Зміст
Введення
1. Сутність прояви комп'ютерних вірусів
2. Характеристика шляхів проникнення вірусів в комп'ютери
3. Стандартні методи зараження
4. Сценарії поширення вірусів
5. Сценарії нанесення шкоди вірусами
6. Структура сучасних вірусних програм
6.1 Структура файлового нерезидентного вірусу
6.2 Структура файлового резидентного вірусу
6.3 Структура бутового вірусу
7. Як працює вірус
8. Поняття стелс-алгоритмів
Список використаної літератури
Введення
Існує два варіанти атак комп'ютерної системи: зсередини і зовні. Слід сказати, що останнім часом, з поширенням Інтернету та локальних мереж, все більшу загрозу для комп'ютерів представляють саме зовнішні атаки. Комп'ютер, підключений до мережі, може бути атакований з цієї мережі з віддаленого комп'ютера. Майже у всіх випадках така атака складається з передачі по мережі на атакується машину деякої програми, при виконанні якої атакується машині наноситься збиток. У міру того як кількість підключених до Інтернету комп'ютерів продовжує збільшуватися, небезпека подібних атак також зростає.
Останнім часом повідомлення про атаку комп'ютерів яким-небудь вірусом йди хробаком з'являються в газетах майже кожен день. Віруси та хробаки головну проблему безпеки для окремих користувачів і компаній. Підступність вірусів не знає кордонів, а шкода, яку вони можуть принести в великій комп'ютерній системі, вражає уяву. Не дарма в багатьох країнах створення та розповсюдження вірусів переслідується за законом як кримінальний злочин. Уявіть собі, які можуть бути наслідки втрати інформації у великому банку, медичному закладі або порушення роботи військової комп'ютерної системи. А між тим подібні випадки вже виникали в ряді країн.
Важлива властивість комп'ютерних вірусів - здатність "розмножуватися", безконтрольно поширюючи в комп'ютерному середовищі. Переносники комп'ютерних вірусів - це дискети, локальні і глобальні мережі, а останнім часом і компакт-диски, особливо з неліцензійним програмним забезпеченням. Вірусна епідемія може за лічені дні або години охопити великий обчислювальний центр (а то й кілька центрів), повністю паралізувавши його роботу. При цьому витрати можуть обчислюватися мільйонами і десятками мільйонів доларів.
У даній роботі ми докладно зупинимося на питаннях, пов'язаних з проявом, функціонуванням та наслідками роботи комп'ютерних вірусів.
1. Сутність прояви комп'ютерних вірусів
Масове застосування персональних комп'ютерів, на жаль, виявилося пов'язаним з появою самовідтворюються програм-вірусів, що перешкоджають нормальній роботі комп'ютера, руйнують файлову структуру дисків і завдають шкоди зберiгається в комп'ютері інформації. Проникнувши в один комп'ютер, комп'ютерний вірус здатний поширитися на інші комп'ютери.
Комп'ютерним вірусом називається спеціально написана програма, здатна спонтанно приєднуватися до інших програм, створювати свої копії та впроваджувати їх у файли, системні області комп'ютера та в обчислювальні мережі з метою порушення роботи програм, псування файлів і каталогів, створення всіляких перешкод у роботі на комп'ютері.
Причини появи і поширення комп'ютерних вірусів, з одного боку, ховаються в психології людської особистості та її тіньових сторонах (заздрості, помсти, марнославстві невизнаних творців, неможливості конструктивно застосувати свої здібності), з іншого боку, обумовлені відсутністю апаратних засобів захисту і протидії з боку операційної системи персонального комп'ютера.
Основними шляхами проникнення вірусів у комп'ютер є знімні диски (гнучкі й лазерні), а також комп'ютерні мережі. Зараження жорсткого диска вірусами може відбутися при завантаженні комп'ютера з дискети, що містить вірус. Таке зараження може бути випадковим, наприклад, якщо дискету не вийняли з дисководу А: і перезавантажили комп'ютер, при цьому дискета може і не бути системною. Заразити дискету набагато простіше. На неї вірус може потрапити, навіть якщо дискету просто вставили в дисковод зараженого комп'ютера і, наприклад, прочитали її зміст.
Заражений диск - це диск, в завантажувальному секторі якого знаходиться програма - вірус.
Після запуску програми, що містить вірус, стає можливим зараження інших файлів. Найчастіше вірусом заражаються завантажувальний сектор диска і виконувані файли, що мають розширення ЕХЕ, СОМ, SYS або ВАТ. Вкрай рідко заражаються текстові та графічні файли.
Заражена програма - це програма, що містить впроваджену в неї програму-вірус.
Після зараження програми вірус може виконати якусь диверсію, не дуже серйозну, щоб не привернути уваги. І нарешті, не забуває повернути управління тій програмі, з якої було запущено. Кожне виконання зараженої програми переносить вірус у наступну. Таким чином, заразиться все програмне забезпечення.
Незважаючи на прийняті в багатьох країнах закони про боротьбу з комп'ютерними злочинами і розробку спеціальних програмних засобів захисту від вірусів, кількість нових програмних вірусів постійно росте. Це вимагає від користувача персонального комп'ютера знань про природу вірусів, способи зараження вірусами і захисту від них.
При зараженні комп'ютера вірусом дуже важливо своєчасно його виявити. Для цього слід знати про основні ознаки прояву вірусів. До них можна віднести наступні:
припинення роботи або неправильна робота раніше успішно функціонуючих програм;
повільна робота комп'ютера;
неможливість завантаження операційної системи;
зникнення файлів і каталогів або перекручування їхнього вмісту;
зміна дати і часу модифікації файлів;
зміна розмірів файлів;
несподіване значне збільшення кількості файлів на диску;
істотне зменшення розміру вільної оперативної пам'яті;
вивід на екран непередбачених повідомлень або зображень;
подача непередбачених звукових сигналів;
часті зависання і збої в роботі комп'ютера.
Слід зауважити, що перераховані вище явища необов'язково викликаються присутністю вірусу, а можуть бути наслідком інших причин. Тому завжди утруднена правильна діагностика стану комп'ютера.
2. Характеристика шляхів проникнення вірусів в комп'ютери
Як віруси потрапляють в комп'ютер? Ви обов'язково повинні усвідомити собі це питання, щоб по можливості перекрити всі можливі канали надходження нових вірусів.
На щастя, вірус не може просто так з'явитися на комп'ютері (якщо, звичайно, ви самі не розробляєте його). Коли незаражений комп'ютер повністю ізольований від зовнішнього світу - від нього відключені дисководи, він не підключений до локальної мережі і в ньому не встановлений модем, вірус не може потрапити в такий комп'ютер.
Комп'ютерний вірус не з'явиться від того, що ви залишили на ніч відкритою кватирку і влаштували протяг. Дощ і сніг за вікном також не можуть служити джерелом виникнення комп'ютерного вірусу.
Щоб вірус проник на комп'ютер, необхідно, щоб останній виконав заражену програму або завантажився з зараженої дискети. Найбільш часто віруси потрапляють у комп'ютер разом з піратським програмним забезпеченням, програмами Freeware і Shareware.
Ось основні шляхи, по яких віруси проникають в комп'ютер:
отримання програм з електронної дошки оголошень і через глобальні мережі;
обмін дискетами та програмами;
проникнення вірусу з локальної мережі
Ми не можемо зараз передбачити всі можливі шляхи проникнення вірусів у комп'ютер. Так, наприклад, зовсім недавно з'явився новий вид вірусів, що поширюються через файли документів текстового процесора Microsoft Word for Windows. Після цього навіть раніше здавалася абсолютно безпечним копіювання документів несе в собі небезпеку зараження.
Використання піратського програмного забезпечення
Незаконне використання програмного забезпечення, при якому воно багаторазово копіюється багатьма людьми, легко дозволяє вірусам розповсюджуватися від комп'ютера до комп'ютера. У нашій країні, та й в усьому світі, піратське копіювання програм широко поширене.
Швидше за все віруси поширюються, заражаючи виконувані файли комп'ютерних ігор. Мало хто може утриматися, щоб не скопіювати у хорошого знайомого нову версію популярної гри, просто переписавши на свої дискети всі її файли. Потім хто-небудь перепише гру у вас і так далі і так далі ... Якщо на одному з комп'ютерів цього ланцюжка знаходиться вірус, і він заразить виконувані файли гри, то всі інші любителі розваг також отримають вірус.
Тільки у випадку законного використання програм ви можете бути спокійні за те, що не отримаєте вірус або троянську програму. У крайньому разі, у вас буде кому висунути претензії.
Тим не менш, відомі випадки, коли навіть фірмове програмне забезпечення містило в собі вірус, тому ви завжди повинні уважно ставитися до проблеми антивірусного захисту комп'ютера.
Широке використання програм Freeware і Shareware
Крім фірмового програмного забезпечення існують так звані безкоштовні (Freeware) і умовно безкоштовні (Shareware) програми. Ви можете вільно копіювати і використовувати таке програмне забезпечення. Програми Shareware відрізняються від Freeware тим, що якщо ви використовуєте їх довше визначеного терміну і вони вам сподобалися, ви повинні відправити їх творцеві невелику кількість грошей, зазвичай від п'яти до двадцяти американських доларів.
Як Shareware поширюються програми архіватори, наприклад архіватор ARJ, різні графічні пакети і інші дрібні корисні програми.
Для того щоб файловий вірус проник у комп'ютер, досить запустити заражену програму з дискети або з мережевого диска
Незважаючи на свою привабливість, програмне забезпечення Freeware і Shareware може послужити для проникнення вірусів. Це відбувається внаслідок того, що програми Freeware і Shareware надходять кінцевому користувачеві через довгий ланцюжок копіювань. Існує ймовірність, що під час такого копіювання програма може бути заражена вірусом.
Тому слід по можливості уникати безкоштовних і умовно безкоштовних програм. Особливо це стосується тих випадків, коли комп'ютер використовується для виконання відповідальних завдань.
Електронна дошка оголошень і глобальні мережі
За останні кілька років широке поширення одержали так звані електронні дошки оголошень (Bulletin Board System - BBS). BBS - це комп'ютер, обладнаний одним або декількома модемами, на якому виконується спеціальна поштова програма. Ця програма дозволяє користувачам віддалених комп'ютерів зв'язуватися з BBS по телефонних лініях і виконувати обмін повідомленнями і файлами.
Кожен володар модему може зателефонувати на BBS зі свого комп'ютера, записати на неї або вважати себе будь-які файли. Таким чином, на BBS може потрапити програма, заражена вірусом, троянська програма або програма-черв'як.
Правила користування різними BBS можуть значно відрізнятися один від одного. Для деяких BBS заборонений запис нових файлів. Користувач може тільки завантажити файли з BBS і обмінюватися текстовими повідомленнями. На інших BBS, навпаки, заохочується запис користувачами нових файлів. Від обсягу записаних користувачем файлів залежить, який обсяг файлів користувач може отримати для себе.
Незважаючи на те, що всі знову завантажені файли повинні, по ідеї, перевірятися системним оператором BBS на віруси, іноді вони цього можуть не робити. Навіть якщо перевірка здійснюється, нові віруси, не відомі антивірусним програмам, використовуваним системним оператором BBS, можуть залишитися непоміченими. У випадку, коли на BBS завантажена троянська програма, перевірка антивірусними програмами швидше за все нічого не дасть.
Багато авторів вірусів спеціально записують на BBS заражені програми, щоб ініціювати такий спосіб поширення свого дітища. Проте зовсім не обов'язково, що заражена програма записана на BBS спеціально. Можливо той, хто її записав, сам не знав про наявність вірусу.
Інші користувачі, які перепишуть з BBS на диски свого комп'ютера заражену програму, отримають разом з нею вірус.
Слід пам'ятати, що не тільки виконувані файли можуть бути заражені вірусами. Навіть текстовий файл у форматі Microsoft Word for Windows може містити в собі вірус.
Будь-який файл, що містить в собі здійснимі інструкції, будь то команди центрального процесора або програми, написані мовою макрокоманд, можуть містити вірус
Якщо вам все ж таки доводиться використовувати у своїй роботі програми, отримані з BBS, необхідно в обов'язковому порядку перевіряти їх на наявність вірусів.
Обмін дискетами
Ваш комп'ютер наражається на небезпеку зараження вірусами не тільки коли ви записуєте собі виконувані файли і файли документів, що містять дії.
Завантажувальні віруси можуть проникнути в комп'ютер, коли він завантажується з зараженої дискети. Підкреслимо, що заражена дискета не обов'язково повинна бути системною, тобто містити файли операційної системи. Завантажувальний вірус може бути на будь-дискеті.
Зазвичай це відбувається, коли ви випадково залишаєте дискету в дисководі, а потім перезавантажуєте комп'ютер. Під час первинного завантаження комп'ютер зчитує завантажувальний запис з дискети і передає їй управління. Якщо дискета заражена, вірус одразу отримує управління і заражає жорсткий диск комп'ютера. Тепер навіть після виключення живлення комп'ютера і завантаження його з жорсткого диска вірус буде активізований.
Файлові віруси одержують керування при запуску зараженого файлу. Можливо, що, працюючи на комп'ютері, ви не запустите жодного зараженого файлу і вірус так і не отримає управління. Завантажувальний вірус виконується кожного разу, коли ви завантажуєте комп'ютер.
Сама по собі заражена завантажувальним вірусом дискета не становить безпосередньої небезпеки. Ви можете вставити її в комп'ютер, скопіювати з неї будь-які файли або записати нові файли з жорсткого диска комп'ютера. Вірус при цьому не зможе заразити комп'ютер. Тільки завантаження з дискети дозволяє вірусу активізуватися.
Базова система введення / виведення (B asic I nput O utput S ystem - BIOS) більшості сучасних комп'ютерів дозволяє встановити порядок завантаження операційної системи. Якщо ви вкажете, що операційна система повинна завантажуватися спочатку (або тільки) з жорсткого диска, завантажувальний вірус не проникне до вас з зараженої дискети, навіть якщо ви випадково залишите її в дисководі. Щоб встановити порядок завантаження операційної системи, треба запустити програму BIOS Setup, а потім керуватися описом системної плати комп'ютера.
Однак ми не радимо вам спеціально експериментувати із зараженими дискетами і копіювати з них виконувані файли. Багато файлово-завантажувальні віруси можуть також поширюватися, заражаючи звичайні виконувані файли. Такий вірус може заразити завантажувальні сектори жорсткого диска при запуску звичайної програми.
Відомі випадки, коли завантажувальний вірус був виявлений на відформатованих дискетах, тільки що куплених у магазині. Вірус потрапив на них ще на заводі, під час форматування нових дискет.
Віруси на компакт-дисках
В даний час все більшого поширення набувають пристрої читання компакт-дисків. Ці пристрої дозволяють читати спеціальні диски, обсяг яких становить більше 600 Мбайт. Постійне зниження ціни на пристрої читання компакт-дисків і їх вдосконалення дозволяють припустити, що незабаром всі комп'ютери будуть оснащені таким пристроєм.
На жаль, записати інформацію на компакт-диск значно складніше, ніж прочитати. Існує дві технології їх виготовлення. Принципова відмінність між ними полягає в кількості дисків, які можна виготовити за певний час. Жодна з цих технологій не дозволяє стирати вже записані дані і записувати на їх місце інші.
Перша технологія передбачає наявність складного технологічного обладнання. Заготовки для таких дисків виготовляються на основі алюмінію і мають украй низьку вартість, але запис на них інформації окупається тільки при великих тиражах. Тому на алюмінієвих дисках зазвичай випускають дистрибутиви сучасного програмного забезпечення, складні ігри, енциклопедії, тобто все, що знаходить широкий попит.
Друга технологія дозволяє виготовляти одиничні екземпляри компакт-дисків, але пристрої для їх запису значно дешевше і підключаються до комп'ютера як дисковод. Самі ж заготовки дисків виконуються з напиленням золота і коштують дорожче алюмінієвих.
Файли, записані на компакт-дисках, можуть бути заражені вірусами. Але на відміну від жорстких дисків та дискет, це може статися тільки якщо файл був заражений і записаний на компакт-диск вже зараженим. Подальше використання компакт-диска не викличе його зараження ні в якому випадку, навіть якщо комп'ютер, на якому ви працюєте, забитий вірусами до відмови. Секрет простий - звичайні пристрої читання компакт-дисків фізично не можуть записувати дані на диск, і призначені лише для читання.
Тим не менше вірус може знаходитися на компакт-диску. Це відбувається в тому випадку, коли фірма, яка підготувала компакт-диск до випуску, не подбала про антивірусної безпеки і вірус уразив файл перед записом його на диск.
Особливо уважно слід звертатися з піратськими (не ліцензійними) компакт-дисками, випущеними підпільно. Ніхто не дасть вам гарантію, що на них немає вірусів.
Більшість антивірусних програм дозволяють перевірити компакт-диск на віруси. Слід тільки мати на увазі, що якщо вірус виявлений, вилікувати такий файл безпосередньо на компакт-диску неможливо. В якості одного з варіантів ви можете скопіювати заражений файл до себе на жорсткий диск і відразу вилікувати його за допомогою антивірусної програми. Користуватися можна тільки цим вилікуваним файлом.
Проникнення вірусу з локальної мережі
Широкі можливості обміну даними, які надають локальні мережі, дозволяють вірусам розповсюджуватися з величезною швидкістю. Ми присвятили локальним мережам окремий розділ. А зараз відзначимо лише, що вірус може проникнути на комп'ютер, підключений до локальної мережі, коли користувач копіює собі файли з мережі або просто запускає програми із мережевих каталогів.
3. Стандартні методи зараження
Ця інформація не є "секретної", знайти її легко в численних статтях і книжках, присвячених не тільки вірусам, але і захист даних від несанкціонованого копіювання (НСК).
Взагалі кажучи, зараження всіх програм можливо по-різному.
Код вірусу приписується до кінця файлу заражають програми, і тим або іншим способом здійснюється перехід обчислювального процесу на команди цього фрагмента.
Метод відтискування
Код вірусу розташовується на початку зараженої програми, а тіло самої програми приписується до кінця.
Метод витіснення
З початку (чи середини) файлу "вилучається" фрагмент, рівний за обсягом кодом вірусу, приписується до кінця. Сам вірус записується в місце, що звільнилося.
Різновид методу витіснення - коли оригінальне початок не зберігається взагалі. Такі програми є "убитими на смерть" і не можуть бути відновлені ніяким антивірусом.
Інші методи
Ну і всяка екзотика, типу збереження витісненого фрагмента програми в "кластерному хвості" файлу і пр.
"Стандартні" методи зараження
Є. Касперський виділяє наступні способи і називає їх "стандартними".
Випадок COM-програми
Тіло вірусу приписується до кінця файлу, десь усередині його зберігаються кілька (зазвичай, три) байтів оригінальному початку програми, на їх місце записуються команди переходу на початок вірусу. Коли вірус закінчує виконання передбачених ним дій, він відновлює оригінальні байти початку програми (за адресою CS: 100 h) і передає туди управління.
Випадок EXE-програм
Тіло вірусу приписується до кінця файлу, в заголовку його модифікуються значення полів, що визначають місце розташування точки входу і розміру програми (іноді ще - місця розташування стека). У результаті управління отримує вірусний код. Після закінчення роботи вірус, використовуючи збережені при зараженні значення змінених полів, здійснює перехід на оригінальне початок програми.
4. Сценарії поширення вірусів
Існує кілька сценаріїв розповсюдження вірусів. Почнемо наше обговорення даної теми з класичного варіанту. Коли вірус створений, він поміщається в будь-яку програму (як правило, чужу, хоча буває, що автор вірусу заражає їм свою програму), після чого заражена програма поширюється, наприклад, міститься на web-сайті безкоштовних або оплачуваних після скачування програм. Цю програму хто-небудь викачує і запускає. Далі може бути кілька варіантів. По-перше, вірус може заразити кілька файлів на жорсткому диску в надії, що жертва вирішить поділитися цими файлами зі своїми друзями. Він також може спробувати заразити завантажувальний сектор жорсткого ризику. Як тільки завантажувальний сектор інфікований, вірус зможе запускатися в резидентном режимі під час кожної наступної завантаженні комп'ютера.
Крім цього, вірус може перевірити наявність гнучких дисків в дисководах і спробувати заразити їх завантажувальні сектори. Гнучкі диски представляють собою зручну мішень, так як вони переміщуються з машини на машину набагато частіше, ніж жорсткі диски. Якщо завантажувальний сектор гнучкого диска інфікований і такий диск використовується для завантаження іншого комп'ютера, вірус може заразити файли і завантажувальний сектор жорсткого диска цього комп'ютера. У минулому, коли гнучкі диски представляли собою основний засіб перенесення програм, цей механізм був основним шляхом поширення вірусів.
Сьогодні для поширення вірусів є інші можливості. Вірус може перевіряти, чи підключена машина, на якій він працює, до локальної мережі, імовірність чого дуже висока для комп'ютерів університету або компанії. Потім вірус може почати заражати незахищені файли на серверах цієї локальної мережі. На захищені файли ця інфекція поширитися не зможе, але часто віруси використовують спеціальний трюк, що полягає в тому, що навмисно викликають дивну поведінку заражених ними програм. Розрахунок робиться на те, що користувач, спантеличений ненормальною поведінкою програми, звернеться по допомогу до системного адміністратора. Системний адміністратор спробує сам запустити дивно провідну себе програму, щоб подивитися, що трапилося, Якщо адміністратор виконає це, володіючи повноваженнями root, то вірус, що міститься в програмі, отримає можливість заразити системні двійкові файли, драйвери пристроїв, операційну систему і завантажувальні сектори. Для цього потрібно всього лише одна помилка системного адміністратора, в результаті якої зараженими можуть виявитися всі машини локальної мережі.
Часто комп'ютери в локальній мережі мають повноваження реєструватися по Інтернету на віддалених машинах або навіть виконувати віддалено команди без реєстрації. У даному випадку віруси отримують ще більше можливостей для розповсюдження. Таким чином, одна помилка системного адміністратора може призвести до інфікування комп'ютерів всієї компанії. У більшості компаній системним адміністраторам забороняється помилятися.
Ще один спосіб поширення вірусів полягає в публікації зараженої програми в одній з конференцій USENET або на BBS. Крім того, автор вірусу може створити web-сторінку, для перегляду якої потрібен спеціальний плагін (plug - in, змінний програмний модуль), і відразу запропонувати завантажити цей плагін, який буде заражений вірусом.
Останнім часом все більшого поширення набувають віруси, що розповсюджується разом з документами (наприклад, редактора Word). Ці документи розсилаються по електронній пошті або публікуються у конференціях USENET, BBS і на web-сторінках Інтернету, як правило, у вигляді файлових доповнень до листа. Навіть люди, яким в голову не приходить запускати програму, надіслану їм незнайомою людиною, можуть не розуміти, що, відкриваючи додаток клацанням миші, вони можуть впустити вірус у свою машину. Потім вірус може заглянути в адресну книгу користувача і розіслати самого себе за всіма адресами з цієї книги. У рядку Subject при цьому, як правило, вірус вказує щось цікаве і правдоподібне, наприклад:
Subject: Зміни планів
Subject: Re: то останній лист
Subject: Собака померла минулої ночі
Subject: Я серйозно хворий
Subject: Я тебе люблю
Коли такий лист приходить, одержувач бачить, що відправник листа - його друг або колега по роботі, і ні про що не підозрює. Коли лист відкритий, вже занадто пізно. Вірус "I LOVE YOU ", поширений по всьому світі в червні 2000 року, діяв саме цим способом і завдав збитків на кілька мільярдів доларів.
Крім самих вірусів, також поширюється технологія їх виготовлення. Існують групи письменників вірусів, активно обмінюються інформацією по Інтернету і допомагають один одному в розробці нових технологій, інструментів і вірусів. Для більшості з них створення вірусів являє собою скоріше хобі, ніж професійну кримінальну діяльність, але ефект від їх дій від цього не стає менш руйнівним. Ще одну групу письменників вірусів представляють військові, що розглядають віруси як військову зброю, здатне вивести з ладу комп'ютерні системи противника.
З поширенням вірусів пов'язана проблема уникнення виявлення. Тюрми славляться поганим комп'ютерним оснащенням, тому автори вірусів воліють уникати цих місць. Опублікування вірусу в мережі зі свого домашнього комп'ютера означає серйозний ризик. Коли вірус буде, врешті-решт, виявлений, поліція зможе простежити шлях його появи в мережі, знайшовши з тимчасового штампу саме перше повідомлення, що містить вірус, а з цього повідомлення можна знайти і його відправника.
Щоб мінімізувати ризик, автор вірусу може відправити повідомлення з будь-якого Інтернет-кафе в іншому місті. Він може принести вірус з собою на дискеті і вважати його самостійно або, якщо машини в Інтернет-кафе не обладнані пристроями читання гнучких дисків, попросити милу дівчину за стійкою вважати для нього файл book. Doc, щоб він міг його роздрукувати. Отримавши його на свій жорсткий диск, зловмисник змінює розширення файлу в. Ехе і запускає його, заражаючи тим самим всю локальну мережу вірусом, який спрацьовує не відразу, а через два тижні (на той випадок, якщо поліція вирішить перевірити списки всіх авіапасажирів, які відвідали цей місто за останній тиждень). Замість гнучкого ризику можна використовувати віддалений FTP-сайт або принести з собою лептоп g підключити його до Ethernet або USB-порту. Подібна послуга часто надається в Інтернет-кафе, щоб туристи з лептопами могли отримувати свою електронну пошту кожен день.
5. Сценарії нанесення шкоди вірусами
Оскільки вірус - це програма, він може робити те, що може програма. Ha приклад, він може виводити на екран повідомлення або зображення, відтворювати звуки або виконувати інші нешкідливі дії. На жаль, він також може видаляти, змінювати, знищувати або красти файли (передаючи їх кому-небудь по електронній пошті). Шантаж теж можливий. Уявіть собі вірус, який зашифрував всі файли на жорсткому диску жертви, після чого вивів таке повідомлення:
ПРИВІТ ВІД КОМПАНІЇ GENERAL ENCRYPTION!
ДЛЯ ПРИДБАННЯ КЛЮЧА дешифрування До ВАШОМУ Жорсткі диски, БУДЬ ЛАСКА,
ВИЙШЛИ $ 100 В ДРІБНИХ Немарковані купюр на А / Я 2154, ПАНАМА-СІТІ,
ПАНАМА. СПАСИБІ. МИ РАДИ СПІВПРАЦЮВАТИ З ВАМИ.
Крім того, вірус може зробити неможливим використання комп'ютера під час своєї роботи. Така атака називається атакою відмови в обслуговуванні. Зазвичай для цього вірус поїдає ресурси комп'ютера, наприклад процесорний час, (чи заповнює жорсткий диск всяким сміттям.
Ця програма створює процеси, поки не переповниться таблиця процесів, після чого жоден новий процес не зможе запуститися. Тепер уявіть собі вірус, заразив в системі цим кодом кожну програму. Для захисту від подібної атаки в багатьох сучасних системах UNIX кількість дочірніх процесів обмежена.
Що ще гірше, вірус може пошкодити апаратне забезпечення комп'ютера. Багато сучасних комп'ютерів містять підсистему введення-виведення BIOS у флеш-ПЗУ, вміст якого може програмно змінюватися (щоб простіше було оновлювати BIOS). Вірус може записати в BIOS випадкове сміття, після чого комп'ютер перестане завантажуватися. Якщо флеш-ПЗУ вставлено в ліжечко, то для усунення проблеми потрібно відкрити комп'ютер і замінити мікросхему. Якщо ж флеш-П3У упаяні в материнську плату, то, можливо, всю материнську плату доведеться викинути і купити нову. Визначено невеселий досвід.
Як правило, віруси завдають шкоди будь-кому, але вірус може також переслідувати і строго певну мету. Наприклад, компанія може випустити вірус, який перевіряє, чи не працює він на комп'ютері конкуруючої фірми і не відсутня чи системний адміністратор зараз в системі. Якщо горизонт чистий, він може втрутитися у виробничий процес, знижуючи якість продукції і створюючи, таким чином, проблеми для конкурента. В інших випадках він не буде нічого робити, знижуючи ймовірність свого виявлення.
Інший приклад вірусу спрямованої дії - вірус, написаний амбітним віце-президентом корпорації, який запускає його в локальну мережу власного підприємства. Вірус перевіряє, чи працює він на комп'ютері президента, і якщо так, то знаходить електронну таблицю і змінює в ній дві випадкові комірки. Рано чи пізно, грунтуючись на цій електронній таблиці, президент візьме невірне рішення і буде звільнений, звільняючи крісло - самі розумієте для кого.
6. Структура сучасних вірусних програм
Структурно комп'ютерний вірус можна представити що складається з двох частин: голови і хвоста. Головою називається частина вірусу, яка першою одержує управління. Хвіст вірусу - це частини вірусу, розташовані окремо від голови. У найпростішому випадку вірус може складатися з однієї голови, і дійсно файлові віруси зазвичай так і влаштовані. Такі віруси будемо називати несегментірованное. На відміну від них сегментовані віруси мають розташований окремо хвіст і в якійсь мірі аналогічні оверлейной файли. Прикладом сегментованих вірусів є бутові віруси, хоча можлива реалізація сегментованих файлових вірусів.
6.1 Структура файлового нерезидентного вірусу
Файлові віруси є найбільш розповсюдженим різновидом комп'ютерних вірусів. Принципово вони заражають будь-який тип виконуваних файлів: COM, EXE, OVL і т.д. Однак основними об'єктами зараження є файли типу COM та файли типу EXE. Найбільш просто здійснюється зараження COM-файлів, які представляють собою майже точну копію ділянки пам'яті із завантаженою програмою. Єдина потрібна настройка при завантаженні COM-файлів полягає в завантаженні сегментних регістрів значеннями, відповідними місця завантаження програми. Значна частина COM-файлів починається з команди переходу, що обходить містять на початку програми дані.
При зараженні COM-файлів вірус запам'ятовує в своєму тілі перші три чи більше байтів програми і замість них записує перехід на початок власного коду. Так поступають більшість файлових вірусів, що заражають COM-файли, але не всі. Справа в тому, що при дописування тіла вірусу в кінець заражає файли весь код вірусу повинен бути написаний спеціальним чином, зазвичай званим позиційно-незалежним програмуванням: при виконанні програми всі посилання повинні адресуватися через відповідне зміщення, яке зазвичай зберігається в одному з регістрів.
6.2 Структура файлового резидентного вірусу
Файлові резидентні віруси, крім окремих файлів, заражають, якщо так можна висловитися, і пам'ять комп'ютера. Гранично спрощуючи, пам'ять комп'ютера можна розглядати як ще один файл, який можна заражати, дописуючи в голову, тобто в область молодших адрес вільної ділянки пам'яті, в хвіст, тобто в область старших адрес вільної ділянки пам'яті і нарешті, в середину, тобто в область адрес, вже використовуються операційною системою або який-небудь програмою (старші адреси вектора переривань, буфера і т.д.).
Разом з тим, структура резидентного вірусу істотно відрізняється від структури нерезидентного вірусу. Резидентний вірус можна представляти як складається з двох відносно незалежних частин: інсталятора і модуля обробки переривань. Останній, у свою чергу, складається з ряду програм обробки. Дещо спрощуючи, можна вважати, що на кожне перехоплює переривання доводиться своя програма обробки.
Інсталятор отримує управління при виконанні зараженої програми і грає роль своєрідної ракети-носія, що запускає вірус на орбіту, тобто в оперативну пам'ять. Він відпрацьовує один раз у після запуску зараженої програми і його доцільно розглядати як спеціалізований файловий вірус, що заражає оперативну пам'ять і, можливо, звичайні файли. В останньому випадку інсталятор можна розглядати як доопрацьований для зараження оперативної пам'яті файловий вірус.
6.3 Структура бутового вірусу
Бутові віруси є дуже спеціалізованої різновидом резидентних файлових вірусів. Спрощено бутовий вірус можна уявити собі як спеціалізований резидентний вірус, який заражає єдиний файл у завантажувальний сектор гнучкого або жорсткого диска. Чіткої межі між резидентними файловими вірусами і бутовими вірусами не існує: останнім часом з'явилися гібриди, які поєднують зараження файлів із зараженням бутсектора вінчестера. Це підкреслює близькість основних принципів організації цих двох типів вірусів.
Цей тип вірусів поширюється, інфікуючи дискети, причому як файли, так і незавантажувальних (тобто містять будь-яку інформацію). Зараження незавантажувальних дискет пов'язане з певним психологічним розрахунком, який, на жаль, надто часто виправдовується: при перезавантаженні системи користувачі зазвичай забувають перевірити, чи вставлено дискета в дисковод A, і часто перезавантаження виконується з вставленої у зазначений дисковод дискетою, з якою вірус і потрапляє на вінчестер.
7. Як працює вірус
Ми досить намилувалися картинами руйнувань. Розглянемо тепер принципи роботи вірусів. Автор вірусу створює своє творіння, ймовірно, на асемблері, після чого акуратно вставляє його в програму на власному комп'ютері за допомогою спеціального інструменту, званого "піпеткою" (dropper). Потім інфікована програма поширюється, можливо, за допомогою опублікування її на BBS або у вигляді вільно поширюваної програми через Інтернет. Ця програма може представляти собою цікаву нову гру, піратську версію комерційного програмного продукту або ще що-небудь подібне, що викликає інтерес у публіки. Потім користувачі починають завантажувати цю програму на свої комп'ютери.
Після запуску програми вірус, як правило, починає з того, що заражає інші програми на цій машині, після чого виконує свою "корисну" навантаження, тобто запускає ту частину програми, для якої і писався вірус. У багатьох випадках ця програма може не запускатися, поки не настане певна дата чи поки вірус гарантовано не пошириться на велике число комп'ютерів. Обрана дата може навіть бути прив'язана до якого-небудь політичної події (наприклад, до сторіччя або 500-річчю образи, завданої етнічної групи автора).
8. Поняття стелс-алгоритмів
Використання СТЕЛС-алго p ітмов дозволяє вир y сам повністю або частково ск p ить себе в системі. Н аиболее р аспр ост p Анен стелс-алго p ітмом є пе p ехват зап p осов OC на читання / запис за p Ажен об'єктів. Стелс-ві py си п p і цьому або в p Ємен лікують їх, або "підставляють" замість себе неза p Ажен y частки інфо p ції. У сл y чаї мак p о-ви py сов найбільш поп y Щоб p ний способом є зап p ет викликів меню п p оглянув p а мак p осов. Ві py си: "Frodo", "Brain".
Стелс-віруси намагаються приховати свою присутність в комп'ютері. Вони мають резидентний модуль, який постійно перебуває в оперативній пам'яті комп'ютера. Цей модуль встановлюється в момент запуску зараженої програми або при завантаженні з диска, зараженого завантажувальним вірусом.
Резидентний модуль вірусу перехоплює звернення до дискової підсистеми комп'ютера. Якщо операційна система або інша програма зчитують файл зараженої програми, то вірус підставляє справжній, незаражений, файл програми. Для цього резидентний модуль вірусу може тимчасово видаляти вірус з зараженого файлу. Після закінчення роботи з файлом він заражається знову.
Прикладом стелс-вірусу може служити Magdzie .1114. Це файловий вірус, що заражає виконувані файли у форматі EXE. При запуску зараженої програми в оперативній пам'яті встановлюється вірусний резидентний модуль, що перехоплює звернення до файлової системи комп'ютера. Якщо операційна система запускає або відкриває для читання файл зараженої програми, вірус тимчасово видаляє з неї свій код. Зворотне зараження відбувається, коли операційна система закриває файл.
Вірус Magdzie проявляється, видаляючи всі файли, назва яких починається з CHKLIST. 27 травня вірус виводить на екран невеликий текст і рухомий графічний візерунок.
Завантажувальні віруси діють за такою ж схемою. Коли яка-небудь програма зчитує дані з завантажувального сектора, вони замінюються справжнім вмістом завантажувального сектора.
В якості завантажувального вірусу, що використовує для маскування стелс-технологію, можна навести вірус July 29. Вірус поширюється, заміщаючи головний завантажувальний запис на жорстких дисках і завантажувальний запис на дискетах. Справжні завантажувальні сектори зберігаються. Коли програма намагається прочитати або записати дані в головний завантажувальний запис жорсткого диска або завантажувальний запис дискети, резидентний модуль вірусу підставляє неінфікованих сектор.
Маскування стелс-вірусів спрацьовує тільки в тому випадку, якщо в оперативній пам'яті комп'ютера знаходиться резидентний модуль вірусу. Коли ви завантажуєте комп'ютер з системної дискети, у вірусу немає шансів отримати управління і тому стелс-механізм не працює.
Список використаної літератури
Безруков Н. Комп'ютерна вірусологія: Підручник [Електронний ресурс]: http://vx.netlux.org/lib/anb00.html
Особливості алгоритму роботи вірусів [Електронний ресурс]: http://virussid.narod.ru/alg.htm
Таненбаум Е. Сучасні операційні системи. - СПб.: Пітер, 2004.
Точки входу вірусу [Електронний ресурс]: http://www.viruslab.ru/security/types_malware/virus/technical_data/date_1.php
Фролов А., Фролов Г. Обережно: комп'ютерні віруси. - М.: Діалог-МІФІ, 2002. - 256 с.
Що таке комп'ютерні віруси, і як вони працюють [Електронний ресурс]: http://www.frolov-lib.ru/books/step/v05/ch1.htm # _Toc152503451