Компьютерный вирус это специально написанная как правило на языке ассемблера

Обновлено: 30.06.2024

Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере.

До тех пор, пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметным. Однако, по прошествии некоторого времени, в компьютере начинает твориться что-то странное, например:

Некоторые вирусы ведут себя очень коварно. Они вначале незаметно заражают большое число программ и дисков, а затем наносят очень серьезные повреждения, например, форматируют весь жесткий диск на компьютере, естественно после этого восстановить данные бывает просто невозможно. Существуют вирусы, которые ведут себя очень скрытно, и портят понемногу данные на жестком диске или сдвигают таблицу размещения файлов (FAT). К последним относится вирус OneHalf, имеющий множество модификаций.

Таким образом, если не принимать мер по защите от вируса, то последствия заражения могут быть очень серьезными. Например, в начале 1989г. вирусом, написанным американским студентом Моррисом, были заражены и выведены из строя тысячи компьютеров, в том числе принадлежащих министерству обороны США. Автор вируса был приговорен судом к трем месяцам тюрьмы и штрафу в 270 тыс. дол. Наказание могло быть и более строгим, но суд учел, что вирус не портил данные, а только размножался.

См. подробнее в хрестоматии

Для того, чтобы программа-вирус была незаметной, она должна иметь небольшие размеры. По этому вирусы пишут обычно на низкоуровневых языках (на Ассемблере или низкоуровневыми командами языка СИ).

Вирусы пишутся опытными программистами из любопытства, для отместки кому-либо, в коммерческих целях, либо в целях направленного вредительства. Какие бы цели не преследовал автор, вирус может оказаться на вашем компьютере и постарается произвести те же вредные действия, что и у того, для кого он был создан.

Следует заметить, что тексты программ и документов, информационные файлы баз данных, таблицы табличных процессоров и другие аналогичные файлы не могут быть заражены обычным вирусом, он может их только испортить.

Обычным вирусом могут быть заражены следующие виды файлов:

Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполняемые файлы. На втором месте по распространенности стоят загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполняемые файлы.

Вирусы можно делить на классы по разным признакам. Например, по признаку вероломности:

По признаку способов передачи и размножения тоже можно провести разделение.

Вирусы отправляют электронной почтой, как демонстрационные программы или как картинки. Например, если по электронной почте пришел файл «PicturesForYou.jpg», не спешите его смотреть, тем более, что он пришел неизвестно откуда. Если внимательно посмотреть на название, то окажется, что оно имеет еще 42 пробела и действительное расширение.exe. То есть реально полное имя файла будет таким:

Рассмотрим способы маскировок и защит, применяемых вирусами против пользователей и антивирусных программ.

Регенеративные вирусы делят свое тело на несколько частей и сохраняют их в разных местах жесткого диска. Соответственно эти части способна самостоятельно находить друг друга и собираться для регенерации тела вируса. Программа - антивирус обнаруживает и убивает лишь тело вируса, а части этого тела не заложены в антивирусной базе, так как являются измененными. От таких вирусов помогает целенаправленное низкоуровневое форматирование жесткого диска. Предварительно необходимо принять осторожные меры по сохранению информации.

«Хитрые» вирусы прячутся не только от нас, но и от антивирусных программ. Эти «хамелеоны» изменяют сами себя с помощью самых запутанных операций, применяя и текущие данные (время создания файла) и используя чуть ли не половину всего набора команд процессора. В определенный момент они, конечно же, по хитрому алгоритму превращаются в подлый вирус и начинают заниматься нашим компьютером. Это самый трудно обнаруживаемый тип вирусов, но некоторые антивирусные программы, такие как «Dr. Weber», способны с помощью эвристического анализа обнаруживать и обезвреживать подобные вирусы.

Можно много рассуждать о классификации вирусов. Однако стоит знать, что никогда заранее неизвестно каким вирусом будет атакован компьютер. По этой причине надо учитывать все возможные типы вирусов и принимать все возможные меры для профилактики заражения.

10.2. Борьба с компьютерными вирусами

Для защиты от вирусов можно использовать:

  • общие средства защиты информации, которые полезны также как страховка от физической порчи дисков, неправильно работающих программ или ошибочных действий пользователей;
  • профилактические меры, позволяющие уменьшить вероятность заражения вирусом;
  • специализированные программы для защиты от вирусов.

Общие средства защиты информации полезны не только для защиты от вирусов. Имеются две основные разновидности этих средств:

копирование информации — создание копий файлов и системных областей дисков;

разграничение доступа предотвращает несанкционированное использование информации, в частности защиту от изменений программ и данных вирусами, неправильно работающими программами и ошибочными действиями пользователей.

Несмотря на то что общие средства защиты информации очень важны для защиты от вирусов, все же их одних недостаточно. Необходимо применять специализированные программы для защиты от вирусов.

Эти программы можно разделить на несколько видов:

  1. Программы-детекторы позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов.
  2. Программы-доктора , или фаги, «лечат» зараженные программы или диски, «выкусывая» из зараженных программ тело вируса, т. е. восстанавливая программу в том состоянии, в котором она находилась до заражения вирусом.
  3. Программы-ревизоры сначала запоминают сведения о состоянии программ и системных областей дисков, а затем сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю.
  4. Доктора-ревизоры — это гибриды ревизоров и докторов, т. е. программы, которые не только обнаруживают изменения в файлах и системных областях дисков, но и могут автоматически вернуть их в исходное состояние.
  5. Программы-фильтры располагаются резидентно в оперативной памяти компьютера и перехватывают те обращения к операционной системе, которые используются вирусами для размножения и нанесения вреда, и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции.
  6. Программы-вакцины, или иммунизаторы, модифицируют программы и диски таким образом, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает эти программы и диски уже зараженными. Эти программы крайне неэффективны и далее не рассматриваются.

Стратегия защиты от вирусов. Ни один тип антивирусных программ по отдельности не дает, к сожалению, полной защиты от вирусов. Поэтому наилучшей стратегией защиты от вирусов является многоуровневая, «эшелонированная» оборона. Опишем структуру этой обороны.

Средствам разведки в «обороне» от вирусов соответствуют программы-детекторы, позволяющие проверять вновь полученное программное обеспечение на наличие вирусов.

На переднем крае обороны находятся программы-фильтры (резидентные программы для защиты от вируса). Эти программы могут первыми сообщить о вирусной атаке и предотвратить заражение программ и диска.

Второй эшелон обороны составляют программы-ревизоры, программы-доктора и доктора-ревизоры. Ревизоры обнаруживают нападение даже тогда, когда вирус сумел «просочиться» через передний край обороны. Программы-доктора применяются для восстановления зараженной программы, если ее копий нет в архиве. Но они не всегда лечат правильно. Доктора-ревизоры обнаруживают нападение вируса и лечат зараженные файлы, причем контролируют правильность лечения.

Самый глубокий эшелон обороны — это средства разграничения доступа. Они не позволяют вирусам и неверно работающим программам, даже если они проникли в компьютер, испортить важные данные.

И наконец, в «стратегическом резерве» находятся архивные копии информации и «эталонные» дискеты с программными продуктами. Они позволяют восстановить информацию при ее повреждении на жестком диске.

Следует отметить, программа-детектор может обнаруживать только те вирусы, которые ей известны (т. е. занесены в антивирусную базу данных этой программы).


Ниже приведено диалоговое окно антивирусной программы AVP Касперского, антивирусная база данных которой постоянно обновляется. Она отличается удобным и понятным интерфейсом. Программа выполнена для среды Windows, что позволяет ей работать параллельно с другими приложениями.



Некоторые программы, такие как Dr. Weber, могут с помощью эвристического анализа находить модифицированные вирусы. Ниже приведено диалоговое окно антивирусной программы Dr. Weber.

Тем не менее, невозможно разработать такую программу, которая могла бы обнаруживать любой заранее неизвестный вирус. Многие антивирусные программы способны находить зараженные файлы даже внутри архивов.

При заражении компьютера вирусом (или подозрении на это) важно соблюдать четыре правила.

  1. Прежде всего, не надо торопиться и принимать опрометчивых решений. Непродуманные действия могут привести не только к потере части файлов, которые можно было бы восстановить, но и к повторному заражению компьютера.
  2. Тем не менее, одно действие должно быть выполнено немедленно: надо выключить компьютер, чтобы вирус не продолжал свою работу.
  3. Все действия по обнаружению вида заражения и лечению компьютера следует выполнять только после перезагрузки компьютера с защищенной от записи «эталонной» дискеты с операционной системой. При этом следует пользоваться исполняемыми файлами, находящимися только на защищенных от записи «эталонных» дискетах. Несоблюдение этого правила может привести к очень тяжелым последствиям, поскольку при загрузке ОС или запуске программы с зараженного диска в компьютере может быть активирован вирус, а при работающем вирусе лечение компьютера будет бессмысленным, так как оно будет сопровождаться дальнейшим заражением дисков и программ.
  4. Если Вы не обладаете достаточными опытом и знаниями для лечения компьютера, попросите о помощи более опытных коллег или специалистов.

«Лечение» компьютера. Рассмотрим случай когда вирус уже успел «заразить» или испортить какие-то файлы на дисках компьютера. При этом надо выполнить следующие действия.

Опишем меры, которые позволяют уменьшить вероятность заражения компьютера вирусом, а также свести к минимуму ущерб от заражения вирусом, если оно все таки произойдет. Нет необходимости использовать все описываемые средства для профилактики портив заражения вирусом.

Копирование информации и разграничение доступа:

  1. Целесообразно иметь и при необходимости обновлять архивные и эталонные копии используемых пакетов программ и данных. Перед архивацией данных целесообразно проверить их на наличие вируса.
  2. Целесообразно также скопировать на дискеты служебную информацию с используемого диска (FAT, загрузочные сектора) и CMOS (энергонезависимая память компьютера). Копирование и восстановление подобной информации можно выполнить с помощью программы Rescue программного комплекса Norton Utilities.
  3. Следует устанавливать защиту от записи на архивных дискетах.
  4. Не следует заниматься нелицензионным и нелегальным копированием программного обеспечения с других компьютеров: на них может быть вирус.
  5. Все данные, поступающие извне, стоит проверять на вирусы, особенно файлы, скопированные из сети Интернет.
  6. Надо заблаговременно подготовить восстанавливающий пакет на дискетах с защитой от записи.
  7. На время обычной работы, не связанной с восстановлением компьютера, стоит отключить загрузку с дискеты. Это предотвратит заражение загрузочным вирусом.
  8. Используйте программы-фильтры для раннего обнаружения вирусов.
  9. Периодически проверяйте диск программами-детекторами или докторами-детекторами или ревизорами для обнаружения возможных провалов в обороне.
  10. Регулярно обновляйте базу антивирусных программ.
  11. Не допускайте к компьютеру случайных пользователей.

скачать КОМПЬЮТЕРНЫЕ ВИРУСЫ
Считается, что термин "компьютерный вирус" впервые употребил сотрудник Лехайского университета (США) Ф.Коэн в 1984 году на 7-й конференции по безопасности информации, проходившей в США.

Первая «эпидемия» компьютерного вируса произошла в 1986 году, когда вирус по имени Brain («мозг») «заражал» дискеты.

С тех пор прошло немало времени, острота проблемы вирусов нисколько не снизилась, однако строгого определения, что же такое компьютерный вирус, так и не дано.

В настоящее время известно более 50 тысяч вирусов.

Компьютерные вирусы содержат набор кодовых команд, позволяющих им вторгаться (прикрепляясь к другим программам) в информационно-вычислительную систему, размножаться и, будучи необнаруженными в течение длительного времени, распространяться в информационной сети и поражать новые информационно-вычислительные системы. Если не предпринимать мер по защите от компьютерных вирусов, то последствия могут быть очень серьезными. Например, в 1988 г. вирусом, написанным одним американским аспирантом, были выведены из строя 6 тысяч ЭВМ Министерства обороны США. Ущерб составил более 150 тысяч долларов.

Скорей всего, основную массу вирусов создают люди, которые только что изучили язык ассемблера, хотят попробовать свои силы, но не могут найти для них более достойного применения. Из-под пера подобных умельцев часто выходят либо модификации "классических" вирусов, либо вирусы крайне примитивные и с большим числом ошибок ("студенческие").

Самую опасную группу составляют "профессиональные" вирусы. Это очень тщательно продуманные, отлаженные программы.

По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные - в загрузочный сектор диска.

Распространение компьютерного вируса можно обнаружить, в частности, по следующим признакам-следствиям:

- перестала загружаться операционная система;

- изменился характер работы часто используемых программ ("зависание" на старте, переполнение оперативной памяти и др.);

- уменьшился размер доступной оперативной памяти;

- изменились число и/или характеристики файлов (длина, атрибуты, дата и время создания) на магнитных дисках;

- замедлилась работа с магнитными дисками или идет несанкционированное обращение к нему;

- на магнитных дисках появились "плохие" кластеры и др.

По деструктивным возможностям вирусы можно разделить на:

1) безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

2) неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами (осыпающиеся буквы, перевернутый экран, неприличные надписи и т.п.);

3) опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

4) очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и, как гласит одна из компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки винчестера.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков.

Меры по противодействию компьютерным вирусам можно разделить на несколько групп:

- профилактика заражения вирусом и уменьшение предполагаемого ущерба от такого заражения;

- методика использования антивирусных программ, в том числе обезвреживание и удаление известного вируса;

- способы обнаружения и удаления неизвестного вируса.

Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных.

Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источников. Этим значительно снижается вероятность заражения.

Как следствие из первого правила вытекает необходимость хранения дистрибутивных копий программного обеспечения, причем копии желательно

хранить на защищенных от записи дискетах.

Периодически сохраняйте файлы, с которыми ведется работа, на внешний носитель, например дискеты.

Старайтесь не запускать непроверенные файлы, в том числе полученные по компьютерной сети. Желательно использовать только программы, полученные из надежных источников. Перед запуском новых программ обязательно проверьте их одним или несколькими антивирусами. Желательно также, чтобы при работе с новым программным обеспечением в памяти резидентно находился какой-либо антивирусный монитор. Если запускаемая программа заражена вирусом, то такой монитор поможет обнаружить вирус и остановить его распространение.

Как следствие из третьего правила вытекает необходимость в ограничении круга лиц, допущенных к работе на конкретном компьютере. Как правило, наиболее часто подвержены заражению "многопользовательские" персональные компьютеры (например, установленные в компьютерных классах

Пользуйтесь утилитами проверки целостности информации. Такие утилиты сохраняют в специальных базах данных информацию о системных областях дисков и информацию о файлах. Периодически сравнивайте информацию, хранящуюся в подобной базе данных, с реальным содержимым винчестера, так как практически любое несоответствие может служить сигналом о появлении вируса.
МЕТОДИКА ИСПОЛЬЗОВАНИЯ АНТИВИРУСНЫХ ПРОГРАММ.

Рассмотрим некоторые разновидности антивирусных программ.

П р о г р а м м ы - д е т е к т о р ы. Сами по себе детекторы большой ценности не представляют. Их назначение - обнаружить вирус. Бороться с ним придется или другим программам или системным программистам.

П р о г р а м м ы - ф а г и (полифаги).Эти программы умеют не только обнаруживать вирусы, но и обезвреживать их. По мнению многих, лучшим полифагом в России сегодня является знаменитый Aidstest (автор - Д.Н.Лозинский). Он обладает целым рядом достоинств: обнаруживает и успешно обезвреживает большое количество вирусов, надежно контролирует свой собственный код от вирусной атаки, очень быстро работает с дисками.

П р о г р а м м ы - р е в и з о р ы. В чем главный недостаток фагов? В том, что известно хоть и очень большое, но конечное число вирусов. Если машина "подхватила" что-то неизвестное фагу, то он будет бессилен помочь. Хороший ревизор, сохраняет информацию о всех уязвимых с точки зрения вирусов компонентах компьютера. Вирусы не всесильны. Так или иначе они проявляют себя, и дело ревизора отследить подозрительные изменения конфигурации. Программой-ревизором является программа ADinf.

Перед использованием антивирусных программ крайне желательно загрузиться с резервной копии DOS, расположенной на заведомо чистой от вирусов и защищенной от записи дискете. Это необходимо для того, чтобы застраховаться от присутствия резидентного вируса, так как он может блокировать работу антивируса или использовать его работу для инфицирования проверяемых файлов. Перезагрузка компьютера должна быть холодной, так как некоторые вирусы "выживают" при теплой перезагрузке.

Желательно, чтобы антивирусные программы, используемые для проверки, были самых последних версий. Желательно также, чтобы хоть одна из них была отечественного производства, так как процесс эмиграции вируса в другие страны и иммиграции антивирусных программ занимает довольно длительное время. Поэтому, наиболее оперативно на появление нового вируса реагируют только отечественные антивирусные программы.

«Сканеры» используются для периодической проверки компьютера.

«Мониторы» - постоянно находятся в оперативной памяти и обеспечивают проверку файлов в процессе их загрузки в оперативную память.

Если обнаружены зараженные файлы, то следует:

1)распечатать их список;

2)если для этих файлов нет backup-копии, то сохранить их на дискеты;

3)при помощи антивирусной программы восстановить зараженные файлы и затем проверить их работоспособность и соответствие backup-копии (если есть);

4)если восстановление файлов произошло не вполне корректно, то их следует уничтожить и переписать с backup-копий; если же копий нет, то восстановить зараженные файлы с дискет и попытаться дезактивировать их при помощи другого антивируса.
скачать

Распространение компьютерных вирусов приобрело такие масштабы, что практически любому пользователю хоть раз в жизни пришлось столкнуться с вирусом на своем компьютере. Количество известных вирусов исчисляется тысячами (по подсчетам экспертов в настоящее время существует около 3 тысяч вирусов), а хакеры постоянно пишут новые, самоутверждаясь в своих глазах. Надо заметить, что такой способ самоутверждения сильно напоминает привычку писать на заборах, весьма распространенную в определенных кругах. Но это вопрос более этики, чем технологии. Борцы с вирусами идут по пятам их разработчиков. Рынок антивирусных программ в настоящее время выходит на первое место по объему, по крайней мере, по числу продаваемых копий программ. Именно поэтому фирмы стали включать антивирусные средства в комплекты программ или операционных систем.

1. Защита от компьютерных вирусов

а) Что такое компьютерный вирус

Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметно. Однако по прошествии некоторого времени на компьютере начинает твориться что-то странное, например:

работа на компьютере существенно замедляется;

некоторые файлы оказываются испорченными;

некоторые программы перестают работать или начинают работать неправильно;

К этому моменту, как правило, уже достаточно много (или даже большинство) тех программ, которыми Вы пользуетесь, являются зараженными вирусом, а некоторые файлы и диски - испорченными. Более того, зараженные программы с Вашего компьютера могли уже быть перенесены с помощью дискет или по локальной сети на компьютеры Ваших коллег или друзей.

Некоторые разновидности вирусов ведут себя еще более коварно. Они сначала незаметно заражают большое число программ или дисков, а потом причиняют очень серьезные повреждения, например, форматируют жесткий диск на компьютере. А бывают вирусы, которые стараются вести себя как можно более незаметно, но понемногу портят данные на жестком диске компьютера. Таким образом, если не предпринимать мер по защите от вирусов, то последствия заражения компьютера могут быть очень серьезными.

Для того чтобы программа-вирус была незаметной, она должна быть небольшой. Поэтому, как правило, вирусы пишутся на языке ассемблера. Некоторые авторы таких программ создали их из озорства, некоторые - из стремления "насолить" кому-либо (например, уволившей их фирме) или из ненависти ко всему роду человеческому. В любом случае созданная программа-вирус может (потенциально) распространиться на всех компьютерах, совместимых с тем, для которого она была написана, и причинить разрушения. Следует принимать во внимание, что написание вируса - не такая уж сложная задача, вполне доступная изучающему программирование студенту. Поэтому в мире еженедельно появляются все новые и новые вирусы. И многие из них "сделаны" в нашей стране и в других недостаточно цивилизованных странах: Болгарии, Пакистане и т.д.

б) Испорченные и зараженные файлы

Компьютерный вирус может испортить, т.е. изменить ненадлежащим образом, любой файл на имеющихся в компьютере дисках. Но некоторые виды файлов вирус может "заразить". Это означает, что вирус может "внедриться" в эти файлы, т.е. изменить их так, что они будут содержать вирус, который при некоторых обстоятельствах может начать свою работу. Следует заметить, что тексты программ и старых версий документов (так сказать DOS-версии), информационные файлы баз данных, таблицы табличных процессоров (DOS-версии) и другие аналогичные файлы не могут быть заражены вирусом, он может их только испортить.

Вирусом могут быть "заражены" следующие виды файлов:

1) Исполнимые файлы

Исполнимые файлы, т.е. файлы с расширениями имени COM и EXE, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловыми. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те файловые вирусы, которые после своего запуска остаются в памяти резидентно. Эти вирусы могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при перезагрузке с жесткого диска вирус снова начнет свою работу.

2) Загрузчик операционной системы и главная загрузочная запись жесткого диска

Вирусы, поражающие эти области, называются загрузочными, или бутовыми. Такой вирус начинает свою работу при начальной загрузке операционной системы и становится резидентным, т.е. постоянно находится в памяти компьютера. Механизм распространения – заражение загрузочных записей вставляемых в компьютер дискет. Как правило, такие вирусы состоят из двух частей, поскольку загрузочные записи имеют небольшой размер и в них трудно разместить целиком программу вируса. Часть вируса, не помещающаяся в них, располагается в другом участке диска, например в конце корневого каталога диска или в кластере в области данных диска (обычно такой кластер объявляется дефектным, чтобы программа вируса не была затерта при записи данных на диск ).

3) Драйверы устройств:

Драйверы устройств, т.е. файлы, указываемые в предложении DEVICE файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. То же самое относится и к системным файлам DOS (MSDOS.SYS и IO.SYS) - их заражение также теоретически возможно, но для распространения вирусов малоэффективно.

В последнее время с увеличение числа пользователей появились. Вот некоторые из разновидностей этих вирусов:

4.1 Вложенные файлы. Рассмотрим типичную ситуацию: вы получили электронное письмо, во вложении к которому находится документ Microsoft WORD. Конечно, вы захотите поскорее познакомиться с содержанием файла, благо при использовании большинства современных почтовых программ для этого достаточно щелкнуть мышкой на имени этого файла.

Если в файле содержится макрокомадный вирус (а вирусы этого типа, заражающие документы Microsoft WORD, Microsoft EXCEL и ряд других популярных систем документооборота, получили в последнее время огромное распространение), он немедленно заразит вашу систему. Так что же делать с вложенным документом? Потратить несколько лишних секунд: сохранить его на диск, проверить антивирусной программой последней версии и только потом, если вирусов нет, открывать. Есть другие решения. Например, имеются антивирусные программы, осуществляющие автоматическую проверку приходящей электронной почты. Если вы используете программу - сторож, то при открытии зараженного файла обязательно получите предупреждение (точнее, вам просто не дадут открыть зараженный файл). Ведь сторожу совершенно безразлично, напрямую вы открываете документ или "из-под" почтовой программы.

4.2 Троянские программы. Известные троянские программы, распространяющиеся через Интернет, по существу, представляют собой утилиты для удаленного администрирования компьютера. Проще говоря, посредством такой программы злоумышленник может получить доступ к вашему компьютеру и выполнить на нем различные операции (практически любые) без вашего ведома и участия.

Характерным представителем описанного типа является программа BASK ORIFICE (BO). BO является системой удаленного администрирования, позволяющей пользователю контролировать компьютеры при помощи обычной консоли или графической оболочки. "В локальной сети или через Интернет ВО предоставляет пользователю больше возможности на удаленном WINDOWS-компьютере, чем имеет сам пользователь этого компьютера", - это текст из "рекламного" объявления на одной их хакерских web-страниц. Разумеется, возможность удаленного администрирования вашего компьютера представляет серьезную опасность, но не такую большую, как кажется на первый взгляд. Обычные пользователи проводят в Сети не так много времени (качество телефонных линий этому способствует), да и что такого "интересного" с точки зрения хакера, можно сделать на вашем компьютере? Оказывается, можно, только администрировать ничего не надо. Существенный интерес для хакера представляют пароли, которые вы используете для работы с сервером провайдера. Заполучив пароль, хакер может запросто "просадить" все ваши денежки. К счастью, троянцев, умеющих выполнять указанные функции, довольно мало и все они успешно детектируются антивирусными программами.

4.4 Java-вирусы. В настоящее время известны два вируса, написанные на языке JAVA. Опасности они практически не представляют. Кратко поясним, в чем суть: исполняемые модули программ, написанных на JAVA (CLASS-файлы), бывают двух типов: приложения и апплеты. Приложения выполняются под управлением интерпретатора и являются почти обычными программами (почти, ибо имеют все же некоторые ограничения, например, в области работы с памятью). Апплеты, в отличие от приложений, могут выполняться под управлением браузеров, но на них накладываются значительно более серьезные ограничения для обеспечения безопасности: апплеты в частности, не имеют почти никакого доступа к файловой системе компьютера (в отличие от случая со скритами, отключить данное ограничение в браузере невозможно), таким образом, JAVA-вирусы могут быть оформлены только как приложения и для подавляющего большинства пользователей опасности не предоставляют. Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только EXE файлы, некоторые - только COM, а большинство - и те и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко; обычно такие вирусы умеют заражать и исполнимые файлы.

в) Вирусы, меняющие файловую систему

г) "Невидимые" и самомодифицирующиеся вирусы

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Я расскажу о двух из них: "невидимых" (Stealth) и самомодифицирующихся вирусах:

1) "Невидимые" вирусы

Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в загрузочных областях диска можно легко обнаружить. Замечу, что некоторые антивирусные программы могут все же обнаруживать "невидимые" вирусы даже на зараженном компьютере. Такие программы для этого выполняют чтение диска, не пользуясь услугами DOS (например, ADinf).

2) Самомодифицирующиеся вирусы

Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса.

Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами. Однако программы-детекторы все же научились ловить "простые" самомодифицирующиеся вирусы. В этих вирусах вариации механизма расшифровки закодированной части вируса касаются только использования тех или иных регистров компьютера, констант шифрования, добавления "незначащих" команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но в последнее время появились вирусы с чрезвычайно сложными механизмами самомодификации. В них стартовая часть вируса генерируется автоматически по весьма сложным алгоритмам: каждая значащая инструкция расшифровщика передается одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд Intel-8088. Проблема распознавания таких вирусов надежного решения пока не получила.

Что могут и чего не могут компьютерные вирусы

У многих пользователей ЭВМ из-за незнания механизма работы компьютерных вирусов, а также под влиянием различных слухов и некомпетентных публикаций в печати создается своеобразный комплекс боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления:

1. Склонность приписывать любое повреждение данных или необычное явление действию вирусов. Например, если у "вирусофоба" не форматируется дискета, то он объясняет это не дефектами дискеты или дисковода, а действием вирусов. Если на жестком диске появляется сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На самом деле необычные явления на компьютере чаще вызваны ошибками пользователя, программ или дефектами оборудования, чем действием вирусов.

2. Преувеличенные представления о возможностях вирусов. Некоторые пользователи думают, например, что достаточно вставить в дисковод зараженную дискету, чтобы компьютер заразился вирусом. Распространено также мнение, что для компьютеров просто стоящих в одной комнате, заражение одного компьютера обязательно тут же приводит к заражению остальных.

Заражение компьютера вирусом может произойти в одном из следующих случаев:

на компьютере была выполнена зараженная программа типа COM или EXE или зараженный модуль оверлейной программы (типа OVR или OVL);

компьютер загружался с дискеты, содержащей зараженный загрузочный сектор;

на компьютере была установлена зараженная операционная система или зараженный драйвер устройства.

Отсюда следует, что нет никаких оснований бояться заражения компьютера вирусом, если:

на незараженном компьютере производится копирование файлов с одной дискеты на другую. Если компьютер "здоров", то ни он сам, ни копируемые дискеты не будут заражены вирусом. Единственный вариант передачи вируса в этой ситуации - это копирование зараженного файла: при этом его копия, разумеется, тоже будет "заражена", но, ни компьютер, ни какие-то другие файлы заражены не будут;

В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Тем не менее хочу предложить вам одну из классификаций:

  1. По поражаемым объектам(файловые вирусы, загрузочные вирусы, скриптовые вирусы, макровирусы, вирусы, поражающие исходный код);
  2. Файловые вирусы делят по механизму заражения (паразитирующие добавляют себя в исполняемый файл, перезаписывающие невосстановимо портят заражённый файл, «спутники» идут отдельным файлом);
  3. По поражаемым операционным системам и платформам(DOS, Microsoft Windows, Unix, Linux);
  4. По технологиям, используемым вирусом(полиморфные вирусы, стелс-вирусы, руткиты);
  5. По языку, на котором написан вирус(ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);
  6. По дополнительной вредоносной функциональности(бэкдоры, кейлоггеры, шпионы, ботнеты и др.).

* хочу пояснить данную классификацию определениями некоторых неизвестных многим терминов!

Файловый вирускомпьютерный вирус, распространяющийся путем внедрения своего кода в тело исполняемых файлов. При каждом запуске такого заражённого файла сначала выполняется код вируса, и только потом — код самой программы.
Загрузочный вирускомпьютерный вирус, записывающийся в первый сектор гибкого или жесткого диска и выполняющийся при загрузке компьютера.
Скриптовые вирусы - такие виды компьютерных вирусов достаточно просты для написания и распространяются в основном посредством электронной почты. Скриптовые вирусы используют скриптовые языки для работы чтобы добавлять себя к новым созданным скриптам или распространяться через функции операционной сети. Нередко заражение происходит по e-mail или в результате обмена файлами между пользователями. Червь это программа, которая размножается самостоятельно, но которая инфицирует при этом другие программы. Черви при размножении не могут стать частью других программ, что отличает их от обычных видов компьютерных вирусов.
Макровирус — это разновидность компьютерных вирусов, разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.
DOS (дисковая операционная система, ДОС) — семейство операционных систем для персональных компьютеров, ориентированных на использование дисковых накопителей, таких как жёсткий диск и дискета.
Microsoft Windows — семейство проприетарных операционных систем корпорации Microsoft, ориентированных на применении графического интерфейса при управлении. Изначально Windows была всего лишь графической надстройкой для MS-DOS.
UNIX — семейство переносимых, многозадачных и многопользовательских операционных систем.
Полиморфизм компьютерного вируса — форма, внешний вид) — специальная техника, используемая авторами вредоносного программного обеспечения для снижения уровня детектирования вредоносной программы классическими антивирусными продуктами.
Стелс-вирус — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к операционной системе, осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)

Руткит — набор программных средств (например, исполняемых файлов, скриптов, конфигурационных файлов), для обеспечения:

  • маскировки объектов (процессов, файлов, директорий, драйверов)
  • контроля (событий происходящих в системе)
  • сбора данных (параметров системы)

Язык ассемблера — машинно-ориентированный язык низкого уровня с командами, обычно соответствующими командам машины, который может обеспечить дополнительные возможности вроде макрокоманд; автокод, расширенный конструкциями языков программирования высокого уровня, такими как выражения, макрокоманды, средства обеспечения модульности программ.
Высокоуровневый язык программирования — язык программирования, разработанный для быстроты и удобства использования программистом. Основная черта высокоуровневых языков — это абстракция, то есть введение смысловых конструкций, кратко описывающих такие структуры данных и операции над ними, описания которых на машинном коде (или другом низкоуровневом языке программирования) очень длинны и сложны для понимания.
Сценарный язык — высокоуровневый язык программирования для написания сценариев — кратких описаний действий, выполняемых системой. Разница между программами и сценариями довольно размыта. Сценарий — это программа, имеющая дело с готовыми программными компонентами.
Бэкдор — программы, которые устанавливает взломщик на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе.
Кейлогер— это программное обеспечение или аппаратное устройство, регистрирующее различные действия пользователя - нажатия клавиш на клавиатуре компьютера, движения и нажатия клавиш мыши и т.д.
Spyware (шпионское программное обеспечение) — программа, которая скрытным образом устанавливается на компьютер с целью сбора информации о конфигурации компьютера, пользователе, пользовательской активности без согласия последнего. Также могут производить другие действия: изменение настроек, установка программ без ведома пользователя, перенаправление действий пользователя.
Ботнет — это компьютерная сеть, состоящая из некоторого количества хостов, с запущенными ботами — автономным программным обеспечением. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов заражённого компьютера. Обычно используются для нелегальной или не одобряемой деятельности — рассылки спама, перебора паролей на удалённой системе, атак на отказ в обслуживании.

Вирус ничем не отличается от любой другой программы.
Он просто запускается, выполняется, завершается.
Суть вируса - в его действиях а не принципе работы, а суть действия - постараться скопировать себя куда-нибудь еще, без ведома пользователя, то есть размножаться.

Поэтому, обычно он запускается, возможно пытается определить систему, возможно проверяет заражена ли уже система, затем пытается ее заразить - скопировать сам себя куда-нибудь в скрытое место и добавить себя в автозапуск под видом программы, сервиса, драйвера или части ядра (смотря насколько крут автор).
Затем вирус может выполнять какие-либо дополнительные действия - требовать денег, портить информацию, обращаться в интернет за дополнительными инструкциями или не делать ничего.

А на чем вирус написан - уже не важно. Внедрение внутрь файла сейчас почти не распространено.

Rou1997

Добавлю от себя.

Сейчас вирусы на ассемблере пишут редко, и этому есть две причины.
1. Сложная полезная вредная нагрузка: загрузка чего-то через Интернет, сетевые эксплойты, дистанционное управление.
2. Сложный формат PE, крайне редкий обмен софтом, цифровые подписи на критических файлах и UAC. Потому встраиваться в файлы тяжело и малопродуктивно. UPD — существует немало «вирусов-спутников», но цифровые подписи на критических файлах и UAC не пробить и им.

UPD2. Я не писал вируса, но как бы я его заставил работать?

Прошёлся бы по дискам. Создал бы скрытую папку с микрософтоподобным именем и потихонечку бы шифровал в неё файлы. Вдруг в момент Икс я переименовываю исходные файлы в ту самую папку, затираю пару килобайт начала, переименовываю скрытые на их место и вывожу: ваш компутер зашифрован! Если человек мешкает — затираю остатки файлов, а потом и удаляю их.

Остаётся придумать, как этот вирус протащить на компьютер жертвы и как прикинуться легитимной программой. Простейший вариант, по-моему — прикинуться сайтом программ, в каждую поместить вирус и сделать активное SEO. Что будет, когда попадусь — не знаю. А прикинуться программой — придумаю какую-нибудь службу-технотуфту от Microsoft. Хотя настоящие вирусописатели покупают на чёрном рынке эксплойты, я с этим делом не знаком.

Читайте также: