--PAGE_BREAK--1. он не обязан менять длину файла
2. неиспользуемые участки кода
3. не обязан менять начало файла
Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.
1.3 Файлово-загрузочные вирусы
Очень часто встречаются комбинированные вирусы, объединяющие свойства файловых и загрузочных.
Широко был распространен файлово-загрузочный вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие — шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.
Вирус OneHalf использует различные механизмы маскировки. Он представляет собой стелс-вирус и при распространении применяет полиморфные алгоритмы.
1.4 Сетевые вирусы
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается — сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.
Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы «Cristmas Tree» и «Wank Worm&». Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени — вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусом Морриса эпидемия захватилай несколько глобальных сетей в США.
Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением вирусов «Macro.Word.ShareFun» и «Win.Homer». Первый из них использует возможности электронной почты Microsoft Mail — он создает новое письмо, содержащее зараженный файл-документ («ShareFun» является макро-вирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус «автоматически» внедряется в компьютер адресата зараженного письма.
Этот вирус иллюстрирует первый тип современного сетевого вируса, который объединяет возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции авто-запуска, необходимые для распространения вируса.
Второй вирус («Homer») использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном сервере, этот вирус можно охарактеризовать как «полусетевой», однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.
Вирус W32.Blaster.Worm (другое название LoveSun)
Поразив компьютер, червь производит сканирование произвольных IP-адресов по порту 135 (сначала в локальной подсети, а затем за ее пределами) в поисках новых потенциальных жертв, то есть систем с уязвимостью DCOM RPC.
Найдя такой компьютер, червь посылает на его порт 135 специально сконструированный запрос, который имеет целью предоставить «атакующему» компьютеру полный доступ к «атакуемому», а в случае удачи — открыть порт 4444 для прослушивания и ожидания последующих команд. Одновременно червь слушает порт 69 UDP на первоначально зараженном компьютере и, когда от новой жертвы к нему поступает TFTP-запрос, посылает в ответ команду загрузить свой собственный код (файл msblast.exe). Этот код помещается в системный каталог Windows и запускается, при этом прописывая ссылку на самого себя в системный реестр Windows c целью автоматического запуска червя при старте последующих сессий Windows.
С этого момента новая жертва начинает действовать, как самостоятельный источник заражения.
Так же известны варианты червя B и C, поэтому могут измениться как результаты, так и признаки заражения (например, вместо msblast.exe файл червя может называться penis32.exe, хотя и с сохранением содержимого). Symantec Corp отметила за один день увеличение числа червей до 40%, что привело к заражению 188 тыс. компьютеров. По другим данным, за 24 часа червь заразил более миллиона хостов. Однако производительность сайта Microsoft не пострадала (согласно Keynote Systems Inc), ведь червяк хорошо «виден» в системе, поскольку настойчиво ее перезагружает. Атака червя должна была начаться в 07-00 час утра в пятницу, что по странному стечению обстоятельств совпало с глобальным отключением электроэнергии в Нью-Йорке.
О создателе вируса:
Washington Post сообщил, что новоявленным компьютерным гением оказался 18-летний гражданин США. Его имя и местонахождение не разглашается.
В итоге мир столкнулся с довольно таки задиристым вирусом, создатель которого юный, можно сказать, гений. Bирус, а так же его разновидности, по сведениям компании Symantec Corp., поразил до 500 тыс. компьютеров по всему миру.
Как понять, заражен ли мой компьютер:
- наличие файлов «MSBLAST.EXE», «TEEKIDS.EXE» или «PENIS32.EXE» в системном каталоге Windows (обычно WINDOWS\SYSTEM32\)
— внезапная перезагрузка компьютера после соединения с Интернетом каждые несколько минут.
— многочисленные сбои в работе программ Word, Excel и Outlook.
— сообщения об ошибках, вызванных файлом «SVCHOST.EXE»
— появление на экране окна с сообщением об ошибке (RPC Service Failing).
Я полагаю, такое вот окно, видели многие из тех, у кого установлен Windows XP и кто пользуются Интернетом. Этот скромный вирус, на первый взгляд, портит жизнь человеку напрочь. Делает он это очень легко, перезагружая компьютер. Вроде бы ничего в этом особо плохого нет, но, с каждым разом, этот зловредный вирус делает это всё чаще. Мало того, при активизации вируса не возможны некоторые команды, к примеру, Copy.
Так вот, есть несколько способов, как от этого “скромняги” избавится:
1. Первый способ и самый простой (от этого вирус продолжает жить на компьютере, но всё же не рестартит компьютер, значит можно работать). Заходим в Date & Time Properties, что можно сделать двойным нажатием левой кнопки мышки по часам в правом нижнем углу экрана, и отгоняем часы назад (на сутки).
2. Способ второй (деактивирует вирус, после чего он перестает “доставать” пользователя перезагрузкой компьютера). Необходимо поставить “заплатку”, которую можно найти на сайте Microsoft, попросту сделав Windows Update.
1.5 Макро-вирусы
Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office. Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных Microsoft Access.
Для существования вирусов в конкретной системе (редакторе) необходимо наличие встроенного в систему макро-языка с возможностями:
1. привязки программы на макро-языке к конкретному файлу;
2. копирования макро-программ из одного файла в другой;
3. возможность получения управления макро-программой без вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют редакторы Microsoft Word, Office и AmiPro, а также электронная таблица Excel и база данных Microsoft Access. Эти системы содержат в себе макро-языки: Word — Word Basic, Excel, Office97 (включая Word, Excel и Access) — Visual Basic for Applications.
На сегодняшний день известны четыре системы, для которых существуют вирусы — Microsoft Word, Excel, Office и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.
1.6 Резидентные вирусы
Под термином «резидентность» (DOS'овский термин TSR — Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов — форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно после того, как он отформатирован.
1.7 Нерезидентные вирусы
Нерезидентные вирусы, напротив, активны довольно непродолжительное время – только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе – носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы.
Таким образом, нерезидентные вирусы являются опасными только во время выполнения инфицированной программы, когда они проявляют свои деструктивные возможности или создают свои копии. Файлы, пораженные такими вирусами, обычно легче поддаются обнаружению и лечению, чем файлы, содержащие резидентный вирус.
2. Обоснование необходимости защиты
В последнее время большую известность приобрела проблема информационной безопасности. Измученный пользователь всюду читает о компьютерных взломах, хакерских проникновениях, вирусах. Что делать?
Каким бы не был вирус, пользователю необходимо знать основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
• общие средства защиты информации, которые полезны также и как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователя;
• профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
• специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:
1. копирование информации — создание копий файлов и системных областей дисков;
2. разграничение доступа предотвращает несанкционированное использование информации, в частности, защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.
Зачем надо защищаться? Ответов на этот вопрос может быть великое множество. Все зависит от конкретного профиля Вашего рода занятий. Для одних главной задачей является предотвращение утечки информации к конкурентам. Другие главное внимание могут уделять целостности информации. Например, для банка необходимо обеспечить достоверность платежных поручений, то есть, чтобы злоумышленник не мог внести изменения в платежное поручение. Для третьих компаний на первое место поднимается задача безотказной работы информационных систем (например, для провайдеров Интернет).
Известны случаи, когда вирусы блокировали работу организаций и предприятий. Более того, несколько лет назад был зафиксирован случай, когда компьютерный вирус стал причиной гибели человека — в одном из госпиталей Нидерландов пациент получил летальную дозу морфия по той причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Из всего вышесказанного можно смело сделать вывод, что необходимость защиты от компьютерных вирусов на данный момент стоит на первом месте. Если правильно выбирать антивирусное программное обеспечение и регулярно обновлять его, можно избежать заражения вирусом и соответственно всех его последствий.
2.1 Антивирусные программы
Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать распространения вирусной эпидемии на другие компьютеры.
Главным оружием в борьбе с вирусами являются антивирусные программы. Они позволяют не только обнаружить вирусы, в том числе вирусы, использующие различные методы маскировки, но и удалить их из компьютера. Последняя операция может быть достаточно сложной и занять некоторое время.
Существует несколько основополагающих методов поиска вирусов, которые применяются антивирусными программами. Наиболее традиционным методом поиска вирусов является сканирование.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными. Различают следующие виды антивирусных программ:
1. программы-детекторы
2. программы-доктора или фаги
3. программы-ревизоры (инспектора)
4. программы-фильтры (мониторы)
5. программы-вакцины или иммунизаторы
6. сканер
2.1.1 Программы-детекторы
Программы-детекторы осуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
2.1.2 Программы-доктора
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и «лечат» их, то есть удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к «лечению» файлов. Среди фагов выделяют полифаги, то есть программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известные из них: AVP, Aidstest, Scan, Norton AntiVirus, Doctor Web.
Учитывая, что постоянно появляются новые вирусы, программы-детекторы и программы-доктора быстро устаревают, и требуется регулярное обновление версий.
2.1.3 Программы-ревизоры (инспектора)
Программы-ревизоры (инспектора) относятся к самым надежным средствам защиты от вирусов.
Ревизоры (инспектора) проверяют данные на диске на предмет вирусов-невидимок, изучают, не забрался ли вирус в файлы, нет ли посторонних в загрузочном секторе жесткого диска, нет ли несанкционированных изменений реестра Windows. Причем инспектор может не пользоваться средствами операционной системы для обращения к дискам (а значит, активный вирус не сможет это обращение перехватить).
Дело в том, что ряд вирусов, внедряясь в файлы (то есть дописываясь в конец или в начало файла), подменяют записи об этом файле в таблицах размещения файлов нашей операционной системы. Посмотришь из «виндов» — вроде бы ничего не изменилось: ни длина файла, ни дата, ни время создания, ни даже контрольный код (CRC). Как говорится, по бумагам все сходится, а хищение налицо.
продолжение
--PAGE_BREAK--