3 перечислите этапы которые проходит компьютерный вирус в своем развитии

Обновлено: 07.07.2024

- профессиональные,создаваемые программистами или
иными компьютерными специалистами, которые пред­
назначены для нанесения определенного ущерба другим
программам, либо используемые в игровых программах;

- студенческие,создаваемые учащимися и студентами,
преследующими развлекательные или иные цели в зву­
ковых, фото- и графических заставках и т.п.
Компьютерные вирусы могут распространяться и про­
никать в операционную и файловую систему ПК только
через внешние магнитные носители (жесткий, гибкий
диски, компакт-диски) и через средства межкомпьютер­
ной коммуникации.

Сегодня создано большое и разнообразное количество (несколько тысяч) компьютерных вирусов, против кото­рых используют различные антивирусные программы и пакеты. Кроме этого, многими странами принят ряд зако­нов, регламентирующих компьютерные преступления.

Одной из малоприятных особенностей компьютерных вирусных программ является их самовоспроизводящийся характер. При этом развитие вируса проходит следующие стадии:

- скрытый этап,когда действие вируса не проявляется и остается незамеченным;

- этап лавинообразного размножения,но его действия при этом еще не активизированы;

- этап активного действия,когда вирус начинает выпол­
нять вредные действия, заложенные программистом.
Первые два этапа хорошо маскируют вирусы и позво­
ляют им быть скрытыми. В это время они проникают в
состав определенных файлов, вызывая те или иные нару­
шения. От того, где располагаются вирусы, они делятся
на типы:

- файловые вирусы,приписывающиеся, изменяющие и нарушающие работу программных файлов;

- загрузочные вирусы,размещающиеся в информаци­онном поле жесткого или гибкого дисков, компакт-дис­ков, с которых возможно будет произведена загрузка дисковой операционной системы;

- общие вирусы,влияющие на работу как программных, так и операционных файлов;

- репликаторы-«черви»,размножающиеся без проник­новения в файловые структуры и использующиеся для передачи вируса по узлам вычислительной системы. Особую опасность представляют самошифрующиеся

вирусы, вирусы-невидимки, мутирующие, полиморфные вирусы и многие другие, высокоорганизованные и каче­ственно программируемые.

Для защиты от такого множества вирусов необходимо применять и использовать специальные приемы предос­торожности, чтобы сохранить информацию. К основнымметодам защитыот вирусов относятся:

- наличие многофункциональной антивирусной програм­мы, включающейся автоматически при загрузке ком­пьютера;

- периодический поиск вирусов и антивирусная профи­лактика всех внешних носителей информации;

- уничтожение обнаруженных вирусных программ;

- резервирование на диске областей системных файлов;

- общее резервирование существующих файлов;

В настоящее время известно более 15 000 программ­ных вирусов, их можно классифицировать по следующим признакам: + среде обитания;

+ способу заражения среды обитания; + воздействию; + особенностям алгоритма.

В зависимости от среды обитания вирусы можно разде­лить на сетевые, файловые, загрузочныеи файлово-заг-рузочные.

Сетевые вирусыраспространяются по различным ком­пьютерным сетям.

Файловые вирусывнедряются главным образом в ис­полняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ. Файловые вирусы могут внедряться и в дру­гие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управления и, следова­тельно, теряют способность к размножению.

Загрузочные вирусывнедряются в загрузочный сек­тор диска (Boot-сектор) или в сектор, содержащий про­грамму загрузки системного диска (Master Boot Record).

Файлово-загрузочные вирусызаражают файлы и за­грузочные сектора дисков.

По способу заражениявирусы делятся на резидент­ныеи нерезидентные.




Резидентный вируспри заражении (инфицировании) компьютера оставляет в оперативной памяти свою рези­дентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются ак-

тивными вплоть до выключения или перезагрузки ком­пьютера.

Нерезидентные вирусыне заражают память компью­тера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

+ неопасные, не мешающие работе компьютера, но умень­шающие объем свободной оперативной памяти и памя­ти на дисках; действия таких вирусов проявляются в каких-либо графических или звуковых эффектах; + опасные вирусы,которые могут привести к различ­ным нарушениям в работе ПК; + очень опасные,воздействие которых может привести кпотере программ, уничтожению данных, стиранию информации в системных областях диска. По особенностям алгоритмавирусы трудно классифи­цировать из-за большого разнообразия. Простейшие виру­сы— паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаруже­ны и уничтожены. Можно отметить вирусы-репликаторы,называемые червями,которые распространяются по ком­пьютерным сетям, вычисляют адреса сетевых компьюте­ров и записывают по этим адресам свои копии. Известны вирусы-невидимки,называемые стелс-вирусами,которые очень трудно обнаружить и обезвредить, так как они пере­хватывают обращения операционной системы к поражен­ным файлам и секторам дисков и подставляют вместо сво­его тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты,содержащие алгоритмы шиф­ровки/расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепоч­ки байтов. Имеются и так называемые квазивирусные,или «троянские», программы, которые, хотя и не способны к самораспространению, но очень опасны, так как, маскиру­ясь под полезную программу, разрушают загрузочный сек­тор и файловую систему дисков.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать рас­пространения вирусной эпидемии на другие компьютеры.

Наличие вирусной программы в вашей файловой сис­теме можно определить по ряду косвенных признаков:

- резко, без особой причины, возросло число файлов;

- периодическое появление системных обращений при работе с программой;

- изменение объема оперативной памяти в сторону умень­шения;

- самопроизвольное изменение атрибутов файлов;

- увеличение длины программных файлов;

- нехарактерная работа программ;

- уменьшение быстродействия программы;

- загорание индикаторной лампочки дисковода при от­сутствии обращения к нему;

- увеличение времени обращения к винчестеру;

- частое зависание операционной системы;

- отказы при загрузке DOS;

- изменение структуры файловой системы;

- искажение имен и содержания каталогов;

- исчезновение файлов и целых программ.

Для обнаружения, удаления и защиты от компьютер­ных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Различают следующие виды антивирусных программ: +программы-детекторы; + программы-доктора, или фаги; + программы-ревизоры; + программы-фильтры; + программы-вакцины, или иммунизаторы.

Вакцины или иммунизаторы— это резидентные про­граммы, предотвращающие заражение файлов. Вакцины применяют, если отсутствуют программы-доктора, «леча­щие» этот вирус. Вакцинация возможна только от извест­ных вирусов. Вакцина модифицирует программу или диск

таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их зараженными и поэтому не внедрится. В настоящее время программы-вакцины име­ют ограниченное применение.

Своевременное обнаружение зараженных вирусами файлов и дисков, полное уничтожение обнаруженных вирусов на каждом компьютере позволяют избежать рас­пространения вирусной эпидемии на другие компьютеры.

Для предотвращения заражением компьютерными ви­русами, необходимо выполнять некоторые меры по защи­те от них:

- оснастите свой компьютер современными антивирусны-

ми программами, например Aidstest, Doctor Web, AntiViral Toolkit Pro или другими, и постоянно обнов­ляйте их версии;

- перед считыванием с дискет информации, записанной на других компьютерах, всегда проверяйте эти диске­ты на наличие вирусов, запуская антивирусные про­граммы своего компьютера;

- при переносе на свой компьютер файлов в архивиро­ванном виде проверяйте их сразу же после разархива-ции на жестком диске, ограничивая область проверки только вновь записанными файлами;

- периодически проверяйте на наличие вирусов жесткие диски компьютера, запуская антивирусные програм­мы для тестирования файлов, памяти и системных об­ластей дисков с защищенной от записи дискеты, пред­варительно загрузив операционную систему с также защищенной от записи системной дискеты;

- всегда защищайте свои дискеты от записи при работе на других компьютерах, если на них не будет произ­водиться запись информации;

- обязательно делайте архивные копии на дискетах цен­ной для вас информации;

- не оставляйте в кармане дисковода А дискеты при вклю­чении или перезагрузке операционной системы, чтобы исключить заражение компьютера загрузочными вирусами;

- используйте антивирусные программы для входного контроля всех исполняемых файлов, получаемых из компьютерных сетей;

- не допускайте повторной загрузки DOS с чужой дискеты;

- как можно реже меняйтесь дискетами с другими людьми;

- перед началом работы на ПК после другого пользовате­ля выполните жесткую загрузку DOS, это поможет хотя бы частично уничтожить вирус;

- не запускайте программы непонятного вам и подозри­тельного назначения;

- пользуйтесь лицензионным программным обеспечением.

- ограничьте доступ других лиц к ващему ПК;

- храните антивирусные программы на дискете.

По статистике, больше всего вирусов кочует от пользо­вателя к пользователю с игровыми программами, поэто­му их необходимо предварительно протестировать.

1. Электронно-вычислительные машины настолько раз­
нообразны по техническому исполнению и выполняемым
функциям, что требуют определенной классификации: по
поколениям; по параметрам; архитектуре; назначению;
быстродействию; конструктивному исполнению; элемен­
тной базе и т.д.

2. Компьютер — это техническое устройство, выпол­няющее алгоритм действий, заданный программой.

3. Для обслуживания компьютера (ЭВМ) используется большое количество дополнительного оборудования и про­граммных средств, осуществляющих функции подключе­ния, ввода и вывода информации, кодирования и обра­ботки данных.

4. Класс ПК определяется типом используемого мик­ропроцессора.

5. Микропроцессор — это основной блок ЭВМ, осуще­ствляющий действия управления и выполняющий ариф­метические и логические операции.

6. Непосредственным устройством, взаимодействующим с микропроцессором, является память.

7. По назначению память делится на три типа: ПЗУ — постоянное запоминающее устройство; ОЗУ — оператив­ное запоминающее устройство; ВЗУ — внешнее запоми­нающее устройство.

8. ПК, осуществляющий мультимедийные функции, на­
зывается мультимедийным ПК, и к нему предъявляются
повышенные требования.

9. Для эффективной и высокоскоростной работы ЭВМ
используется набор компьютерных программ, которые
представляют собой программное обеспечение.

10. Наиболее важной программой является операци­
онная система (ОС), предоставляющая пользователю на­
бор услуг для создания удобного интерфейса общения.

11. Пользователь — устройство или человек, осуще­ствляющие работу с ПК и использующие его функцио­нальные возможности обработки информации.

12. Интерфейс — это совокупность технических и про­граммных средств, необходимых для качественной и удоб­ной работы пользователя и ЭВМ.

13. Существуют программы, нарушающие работу опе­рационной системы или других программ, искажающие или уничтожающие информацию. Такие программы со­здаются пользователем и называются вирусами.

14. Для борьбы с вирусами применяют антивирусные программы, которые находят, блокируют и уничтожают вирусы.

Контрольные Вопросы____________________

1. Какие электронные приборы стали элементной ба­зой первых ЭВМ?

2. Классифицируйте ЭВМ по этапам развития.

3. Как изменялись параметры ПК с развитием новых технологий?

4. Каковы основные направления в разработке архи­тектуры ЭВМ?

5. Перечислите основные классы ПК по назначению.

6. Как изменяется быстродействие ЭВМ с появлением новых поколений машин?

7. Какого вида бывают ПК по конструктивному испол­нению?

8. По каким другим признакам, кроме вышеперечис­ленных, могут быть классифицированы ПК?

9. Что такое ЭВМ?

10. Какие основные блоки входят в состав компьютер­ной платформы?

11. Перечислите основные клавиши управления, рас­положенные на лицевой панели системного блока.

12. Что определяет тактовая частота компьютера?

13. В чем назначение материнской платы и каков ее основной показатель?

14. Какие технические приспособления используются для расширения ресурсов ЭВМ?

15. Какие функции выполняет процессор?

16. Каковы особенности секционной структуры ПК?

17. В чем отличие однокристального ПК от секционного?

18. Перечислите основные технические параметры МП.

19. Каково назначение запоминающего устройства?

20. Классифицируйте запоминающие устройства по
назначению.

21. С помощью каких технологий могут быть выполне­ны запоминающие устройства?

22. Какие запоминающие устройства называются ассо­циативными?

23. Чем определяется информационная емкость запо­минающего устройства?

24. Какое устройство является основным для любого запоминающего устройства?

25. Как классифицируются запоминающие устройства согласно базовому логическому элементу?

26. Дайте определение оперативного запоминающего устройства (ОЗУ).

27. Перечислите режимы работы ОЗУ.

28. Для чего необходимо постоянное запоминающее устройство (ПЗУ)?

29. Перечислите основные режимы работы ПЗУ.

30. Какие три вида ПЗУ вы знаете? Перечислите их основные особенности.

31. Что такое внешнее запоминающее устройство (ВЗУ)?

32. Какие устройства относят к ВЗУ?

33. Дайте определение интерфейса.

34. Перечислите устройства ввода/вывода информации, поясните их назначение.

35. Каковы три основных типа принтеров?

36. Для чего предназначен сканер?

37. Что такое плоттер?

38. Какие функции выполняет дигитайзер?

39. Поясните назначение клавиш клавиатуры.

40. Что такое мультимедиа-компьютер?

41. Перечислите основные требования, предъявляемые к мультимедиа-компьютеру.

42. Для чего применяются акустические системы, и какие из них являются активными, а какие пассивными?

43. Каково назначение контроллера?

44. В чем заключается функционирование видеоплаты?

45. Какие программы называют компиляторами?

46. Что такое программное обеспечение (ПО)?

47. Перечислите основные классы ПО, поясните их назначение.

48. Дайте определение операционной системы (ОС).

49. Для чего необходимы сервисные системы?

50. Определите необходимость систем технического обслуживания.

51. Какие программы называют инструментальными, а какие прикладными?

52. Перечислите основные функции операционной си­стемы.

53. Каковы существующие классы ОС?

54. Какие компоненты должна содержать ОС?

55. Что такое драйвер?

56. С какой целью используются командные языки?

57. Из каких основных блоков состоит структура ОС?
"58. Дайте понятие файла.

Из школьного курса биологии мы можем вспомнить, что такое вирус и чем он характеризуется. Вирус захватывает организм человека, путем внедрения и размножения в клетках. Так же действует и компьютерный вирус. Фред Коэн говорил, что вирус – это программа, которая способна копировать сама себя и добавлять свои копии в другие программы.

На протяжении десятилетий компьютерные вирусы эволюционировали - стали более мощными, разнообразными и сложными. К сожалению, последствия вирусов могут быть весьма трагичными и непоправимыми. В современном мире они стали умелым оружием для интернет-мошенников, криминальный бизнес, основанный на идее вирусов, стал процветать, ведь теперь не нужно идти в банк, чтобы его ограбить. Достаточно написать вирус, который сделает свое дело. В 80-х годах XX ст. исследователи-вирусописатели и подумать не могли о таких серьезных последствиях!

Компьютерный вирус представляет собой программу, только отличается она от полезных программ, своим негативным воздействием. Таких программ следует опасаться, ведь после проникновения в компьютерную систему вирус начинает размножаться и разрушать систему. Обычно он копирует свой код на съемные носители, стремится распространить его посредствам сети интернет или прописывает его в приложения, используемые на компьютере. Компьютерные вирусы обладают многочисленными функциями – уничтожение данных на компьютере, хищение информации, установка приложений и другие.

Вся жизнь компьютерного вируса делится на четыре периода: инкубационный (выжидание нужного момента для активации), активация, размножение и выполнение своего предназначения.

Когда же появился первый вирус?

Первые мысли о саморазвивающихся программах посещали людей еще в начале 40-х годов, но не было необходимого доступа к компьютерам, чтобы заниматься развитием такой идеи. Но спустя каких-то 20 лет это не было проблемой и количество вирусов начало расти.

Сеть Пентагона была прототипом сети Интернет и именно там появился первый компьютерный вирус под названием Creeper. Эта программа самостоятельно выходила в сеть и оставляла свою копию на другом компьютере. В те времена не было понятия «компьютерный вирус».

Этапы развития компьютерных вирусов

Принято считать, что компьютерный вирус развивался в четыре основных этапа.
Первый этап. Л. Пенроуз в 1959 году опубликовал статью, в которой рассказывалось о механических структурах, которые могли активироваться, размножаться, захватывать и мутировать. Позже модель такой структуры была практически реализована американским исследователем Г. Шталем. Это были первые попытки создания программы, которая могла действовать без вмешательства человека.

Второй этап. Первые компьютеры были весьма громоздкими, дорогостоящими и очень сложными в эксплуатации, но в конце апреля 1977 года был выпущен первый персональный компьютер. Он был достаточно простой в обращении, надежный и не такой дорогостоящий, поэтому он получил широкое распространение. В это время и появились самые первые компьютерные вирусы – почва для их развития была уже готова.

Третий этап. С развитием научно-технического прогресса условия для компьютерных вирусов постепенно улучшались: росло число персональных компьютеров, появились жесткие диски, развивались локальные сети, а также технология передачи данных посредствам телефонных линий, возникли банки данных. В это время и появились люди, которые начали заниматься созданием компьютерных вирусов.

Четвертый этап. Глобальная сеть интернет успешно развивается в 90-е годы, что и позволяет вирусам развиваться. Качественные характеристики вредоносных программ существенно улучшились, они стали умнее, хитрее и более приспособленными к новым условиям окружающей их среды. Теперь они не только портят файлы, загрузочные сектора или выводят на экран текст. Теперь они могут уничтожать файлы! Компьютерные вирусы небывалого уровня шифрации, маскировки и распространения.

Современные вирусы

компьютерные вирусы

В настоящее время компьютер стал неотъемлемой частью нашей жизни – он выполняет множество функций – от работы до развлечений. Именно поэтому компьютерные вирусы получили такое широкое распространение и стимул постоянно совершенствоваться. Разворачивается настоящая война технологий вирусов и антивирусов.

Современные вирусы, как правило, нацелены на заработок денег для своего создателя: кража номеров кредитных карточек, паролей от электронных кошельков, управление компьютером. Ежедневно наши компьютеры атакует тысячи вирусов! В антивирусных базах их несколько миллионов, но настоящую угрозу имеют не более десяти. Сейчас вирус может атаковать и графические файлы – он просто дописывает к файлам формата JPEG свой код. Все это ведет к тому, что однажды может быть создан вирус, который способен нанести вред компьютерному оборудованию посредствам поиска слабых и ранее неизвестных «дыр» компьютерных систем.

с месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе.

  • t ∈ N число базовых операций «перемещения», осуществлённых машиной
  • PM ∈ N номер позиции на ленте машины в момент времени t
  • SM0 начальное состояние машины
  • CM(t, c) содержимое ячейки c в момент времени t

Классификация [ ]

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы по поражаемым объектам ( скриптовые вирусы, сетевые черви), по поражаемым операционным системам и платформам ( Microsoft Windows , стелс-вирусы), по языку, на котором написан вирус ( высокоуровневый язык программирования , Классификация файловых вирусов по способу заражения [ ]

По способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные файлы, программы, драйверы, компьютерные черви и троянские программы. Файловые черви Файловые черви создают собственные копии с привлекательными для пользователя названиями (например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит. Вирусы-звенья Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы, на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе. Паразитические вирусы Паразитические вирусы— это файловые вирусы, изменяющие содержимое файла, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу. Вирусы, поражающие исходный код программ Вирусы данного типа поражают исходный код программы или её компоненты (OBJ-, LIB-, DCU- файлы), а также Канал распространения [ ]

Ошибка: неверное или отсутствующее изображение

История [ ]

Первые самовоспроизводящиеся программы [ ]

Появление первых вирусов [ ]

Юрген Краус [ ]

С появлением первых персональных компьютеров Apple в ELK CLONER [ ]

Статья Фреда Коэна [ ]

В сентябре Грязная дюжина [ ]

Первые антивирусы [ ]

В начале Первые вирусные эпидемии [ ]

Очередным этапом развития вирусов считается Brain и другие [ ]

Первая эпидемия 1987 была вызвана вирусом Brain (также известен как Пакистанский вирус), который был разработан братьями Амджатом и Базитом Алви (Amdjat и Basit Faroog Alvi) в 1986 и был обнаружен летом 1987. По данным Червь Морриса [ ]

В 4 мая 1990 года суд присяжных признал Морриса виновным. Он был приговорён к условному заключению сроком на два года, 400 часам общественных работ и штрафу размером 10 тыс. долларов.

DATACRIME и «AIDS» [ ]

Глобализация проблемы вирусов [ ]

Начиная с 1990 года проблема вирусов начинает принимать глобальные размах.

В начале года выходит первый полиморфный вирус— Chameleon. Данная технология была быстро взята на вооружение и в сочетании со стелс-технологии (Stealth) и бронированием (Armored) позволила новым вирусам успешно противостоять существующим антивирусным пакетам. Во второй половине 1990-го появились два стелс-вируса— Frodo и Whale. Оба вируса использовали крайне сложные стелс-алгоритмы, а 9-килобайтный «Whale» к тому же применял несколько уровней шифровки и анти-отладочных приёмов.

В Болгарии открывается первая в мире специализированная BBS, с которой каждый желающий может скачать свежий вирус. Начинают открываться конференции Usenet по вопросам написания вирусов. В этом же году выходит «Маленькая чёрная книжка о компьютерных вирусах» Марка Людвига.

На проблему противостояния вирусам были вынуждены обратить внимание крупные компании— выходит Symantec Norton Antivirus.

Начало 1991 года отмечено массовой эпидемией полиморфного загрузочного вируса Tequila. Летом 1991 появился первый link-вирус, который сразу же вызвал эпидемию.

1992 известен, как год появления первых конструкторов вирусов для PC — VCL (для Amiga конструкторы существовали и ранее), а так же готовых полиморфных модулей (MtE, DAME и TPE) и модулей шифрования. Начиная с этого момента, каждый программист мог легко добавить функции шифрования к своему вирусу. Кроме того, в конце 1992 появился первый вирус для Windows 3.1 — WinVer.

В 1993 появляется все больше и больше вирусов, использующих необычные способы заражения файлов, проникновения в систему ит. д. Основными примерами являются: PMBS, работающий в защищённом режиме процессора Intel 80386. «Shadowgard» и «Carbuncle», значительно расширившие диапазон алгоритмов компаньон-вирусов. «Cruncher»— использование принципиально новых приёмов сокрытия своего кода в заражённых файлах.

Выходят новые версии вирусных генераторов, а так же появляются новые (PC-MPC и G2). Счёт известных вирусов уже идёт на тысячи. Антивирусные компании разрабатывают ряд эффективных алгоритмов для борьбы с полиморфными вирусами, однако сталкиваются с проблемой ложных срабатываний.

В начале 1994 года в Великобритании появились два крайне сложных полиморфик-вируса— SMEG.Pathogen и SMEG.Queeg. Автор вирусов помещал заражённые файлы на станции BBS, что явилось причиной настоящей эпидемии и паники в средствах массовой информации. Автор вируса был арестован. В январе 1994 появился Shifter — первый вирус, заражающий объектные модули (OBJ-файлы). Весной 1994 был обнаружено SrcVir, семейство вирусов, заражающих исходные тексты программ (C и Pascal). В июне 1994 года началась эпидемия OneHalf.

Вирусы в различных операционных системах [ ]

Windows [ ]

В феврале BackOrifice были написаны несколько других аналогичных программ: NetBus, Phase и прочие.

Также в августе был отмечен первый вирус, заражающий выполняемые модули Java — Java.StangeBrew. Этот вирус не представлял какой-либо опасности для пользователей Интернет, поскольку на удалённом компьютере невозможно использовать необходимые для его размножения функции. Вслед за ним в ноябре 1998 появился и VBScript.Rabbi. Интернет-экспансия скриптовых вирусов продолжилась тремя вирусами, заражающими скрипты VisualBasic (VBS-файлы), которые активно применяются при написании Web-страниц. Как логическое следствие VBScript-вирусов стало появление полноценного HTML-вируса (HTML.Internal).

1999 год прошёл под знаком гибридного вируса Melissa, побившего все существовавшие на тот момент рекорды по скорости распространения. Melissa сочетал в себе возможности макровируса и сетевого червя, используя для размножения адресную книгу Outlook.

Как и у любой программы, у компьютерных вирусов можно выделить две основные стадии жизненного цикла — хранение и исполнение.

Стадия хранения соответствует периоду, когда вирус просто хранится на диске совместно с объектом, в который он внедрен. На этой стадии вирус является наиболее уязвимым со стороны антивирусного ПО, так как он не активен и не может контролировать работу ОС с целью самозащиты.

Некоторые вирусы на этой стадии используют механизмы защиты своего кода от обнаружения. Наиболее распространенным способом защиты является шифрование большей части тела вируса. Его использование совместно с механизмами мутации кода (об этом идет речь ниже) делает невозможным выделение сигнатур — устойчивых характеристических фрагментов кода вирусов.

Стадия исполнения компьютерных вирусов, как правило, включает пять этапов:

  • 1) загрузка вируса в память;
  • 2) поиск жертвы;
  • 3) заражение найденной жертвы;
  • 4) выполнение деструктивных функций;
  • 5) передача управления программе-носителю вируса.

Рассмотрим эти этапы подробнее [38, 70].

1. Загрузка вируса. Загрузка вируса в память осуществляется ОС одновременно с загрузкой исполняемого объекта, в который вирус внедрен. Например, если пользователь запустил на исполнение программный файл, содержащий вирус, то, очевидно, вирусный код будет загружен в память как часть этого файла. В простейшем случае процесс загрузки вируса представляет собой не что иное, как копирование с диска в оперативную память, сопровождаемое иногда настройкой адресов, после чего происходит передача управления коду тела вируса. Эти действия выполняются ОС, а сам вирус находится в пассивном состоянии. В более сложных ситуациях вирус может после получения управления выполнять дополнительные действия, которые необ-холимы для его функционирования. В связи с этим рассматриваются два аспекта.

Первый аспект связан с максимальным усложнением процедуры обнаружения вирусов. Для обеспечения защиты на стадии хранения некоторые вирусы используют достаточно сложные алгоритмы. К таким усложнениям можно отнести шифрование основного тела вируса. Однако использование только шифрования является полумерой, так как в открытом виде должна храниться та часть вируса, которая обеспечивает расшифрование вируса на стадии загрузки. Для избежания подобной ситуации разработчики вирусов используют механизмы «мутаций» кода расшифровщика. Суть этого метода состоит в том, что при внедрении в объект копии вируса часть ее кода, относящаяся к расшифровщику, модифицируется так, чтобы возникли текстуальные различия с оригиналом, но результаты работы остались неизменными. Обычно применяют следующие приемы модификации кода:

  • • изменение порядка независимых инструкций;
  • • замену некоторых инструкций на эквивалентные по результату работы;
  • • замену используемых в инструкциях регистров на другие;
  • • введение случайным образом зашумляющих инструкций.

Вирусы, использующие подобные механизмы мутации кода,

получили название полиморфных вирусов. При совместном использовании механизмов шифрования и мутации внедряемая копия вируса окажется отличной от оригинала, так как одна ее часть будет изменена, а другая окажется зашифрованной на ключе, сгенерированном специально для этой копии вируса. А это существенно осложняет выявление вируса в вычислительной системе.

Полиморфные вирусы (polymorphic) — это трудно обнаруживаемые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Полиморфизм встречается в вирусах всех типов — файловых, загрузочных и макровирусах.

Дополнительные действия, которые выполняют полиморфные вирусы на этапе загрузки, состоят в расшифровывании основного тела вируса.

При использовании стелс-алгоритмов вирусы могут полностью или частично скрыть себя в системе. Наиболее распространенный стелс-алгоритм осуществляет перехват системных запросов с целью контроля действий ОС. Вирусы, использующие стелс-алгоритмы, называются стелс-вирусами.

Стелс-вирусы (Stealth) способны скрывать свое присутствие в системе и избегать обнаружения антивирусными программами. Эти вирусы могут перехватывать запросы ОС на чтение/запись зараженных файлов, при этом они либо временно лечат эти файлы, либо «подставляют» вместо себя незараженные участки информации, эмулируя «чистоту» зараженных файлов.

В случае макровирусов наиболее популярным способом является запрет вызовов меню просмотра макросов. Одним из первых файловых стелс-вирусов был вирус «Frodo», первым загрузочным стелс-вирусом был вирус «Brain».

Нередко в вирусах используются различные нестандартные приемы с целью глубже спрятаться в ядре ОС, либо защитить от обнаружения свою резидентную копию, либо затруднить лечение от вируса и т. п.

Второй аспект связан с так называемыми резидентными вирусами. Поскольку вирус и объект, в который он внедрен, являются для ОС единым целым, то после загрузки они располагаются, естественно, в едином адресном пространстве. После завершения работы объекта он выгружается из оперативной памяти, при этом одновременно выгружается и вирус, переходя в пассивную стадию хранения. Однако некоторые типы вирусов способны сохраняться в памяти и оставаться активными после окончания работы вирусоносителя. Эти вирусы получили название резидентных.

Резидентные вирусы при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС.

Резидентными можно считать макровирусы, так как для большинства из них выполняются основные требования — постоянное присутствие в памяти компьютера на все время работы зараженного редактора и перехват функций, используемых при работе с документами. При этом роль ОС берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.

Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

Следует отметить, что деление вирусов на резидентные и нерезидентные справедливо в основном для файловых вирусов. Загрузочные вирусы, как и макровирусы, относятся к резидентным вирусам.

2. Поиск жертвы. По способу поиска жертвы вирусы можно разделить два два класса.

К первому классу относятся вирусы, осуществляющие «активный» поиск с использованием функций ОС. Примером являются файловые вирусы, использующие механизм поиска исполняемых файлов в текущем каталоге.

Второй класс составляют вирусы, реализующие «пассивный» механизм поиска, т. е. вирусы, расставляющие «ловушки» дпя программных файлов. Как правило, файловые вирусы устраивают такие ловушки путем перехвата функции Ехес ОС, а макровирусы — с помощью перехвата команд типа Save as из меню File.

3. Заражение жертвы. В простейшем случае заражение представляет собой самокопирование кода вируса в выбранный в качестве жертвы объект. Классификация вирусов на этом этапе связана с анализом особенностей этого копирования и способов модификации заражаемых объектов.

Особенности заражения файловыми вирусами. По способу инфицирования жертвы вирусы можно разделить на два класса.

К первому классу относятся вирусы, которые не внедряют свой код непосредственно в программный файл, а изменяют имя файла и создают новый, содержащий тело вируса.

Второй класс составляют вирусы, внедряющиеся непосредственно в файлы-жертвы. Они характеризуются местом внедрения. Возможны следующие варианты.

Внедрение в начало файла. Этот способ является наиболее удобным для COM-файлов MS-DOS, так как данный формат не предусматривает наличие служебных заголовков. При внедрении этим способом вирусы могут либо производить конкатенацию собственного кода и кода программы-жертвы, либо переписывать начальный фрагмент файла в конец, освобождая место для себя.

Внедрение в конец файла. Это — наиболее распространенный тип внедрения. Передача управления коду вирусов обеспечивается модификацией первых команд программы (СОМ) или заголовка файла (ЕХЕ).

Особенности заражения загрузочными вирусами определяются особенностями объектов, в которые они внедряются, — загрузочными секторами гибких и жестких дисков и главной загрузочной записью (МВЯ) жестких дисков. Основной проблемой является ограниченный размер этих объектов. В связи с этим вирусам необходимо сохранить на диске ту свою часть, которая не уместилась на месте жертвы, а также перенести оригинальный код инфицированного загрузчика. Существуют различные способы решения этой задачи. Ниже приводится классификация, предложенная Е. Касперским [38, 85].

Используются псевдосбойные секторы. Вирус переносит необходимый код в свободные секторы диска и помечает их как сбойные, защищая тем самым себя и загрузчик от перезаписи.

Используются редко применяемые секторы в конце раздела. Вирус переносит необходимый код в эти свободные секторы в конце диска. С точки зрения ОС эти секторы выглядят как свободные.

Используются зарезервированные области разделов. Вирус переносит необходимый код в области диска, зарезервированные под нужды ОС, а потому неиспользуемые.

Короткие вирусы могут уместиться в один сектор загрузчика и полностью взять на себя функции МВЯ или загрузочного сектора.

Особенности заражения макровирусами. Процесс заражения сводится к сохранению вирусного макрокода в выбранном документе-жертве. Для некоторых систем обработки информации это сделать не просто, так как формат файлов документов может не предусматривать возможность сохранения макропрограмм. В качестве примера приведем Microsoft Word 6.0. Сохранение макрокода для этой системы возможно только в файлах шаблонов (имеющих по умолчанию расширение .DOT). Поэтому для своего сохранения вирус должен контролировать обработку команды Save as из меню File, которая вызывается всякий раз, когда происходит первое сохранение документа на диск. Этот контроль необходим, чтобы в момент сохранения изменить тип файла-документа (имеющего по умолчанию расширение .DOC) на тип файла-шаблона. В этом случае на диске окажутся и макрокод вируса, и содержимое документа.

Помимо простого копирования кода вируса в заражаемый объект на этом этапе могут использоваться более сложные алгоритмы, обеспечивающие защиту вируса на стадии хранения. К числу таких вирусов относятся описанные выше полиморфные вирусы.

4. Выполнение деструктивных функций. Вирусы могут выполнять помимо самокопирования деструктивные функции.

По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные [85].

Безвредные вирусы — это вирусы, в которых реализован только механизм самораспространения. Они не наносят вред системе, за исключением расхода свободной памяти на диске в результате своего распространения.

Неопасные вирусы — это вирусы, присутствие которых в системе связано с различными эффектами (звуковыми, видео) и уменьшением свободной памяти на диске, но которые не наносят вред программам и данным.

Опасные вирусы — это вирусы, которые могут привести к серьезным сбоям в работе компьютера. Последствием сбоя может стать разрушение программ и данных.

Очень опасные вирусы — это вирусы, в алгоритм работы которых заведомо заложены процедуры, непосредственно приводящие к разрушениям программ и данных, а также к стиранию информации, записанной в системных областях памяти и необходимой для работы компьютера.

На «степень опасности» вирусов оказывает существенное влияние та среда, под управлением которой вирусы работают.

Так, вирусы, созданные для работы в MS-DOS, обладают практически неограниченными потенциальными возможностями.

Распространение вирусов под управлением Windows NT/2000 ограничивается развитой системой разграничения доступа.

Возможности макровирусов напрямую определяются возможностями макроязыков, на которых они написаны. В частности, язык Word Basic позволяет создать мощные макровирусы, способные доставить пользователям серьезные неприятности.

Дополняя эту классификацию, можно отметить также деление вирусов на вирусы, наносящие вред системе вообще, и вирусы, предназначенные для целенаправленных атак на определенные объекты.

5. Передача управления программе-носителю вируса. Здесь следует указать на деление вирусов на разрушающие и неразрушающие.

Разрушающие вирусы не заботятся о сохранении работоспособности инфицированных программ, поэтому для них этот этап функционирования отсутствует.

Для неразрушающих вирусов этот этап связан с восстановлением в памяти программы в том виде, в котором она должна корректно исполняться, и передачей управления программе-носителю вируса.

Вредоносные программы других типов

Кроме вирусов принято выделять еще несколько видов вредоносных программ. Это троянские программы, логические бомбы, хакерские утилиты скрытого администрирования удаленных компьютеров, программы, ворующие пароли доступа к ресурсам Интернет и прочую конфиденциальную информацию. Четкого разделения между ними не существует: троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы и т. д.

Троянские программы не размножаются и не рассылаются сами. Внешне они выглядят совершенно безобидно и даже предлагают полезные функции. Но когда пользователь загрузит такую программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.

Логической бомбой называется программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в БД появится или исчезнет запись, и т. п. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.

Читайте также: