйозних збоїв у роботі комп’ютера; 4. дуже небезпечні, в алгоритм чиїх робіт явно закладено процедури, які можуть призвести до втрати програм, знищити дані, стерти необхідну роботи комп’ютера інформацію, записану в системних областях пам’яті, і навіть, як стверджує одне з неперевірених комп’ютерних легенд, сприяти швидкому зносу рухомих частин механізмів — вводити в резонанс і руйнувати голівки деяких типів винчестеров.

Але якщо в алгоритмі вірусу не знайдено гілок, завдають шкоди системі, цей вірус не можна з упевненістю назвати нешкідливим, так як проникнення їх у комп’ютер може викликати непередбачені та часом катастрофічні наслідки. Адже вірус, як і будь-яка програма, має помилки, у яких може бути зіпсовані як файли, і сектора дисків (наприклад, цілком необразливий здавалося б вірус «DenZuk» досить коректно працює із 360K дискетами, а може знищити інформацію на дискетах більшого обсягу). До цього часу трапляються віруси, що визначають «COM чи EXE» за внутрішньому формату файла, а, по його розширенню. Природно, що з розбіжності формату і імені файл після зараження виявляється непрацездатним. Можливе також «заклинювання» резидентного вірусу і системи під час використання нових версій DOS, під час роботи в Windows чи коїться з іншими потужними програмними системами. І так далее. Конец формы.

2. Завантажувальні вирусы.

Завантажувальні віруси заражають завантажувальний (boot) сектор флоппи-диска і boot-сектор чи Master Boot Record (MBR) вінчестера. Принцип дії завантажувальних вірусів грунтується на алгоритми запуску ОС при включенні чи перезавантаженні комп’ютера — після необхідних тестів встановленого обладнання (пам'яті, дисків тощо.) програма системної завантаження зчитує перший фізичний сектор завантажувального диска (A, З: чи CD-ROM залежно від параметрів, встановлених в BIOS Setup) і передає нею управление.

Що стосується дискети чи компакт-диска управління отримує boot-сектор, який аналізує таблицю параметрів диска (BPB — BIOS Parameter Block) вираховує адреси системних файлів ОС, зчитує в пам’ять і запускає на выполнение.

При зараження дисків завантажувальні віруси «підставляють» свій код замість будь-якої програми, отримує управління за мінімального завантаження системи. Принцип зараження, в такий спосіб, однаковий переважають у всіх описаних вище засобах: вірус «змушує «систему у її перезапуске рахувати, у пам’ять і віддати управління не оригінальному коду завантажника, а коду вируса.

Зараження дискет виробляється єдиним відомим способом — вірус записує свій код замість оригінального коду boot-сектора дискети. Вінчестер заражається трьома можливими способами — вірус записується або замість коду MBR, або замість коду boot-сектора завантажувального диска (зазвичай диска З:), або модифікує адресу активного boot-сектора в Disk Partition Table, що у MBR винчестера.

При інфікуванні диска вірус здебільшого переносить оригінальний boot-сектор (чи MBR) у будь-якій іншій сектор диска (наприклад, у вільний). Якщо довжина вірусу більше довжини сектора, то в заражаемый сектор поміщається перша частина вірусу, в інших частинах розміщуються за іншими секторах (наприклад, у перших свободных).

Є кілька варіантів розміщення на диску початкового завантажувального сектори й продовження вірусу: в сектора вільних кластерів логічного диска, в невикористовувані чи рідко використовувані системні сектора, в сектора, розташовані поза диска.

Якщо продовження вірусу розміщається в секторах, які належать вільним кластерам диска (у пошуку цих секторів вірусу доводиться аналізувати таблицю розміщення файлів — FAT), те, як правило, вірус позначає в FAT ці кластери як збійні (звані псевдосбойные кластери). Такий спосіб використовується вірусами «Brain», «Ping-Pong» і деякими другими.

У віруси сімейства «Stoned» задіяний інший метод. Ці віруси розміщують початковий завантажувальний сектор в неиспользуемом чи рідко використовуваному секторі — у одному з секторів вінчестера (коли такі є), розташованих між MBR й першим boot-сектором, але в дискеті такий сектор вибирається з усіх секторів кореневого каталога.

Звісно, є й інші методи розміщення вірусу на диску, наприклад, віруси сімейства «Azusa» перебувають у своє тіло стандартний завантажник MBR і за зараження записуються поверх оригінального MBR без його сохранения.

Користувачам нових операційними системами (Novell, Win95, OS/2) завантажувальні віруси також можуть принести неприємності. Попри те що, що перелічені вище системи працюють із дисками безпосередньо (минаючи виклики BIOS), що блокує вірус і унеможливлює подальше його поширення, код вірусу все-таки, хоч і дуже рідко, отримує управління при перезавантаженні системи. Тому вірус «March 6», наприклад, може роками «жити» в MBR серверу та неможливо впливати у своїй з його (серверу) роботи й продуктивність. Проте за випадкової перезавантаженні 6-го березня цей вірус повністю знищить всі дані на диске.

Макро-вирусы.

Макро-вирусы (macro viruses) є програмами мовами (макромовами), вмонтованих у деякі системи обробки даних (текстові редактори, електронні таблиці тощо.). Для свого розмноження такі віруси використовують можливості макро-языков та їх допомоги переносять себе з одного зараженого файла (документа чи таблиці) до інших. Найбільше торгівлі поширення набули макро-вирусы для Microsoft Word, Excel і Office97. Є також макро-вирусы, заражающие документи Ami Pro та фінансової бази даних Microsoft Access.

Для існування вірусів у конкретної системі (редакторі) необхідно наявність вмонтованого до системи макро-языка з возможностями:

1. прив’язки програми на макро-языке до конкретного файлу;

2. копіювання макро-программ вже з файла в другой;

3. можливість отримання управління макро-программой до втручання державних користувача (автоматичні чи стандартні макросы).

Згаданою умовам задовольняють редактори Microsoft Word, Office97 і AmiPro, і навіть електронна таблиця Excel й базу даних Microsoft Access. Ці системи містять макро-языки: Word — Word Basic, Excel, Office97 (включаючи Word97, Excel97 і Access) — Visual Basic for Applications.

Сьогодні відомі чотири системи, котрим існують віруси — Microsoft Word, Excel, Office97 і AmiPro. У цих системах віруси отримують управління під час відкриття чи закритті зараженого файла, перехоплюють стандартні файлові функції і далі заражають файли, до яким якимось чином йде звернення. За аналогією з MS-DOS можна сказати, більшість макро-вирусов є резидентными: вони активні у момент открытия/закрытия файла, але до того часу, поки активний сам редактор.

Файлові вирусы.

До цій групі ставляться віруси, які за своєму розмноженні що тим чи іншим чином використовують файлову систему будь-якої (чи якихось) ОС.

Впровадження файлового вірусу можливо практично в усі виконувані файли всіх популярних ОС. Сьогодні відомі віруси, вражаючі всі типи виконуваних об'єктів стандартної DOS: командні файли (BAT), загружаемые драйвери (SYS, зокрема спеціальні файли IO. SYS і MSDOS. SYS) і що їх двоичные файли (EXE, COM).

Існують віруси, вражаючі виконувані файли інших операційних систем — Windows 3. x, Windows95/NT, OS/2, Macintosh, UNIX, включаючи VxDдрайвера Windows 3. x і Windows95.

Існують віруси, заражающие файли, які містять вихідні тексти програм, бібліотечні чи об'єктні модулі. Можлива запис вірусу й у файли даних, але ці може бути або у результаті помилки вірусу, або за прояві його агресивних властивостей. Макро-вирусы також записують свій код в файли даних — документи чи електронні таблиці, — проте ці віруси настільки специфічні, що винесені на окрему группу.

По способу зараження файлів віруси діляться на «overwriting», паразитичні («parasitic»), компаньон-вирусы («companion»), «link" — віруси, вирусы-черви і віруси, заражающие об'єктні модулі (OBJ), бібліотеки компіляторів (LIB) і вихідні тексти программ.

4.1Overwriting.

Він зараження є найпростішим: вірус записує свій код замість коду заражаемого файла, знищуючи його вміст. Природно, що заодно файл перестає працюватимете, і не відновлюється. Такі віруси нас дуже швидко виявляють себе, оскільки операційна система і мережеві додатки досить швидко перестають работать.

4.2 Parasitic.

До паразитичним можна адресувати файлові віруси, які за поширенні своїх копій обов’язково змінюють вміст файлів, залишаючи цими файли у своїй в цілому або частково працездатними. Основними типами таких вірусів є віруси, які записуються на початок файлів («prepending»), насамкінець файлів («appending») й у середину файлів («inserting»). Натомість, впровадження вірусів у середину файлів відбувається різними методами — шляхом перенесення частини файла у його кінець чи копіювання свого коду у вочевидь невикористовувані дані файла («cavity" — вирусы).

4.3 Віруси без точки входа.

Окремо слід відзначити досить незначну групу вірусів, не мають «точки входу» (EPO-вирусы — Entry Point Obscuring viruses). До них ставляться віруси, не записуючі команд передачі управління у заголовок COM-файлов (JMP) і які змінюють адресу точки старту в заголовку EXE-файлов. Такі віруси записують команду переходу на код в якесь місце у середину файла й отримують управління не безпосередньо під час запуску зараженого файла, а при виклик процедури, що містить код передачі управління на тіло вірусу. Причому виконуватися цю процедуру може вкрай рідко (наприклад, при виведення повідомлення якесь специфічної помилці). Через війну вірус може довгі роки «спати» всередині файла і вискочити на свободу лише за деяких обмежених условиях.

4.4 Компаньйон — вирусы.

До категорії «компаньйон» ставляться віруси, не які змінюють заражаемых файлів. Алгоритм роботи цих вірусів у тому, що з заражаемого файла створюється файл-двойник, причому під час запуску зараженого файла управління отримує саме такий двійник, тобто. вирус.

Найпоширеніші компаньон-вирусы, використовують особливість DOS першим виконувати .COM-файл, тоді як одному каталозі присутні два файла з у тому ж ім'ям, але різними расшинениями імені - .COM і .EXE. Такі віруси створюють для EXE-файлов файлы-спутники, мають той самий ім'я, але з розширенням .COM, наприклад, для файла XCOPY. EXE створюється файл XCOPY.COM. Вірус записується в COM-файл і не змінює EXE-файл. При запуску такого файла DOS першим знайде і виконає COM-файл, тобто. вірус, і потім запустить і EXE-файл. Деякі віруси використовують як варіант COM-EXE, але й BAT-COM-EXE.

Можливо існування й інших типів компаньон-вирусов, використовують інші оригінальні ідеї, або особливості інших операційних систем.

4.5 Файлові черви.

Файлові хробаки (worms) є, у сенсі, різновидом компаньон-вирусов, та заодно у разі не пов’язують свою присутність із будь-яким виконуваних файлом. При розмноженні вони лише копіюють свій код в будь-які каталоги дисків з думкою, що це нові копії будуть коли-небудь запущені користувачем. Іноді ці віруси дають своїм копіям «спеціальні» імена, щоб підштовхнути користувача на запуск своєї копії - наприклад, INSTALL. EXE чи WINSTART.BAT.

Існують вирусы-черви, використовують досить незвичні прийоми, наприклад, записуючі свої копії в архіви (ARJ, ZIP й інші). До таких вірусам ставляться «ArjVirus» і «Winstart». Деякі віруси записують команду запуску зараженого файла в BAT-файлы (наприклад, «Worm.Info»).

4.6 Link-вирусы.

Link-вирусы, як і компаньон-вирусы не змінюють фізичного вмісту файлів, однак за запуску зараженого файла «змушують» ОС виконати свій код. Цією мети вони досягають модифікацією необхідних полів файловій системы.

Сьогодні відомий єдиний тип Link-вирусов — віруси сімейства «Dir_II». При зараження системи, вони записують своє тіло у останній кластер логічного диска. При зараження файла віруси коректують лише номер першого кластера файла, що у відповідному секторі каталогу. Новий початковий кластер файла буде вказувати на кластер, у якому тіло вірусу. Отже, при зараження файлів їх довжини і вміст кластерів диска, містять ці файли, не змінюється, але в все заражені файли однією логічному диску буде припадати лише одне копія вируса.

4.7 OBJ-, LIB-вирусы і віруси у вихідних текстах.

Віруси, заражающие бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм, досить екзотичні та практично не поширені. Усього їх близько десяти. Віруси, заражающие OBJі LIB-файлы, записують їх у них свій код в форматі об'єктного модуля чи бібліотеки. Заражений файл, в такий спосіб, перестав бути виконуваних і нездатний надалі поширення вірусу у своїй поточний стан. Носієм ж «живого» вірусу стає COMчи EXE-файл, отримуваний у процесі линковки зараженого OBJ/LIB-файла коїться з іншими об'єктними модулями і бібліотеками. Отже, вірус поширюється удвічі етапу: першою заражаються OBJ/LIB-файлы, другого етапу (линковка) виходить працездатний вирус.

Резидентные вирусы.

Під терміном «резидентность «(DOS «овский термін TSR — Terminate and Stay Resident) розуміється здатність вірусів залишати свої копії в системної пам’яті, перехоплювати події (наприклад, звернення до файлам чи дискам) і викликати у своїй процедури зараження виявлених об'єктів (файлів і секторів). Отже, резидентные віруси активні не під час роботи зараженої програми, а й по тому, як програма закінчила своєї роботи. Резидентные копії таких вірусів залишаються життєздатними до черговий перезавантаження, навіть якби диску знищено всі заражені файли. Часто від такого типу вірусів неможливо позбутися відновленням всіх копій файлів з дистрибутивных дисків чи backup-копий. Резидентная копія вірусу залишається активної наукової та заражає знову створювані файли. І це правильно, і для завантажувальних вірусів — форматування диска за наявності у пам’яті резидентного вірусу який завжди виліковує диск, оскільки багато резидентные віруси заражає диск повторно по тому, як він відформатований. Нерезидентные віруси, навпаки, активні досить недовго — під час запуску зараженої програми. Для свого поширення вони шукають на диску незаражені файли і записуються у яких. Потому, як код вірусу передає управління программе-носителю, вплив вірусу працювати ОС зводиться нанівець до чергового запуску якийабо зараженої программы.

1 DOS-вирусы.

DOS передбачає два легальних способі створення резидентных модулів: драйверами, указываемыми в CONFIG. SYS, і з допомогою функції KEEP (INT 21h, AH=31h чи INT 27h). Багато файлові віруси для маскування свого поширення використовують інший шлях — обробку системних областей, управляючих розподілом пам’яті (MCB). Вони виділяють собі вільний ділянку пам’яті (включаючи UMB), позначають його як зайнятий і переписують туди свою копию.

2 Завантажувальні вирусы.

Переважна більшість резидентных завантажувальних вірусів виділення системної пам’яті для своєї резидентной копії використовує і той ж прийом: вони зменшують обсяг DOS-памяти (слово за адресою 0040:0013) і копіюють свій код в «відрізаний «блок пам’яті. Обсяг DOS-памяти зазвичай зменшується на одиницю (один кілобайтів) у разі коротких завантажувальних вірусів, код яких цікавить одне сектор дискового простору (512 байт). Друга половина кілобайта використовується такими вірусами як буфер чтения/записи при зараження дисків. Якщо ж розмір вірусу більше одного кілобайта чи що вона використовує нестандартні методи зараження, потребують більшого обсягу буфера чтения/записи, обсяг пам’яті зменшується сталася на кілька кілобайтів (серед відомих вірусів максимальне значення у вірусу RDA. Fighter — 30K).

3 Windows-вирусы.

А, аби залишити що здійснюється код у пам’яті Windows, існує три способу, причому всі три способу (крім Windows NT) вже застосовувалися різними вирусами.

Найпростіший спосіб — зареєструвати програму як одна з додатків, що працюють у цей час. І тому програма реєструє своє завдання, вікно якій у змозі бути прихованим, реєструє свій оброблювач системних подій тощо. Другий спосіб — виділити блок системної пам’яті при допомоги DPMI-вызовов і скопіювати до нього свій код (вірус h33r). Третій спосіб — залишитися резидентно як VxD-драйвер (Wnidows 3. xx і Windows95) чи як драйвер Windows NT.

6. Стелс-вирусы.

Стелс-вирусы тими чи інші способами приховують факт своєї присутності у системі. Відомі стелс-вирусы всіх типів, крім Windowsвірусів — завантажувальні віруси, файлові DOS-вирусы і навіть макро-вирусы. Поява стелс-вирусов, заражающих файли Windows, є, швидше справою времени.

6.1 Завантажувальні вирусы.

Завантажувальні стелс-вирусы для приховання свого коду використовують два основних способи. Перший у тому, що вірус перехоплює команди читання зараженого сектора (INT 13h) і підставляє замість нього незараженный оригінал. Такий спосіб робить вірус невидимим для будь-який DOSпрограми, включаючи антивіруси, нездатні «лікувати «оперативну пам’ять комп’ютера. Можливий перехоплення команд читання секторів лише на рівні більш низькому, ніж INT 13h. Другий спосіб спрямований проти антивірусів, підтримують команди прямого читання секторів через порти контролера диска. Такі віруси під час запуску будь-який програми (включаючи антивірус) відновлюють заражені сектора, а по закінченні її знову заражають диск. Коли щодо цього вірусу доводиться перехоплювати запуск і закінчення роботи програм, він повинен перехоплювати також DOS-прерывание INT 21h. Деяким застереженнями стелс-вирусами може бути віруси, які роблять мінімальні зміни у заражаемый сектор (наприклад, при зараження MBR правлять лише активний адресу завантажувального сектора — зміни підлягають лише 3 байта), або маскуються під код стандартного загрузчика.

6.2 Файлові вирусы.

Більшість файлових стелс-вирусов використовує ті самі прийоми, що наведено вище: вони або перехоплюють DOS-вызовы звернення до файлам (INT 21h) або тимчасово лікують файл за його відкритті і заражають при закритті. Так само як й у завантажувальних вірусів, існують файлові віруси, використовують на свої стелс-функций перехоплення переривань нижчого рівня — виклики драйверів DOS, INT 25h і навіть INT 13h.

Повноцінні файлові стелс-вирусы, використовують перший шлях приховання свого коду, здебільшого досить громіздкі, оскільки їм це припадати перехоплювати дуже багато DOS-функций роботи з файлами: открытие/закрытие, чтение/запись, пошук, запуск, перейменування тощо., причому необхідно підтримувати обидва варіанти деяких викликів (FCB/ASCII), а після появи Windows95/NT їм стало слід також обробляти третій варіант — функції роботи з довгими іменами файлів. Деякі віруси використовують частина функцій повноцінного стелс-вируса. Частіше за все вони перехоплюють функції DOS FindFirst і FindNext (INT 21h, AH=11h, 12h, 4Eh, 4Fh) і «зменшують «розмір заражених файлів. Такий вірус неможливо визначити зі зміни розмірів файлів, якщо, звісно, він резидентно перебуває у пам’яті. Програми, котрі використовують зазначені функції DOS (наприклад, «Нортоновские утиліти »), а безпосередньо використовують вміст секторів, зберігають каталог, показують правильну довжину заражених файлов.

6.3 Макро-вирусы.

Реалізація стелс-алгоритмов в макро-вирусах є, напевно, найпростіший завданням — достатньо лише заборонити виклик меню File/Templates чи Tools/Macro. Досягають цього або видаленням цих пунктів меню зі списку, чи їх підміною на макроси FileTemplates і ToolsMacro. Частково стелс-вирусами може бути невелику групу макро-вирусов, які зберігають свій основний код лише в макросе, а інших галузях документа — у його змінних чи Auto-text.

7. Полиморфик-вирусы.

До полиморфик-вирусам ставляться такі, детекторування яких неможливо (або, дуже важко) здійснити з допомогою так званих вірусних масок — ділянок постійного коду, специфічних для конкретного вірусу. Досягають цього двома основними способами — шифруванням основного коду вірусу з непостійним ключем і випадковим набором команд расшифровщика чи зміною самого виконуваного коду вірусу. Існують також інші, досить екзотичні приклади поліморфізму — DOS-вирус «Bomber », наприклад, не зашифрований, проте послідовність команд, яка передає управління коду вірусу, є цілком полиморфной.

Поліморфізм різного рівня складності є у віруси всіх типів — від завантажувальних і файлових DOS-вирусов до Windows-вирусов і навіть макро-вирусов.

7.1 Полиморфные расшифровщики.

Найпростішим прикладом частково полиморфного расшифровщика є наступний набір команд, у результаті застосування якої ні один байт коду самого вірусу та її расшифровщика перестав бути постійним при зараження різних файлов:

MOV reg₁, count; reg₁, reg₂, reg₃ вибираються из.

MOV reg₂, key ;

AX, BX, CX, DX, SI, DI, BP.

MOV reg₃, _offset; count, key, _offset також можуть змінюватися _LOOP: xxx byte ptr [reg₃], reg₂; xor, add чи sub.

DEC reg₁.

Jxx _loop; ja чи jnc; далі йдуть зашифровані код і такі вируса.

Більше складні полиморфик-вирусы використовують значно більше складні алгоритми для генерації коду своїх расшифровщиков: наведені вище інструкції (чи його еквівалентами) переставляються місцями від зараження до зараженню, розбавлено щось змінюють командами типу NOP, STI, CLI, STC, CLC, DEC невикористовуваний регістр, XCHG невикористовувані регістри і т.д.

Повноцінні ж полиморфик-вирусы використовують ще складніші алгоритми, внаслідок чиїх робіт в расшифровщике вірусу можуть зустрітися операції SUB, ADD, XOR, ROR, ROL та інші довільному кількості та порядку. Завантаження й зміна ключів та інших параметрів шифровки виробляється також довільним набором операцій, у якому можуть зустрітися майже всі інструкції процесора Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP …) з усіма можливими режимами адресации.

8. IRC-черви.

IRC (Internet Relay Chat) — це спеціальний протокол, розроблений для комунікації користувачів Інтернету у часі. Цей протокол предоставлят можливість Итрернет- «розмови «з допомогою спеціально розробленого програмного забезпечення. Існує досить велику кількість IRC-команд, з яких користувач може мати простий інформацію про інші користувачів та канали, змінювати деякі установки IRC-клиента та інші. Сущетсвует також можливістю передавати і вчасно приймати файли — саме у такої можливості й базуються IRC-черви.

8.1 IRC-клиенты.

На комп’ютерах з MS Windows найпоширенішими клієнтами є mIRC і PIRCH. Не дуже об'ємні, але досить складні програмні продукти, що окрім надання основних послуг IRC (підключення до серверам і каналам) мають що й масу додаткових возможностей. К таким можливостям ставляться, наприклад, сценарії роботи (скрипти) і завдання автоматичної реакцію різні події. Наприклад, у разі у час розмови певного слова IRC-клиент передає повідомлення користувачеві, який послав це слово. Також можливо відключення користувача від каналу; посилка персональних повідомлень новим користувачам, подключающимся до; й багато іншого. У PIRCH-клиенте, наприклад, подій, куди передбачена реакція, більш 50.

8.2 Скрипт-черви.

Як виявилося, потужна і розгалужена система команд IRC-клиентов дозволяє з урахуванням їх скриптов створювати комп’ютерні віруси, передають свій код на комп’ютери користувачів мереж IRC, звані «IRC-черви ». Перший інцидент із IRC-червем зафіксований у кінці 1997 року: користувачами mIRC-клиента виявили скрипт (файл SCRIPT. INI), переносивший свій код через канали IRC і заражавший mIRC-клиентов за комп’ютерами користувачів, подключавшихся до заражених каналам. Як виявилося, скрипт-черви є досить простими програмами, і крізь досить короткий час з урахуванням першого mIRC-червя створено і «випущені «у мережі кілька десятків різних скрипт-червей.

Принцип дії таких IRC-червей приблизно однаковий. З допомогою IRCкоманд файл сценарію роботи (скрипт) чи реакцію IRC-события автоматично посилається з зараженого комп’ютера кожному знову присоединившемуся до користувачеві. Присланий файл-сценарий заміщає стандартний і за наступному сеансі роботи вже знову заражений клієнт розсилати червя.

Хробаки у своїй використовують особливості конфігурації клієнта (всіх версій mIRC молодший 5.31 й коштовності всіх версій PIRCH до PIRCH98), завдяки якому прийняті файли всіх типів вкладаються у кореневої каталог клієнта. Цей каталог також має й захопити основні скрипти клієнта, включаючи авто-загружаемые mIRC-скрипты SCRIPT. INI, MIRC. INI і PIRCH-скрипт EVENTS.INI. Дані скрипти автоматично виконуються клієнтом при старті, і надалі використовуються як основний сценарій його роботи. Деякі IRC-черви також є троянський компонент: по заданим ключовим словами виробляють руйнівні дії на уражених комп’ютерах. Наприклад, хробак «pIRCH.Events «за визначеною команді стирає все файли на диску пользователя.

У скрипт-языках клієнтів mIRC і PIRCH існують оператори для запуску звичайних команд операційної системи й виконуваних модулів (програм) DOS і Windows. Ця можливість IRC-скриптов стала основою до появи скрипт-червей нової генерації, сформованими незалежно від скриптов заражали комп’ютери користувачів EXE-вирусами, встановлювали «троянських коней », і т.п.

3 mIRC. Acoragil і mIRC.Simpsalapim.

Перші відомі mIRC-черви. Виявлено наприкінці - початку грудня 1997. Назви отримали по кодовою словами, що використовуються хробаками: тоді як тексті, переданому в канал будь-яким користувачем присутній рядок «Acoragil », усі користувачі, заражені хробаком «mIRC.Acoragil «автоматично відключаються від каналу. Це ж приміром із хробаком «mIRC.Simpsalapim «- він аналогічно реагує на рядок «Simpsalapim ». При розмноженні хробаки командами mIRC пересилають свій код в файлі SCRIPT. INI кожному новому користувачеві, який підключається до. Містять троянську частина. «mIRC.Simpsalapim «містить код захоплення каналу IRC: якщо mIRC власника каналу заражений, то введення кодового слова «ananas », зловмисник перехоплює управління каналом. «mIRC.Acoragil «по кодовою словами пересилає системні файли DOC, Windows чи UNIX. Деякі кодові слова обрані в такий спосіб, що ні приваблюють уваги жертви — hi, cya чи the. Один із модифікацій цього хробака пересилає зловмиснику файл паролів UNIX.

4 Win95.Fono.

Небезпечний резидентный файлово-загрузочный полиморфик-вирус. Використовує mIRC як із способів свого поширення: перехоплює системні події Windows і за запуску файла MIRC32. EXE активізує свою mIRCпроцедуру. У цьому відкриває файл MIRC. INI і записує у його кінець команду, снимающую захист: [fileserver] Warning=Off.

Потім створює файли SCRIPT. INI і INCA.EXE. Файл INCA. EXE містить дроппер вірусу, скрипт файла SCRIPT. INI пересилає себе і це дроппер в канал IRC кожному присоединившемуся до і кожному що виходить з канала.

9. Мережні вирусы.

До мережним ставляться віруси, які для свого поширення активно використовують протоколи й можливості локальних і глобальних мереж. Основним принципом роботи мережного вірусу є можливість самостійно передати свій код на віддалений сервер чи робочу станцію. «Повноцінні» мережні віруси у своїй мають що й можливістю запустити виконання свій код на такого далекого комп’ютері чи, по крайнього заходу, «підштовхнути» користувача запуску зараженого файла.

Побутує хибна думка, що мережним є будь-який вірус, поширюється у комп’ютерній мережі. Однак у цьому випадку майже всі віруси було б мережними, навіть найпримітивніші їх: адже самий звичайний нерезидентный вірус при зараження файлів не розбирається — мережевий (віддалений) це диск чи локальний. У результаті вірус здатний заражати файли не більше мережі, але віднести його до мережним вірусам ніяк нельзя.

Найбільшу славу придбали мережні віруси кінця 80-х, їхнє співчуття також називають мережними хробаками (worms). До них належать вірус Морріса, віруси «Cristmas Tree» і «Wank Worm&». Для свого поширення вони використовували помилки і недокументированные функції глобальних мереж на той час — віруси передавали свої копії з серверу на сервер і запускали їх у виконання. У випадку з вірусів Морріса епідемія захопила аж кілька глобальних мереж в США.

Мережні віруси минулого поширювалися у комп’ютерній сіті й, як правило, як і і компаньон-вирусы, не змінювали файли чи сектора на дисках. Вони проникали на згадку про комп’ютера з комп’ютерну мережу, вираховували мережні адреси інших комп’ютерів, і розсилали за цими адресами свої копії. Ці віруси іноді також створювали робочі файли на дисках системи, але могли взагалі звертатися до ресурсів комп’ютера (крім оперативної памяти).

Після кількох епідемій мережевих вірусів помилки у мережевих протоколах і програмне забезпечення були враховані, а «задні двері» закриті. У результаті, протягом песледние десятиліття був зафіксовано жодного випадку зараження мережним вірусом, як, втім, немає і жодного нового мережного вируса.

Знову проблема мережевих вірусів виникла лише на початку 1997;го року з появою вірусів «Macro.Word.ShareFun» і «Win.Homer». Перший використовує можливості електронної пошти Microsoft Mail — створює нове лист, що містить заражений файл-документ («ShareFun» є макровірусом), потім вибирає зі списку адрес MS-Mail три випадкових адреси — й розсилає із них заражене лист. Оскільки чимало користувачі встановлюють параметри MS-Mail в такий спосіб, що з отриманні листи автоматично запускається MS Word, то вірус «автоматично» впроваджується у комп’ютер адресата зараженого письма.

Цей вірус ілюструє перший тип сучасного мережного вірусу, які об'єднують можливості убудованого в Word/Excel мови Basic, протоколи й особливо електронної пошти і функції авто-запуска, необхідних поширення вируса.

Другий вірус («Homer») використовує для свого поширення протокол FTP (File Trabsfer Protocol) і передає свою копію на віддалений ftp-сервер до каталогу Incoming. Оскільки мережевий протокол FTP виключає можливості запуску файла на удаленнов сервері, цей вірус можна охарактеризувати як «полу-сетевой», але це реальний приклад можливостей вірусів по використанню сучасних мережевих протоколів і поразці глобальних сетей.

10. Інші «шкідливі програми «.

До «шкідливим програмам », крім вірусів, ставляться також троянські коні (логічні бомби), хакерські утиліти прихованого адміністрування віддалених комп’ютерів («backdoor »), програми, «що крадуть «паролі доступу до ресурсів Інтернет, і іншу конфіденційну інформацію; і навіть «intended «-віруси, конструктори вірусів і полиморфик-генераторы.

10.1 Троянські коні (логічні бомбы).

До троянським коням ставляться програми, завдають будь-які руйнівні дії, тобто. залежно від якихось умов або за кожному запуску нищівна інформацію на дисках, «завешивающая» систему і т.п.

Більшість відомих троянських коней є програмами, які «підробляють» під будь-які корисні програми, нові версії популярних утиліт чи доповнення до них. Найчастіше вони надсилаються BBS-станциям чи електронним конференцій. У порівняні з вірусами «троянські коні» не отримують поширення з досить прості причини — вони або знищують себе разом з іншими даними на диску, або демаскують своє присутність і нищаться постраждалим пользователем.

До «троянським коням» також можна віднести «дропперы» вірусів — заражені файли, код яких підправлена в такий спосіб, відомі версії антивірусів не визначають вірусу в файлі. Наприклад, файл шифрується якимабо спеціальним чином чи упаковується редкоиспользуемым архиватором, яка дозволяє антивірусові «побачити» заражение.

2 Утиліти прихованого адміністрування (backdoor).

Троянські коні цього за своєю сутністю є дуже потужними утилітами віддаленого адміністрування комп’ютерів у мережі. По функціональності вони в що свідчить нагадують різні системи адміністрування, розроблювані і поширювані різноманітними фірмамивиробниками програмних продуктов.

Будучи встановленими на комп’ютер, утиліти прихованого управління дозволяють робити з комп’ютером усе, що у яких заклав їх авторка: принимать/отсылать файли, запускати і знищувати їх, виводити повідомлення, прати інформацію, перезавантажувати комп’ютер та т.д. Через війну ці троянці можна використовувати щоб виявити і передачі конфіденційної інформації, для запуску вірусів, знищення даних, і т.п. — уражені комп’ютери виявляються відкритими для злочинних дій хакеров.

3 Intended-вирусы.

До таких вірусам ставляться програми, котрі з погляд є стовідсотковими вірусами, але з здатні розмножуватися через ошибок.

Наприклад, вірус, який за зараження «забуває» розмістити у початок файлів команду передачі управління на код вірусу, або записує у ній зрадливий адресу свого коду, або неправильно встановлює адресу перехватываемого переривання (що у переважній більшості випадків завешивает комп’ютер) і т.д.

До категорії «intended» теж належать віруси, котрі за наведених вище причин розмножуються лише одне раз — з «авторської» копії. Заразивши будь-якої файл, вона втрачає спроможність до подальшому розмноженню. З’являються intended-вирусы найчастіше при недолугої перекомпіляції якогоабо вже не існуючого вірусу, або за причини недостатнього знання мови програмування, або за причини незнання технічних тонкощів операційній системы.

4 Конструктори вирусов.

Конструктор вірусів — це утиліта, призначена виготовлення нових комп’ютерних вірусів. Відомі конструктори вірусів для DOS, Windows і макро-вирусов. Вони дозволяють генерувати вихідні тексти вірусів (ASMфайли), об'єктні модулі, і/або безпосередньо заражені файли. Деякі конструктороы (VLC, NRLG) обладнані стандартним віконним інтерфейсом, де за допомогою системи меню можна вибрати тип вірусу, поражаемые об'єкти (COM і/або EXE), наявність або відсутність самошифровки, протидія отладчику, внутрішні текстові рядки, вибрати ефекти, супроводжують роботу вірусу тощо. Інші конструктори (PS-MPC, G2) не мають інтерфейсу і зчитують інформацію про типі вірусу з конфігураційного файла.

5 Полиморфные генераторы.

Полиморфик-генераторы, як конструкторів вірусів, є вірусами у сенсі цього терміну, що у їх алгоритм не закладаються функції розмноження, тобто. відкриття, закриття запис у файли, читання і записи секторів тощо. Головну функцію такого роду програм є шифрування тіла вірусу і генерація відповідного расшифровщика. Зазвичай полиморфные генератори поширюються їх авторами без обмежень як файла-архива. Основним файлом в архіві будь-якого генератора є об'єктний модуль, у якому цей генератор. В усіх життєвих зустрічалися генераторах цей модуль містить зовнішню (external) функцію — виклик програми генератора.

Отже автору вірусу, якщо він хоче створити справжній полиморфик-вирус, годі й говорити коптіти над кодами власного за/расшифровщика. За бажання може залучити до своєму вірусу будь-який відомий полиморфик-генератор і викликати його з кодів вірусу. Фізично це досягається так: об'єктний файл вірусу линкуется з об'єктним файлом генератора, а вихідний текст вірусу перед командами його запис у файл вставляється виклик поліморфік-генератора, що створює коди расшифровщика і шифрує тіло вируса.

Укладання Вірус — спеціально написана програма, здатна спонтанно приєднуватися решти програмам, створювати свої копії й впроваджувати в файли, системні області комп’ютера та в обчислювальні мережі з єдиною метою порушення роботи програм, псування файлів і каталогів, створення різноманітних перешкод у роботі комп’ютера. Нині відоме понад 5000 програмних вірусів, кількість яких невпинно зростає. Основні види вірусів: завантажувальні, файлові, файловозавантажувальні. Найбільш небезпечного вигляду вірусів — полиморфные. З комп’ютерної вірусології ясно, будь-яка оригінальна комп’ютерна розробка змушує творців антивірусів пристосовуватися до нових технологіям, постійно вдосконалити антивірусні програми. Причини появи й ризик поширення вірусів приховані з одного боку в психології людини, з іншого боку — із повною відсутністю засобів захисту у ОС. Основні шляху проникнення вірусів — знімні диски і комп’ютерні мережі. Щоб змагань не вийшло, тримайте заходів для захисту. Також щоб виявити, видалення та від комп’ютерних вірусів розроблено декілька тисяч видів спеціальних програм, званих антивірусними. Якщо ви і все-таки знайшли в комп’ютері вірус, то традиційному підходу краще покликати професіонала, щоб він далі розібрався. Та деякі властивості вірусів спантеличують навіть фахівців. Ще недавно важко було уявити, що вірус може пережити холодну перезавантаження чи поширюватися через файли документів. За цих умов мушу надавати значення хоча б початковому антивирусному освіті користувачів. За всієї серйозності проблеми жоден вірус неспроможний принести стільки шкоди, скільки побілілий користувач з тремтячими руками!

Кінець формы.