Принципы функционирования основных разновидностей вирусов

Принципы функционирования основных разновидностей вирусов

Упрощенно процесс заражения вирусом программных файлов (exe, jcom, ovl, dll модулей) можно представить следующим образом. Код зараженной программы обычно изменяется таким образом, чтобы вирус получил управление первым, до начала работы программы-носителя. При передаче управления вирусу он находит новую программу и выполняет вставку своей копии в нее.

Самый распространенный и часто встречающийся способ заражения файловым вирусом — вставка в конец программы. В этом случае вирус корректирует код заражаемой программы так, чтобы получить управление первым. Для этого обычно первые несколько байтов запоминаются в теле вируса, а на их место вставляется код перехода на начало вируса. В случае сот модуля это обычно команда безусловного перехода jmp. В ехе модуле вирус изменяет заголовок программы (часто это первые 24 байт). При запуске программы вирус первым получает управление, отрабатывает свой код, после чего восстанавливает скрытые первые байты и передает управление программе-вирусоносителю.

Код вируса может быть вставлен в начало зараженной программы. При вставке в начало файла вирус переписывает первые блоки (или все тело) зараженной программы в ее конец. Поэтому до передачи управления зараженному модулю, вирус должен предварительно переписать перемещенные блоки программы на первоначальное место, переместив часть своего кода таким образом, чтобы она не была затерта.

Вставка вируса в середину файла встречается редко. В этом случае вирус переписывает замещаемые блоки программы в конец модуля. Реже всего такой способ используется для заражения (обычно специализированными вирусами, в том числе и макровирусами) модулей, особенности структуры которых заранее известны (файлы command.com, документы MS Word и т.п.).

При заражении вирусом, вставленным в конец или середину программы, как правило, не производится перенос замещаемых блоков. В этом случае длина зараженной программы не изменяется, а исходный выполняемый модуль безвозвратно разрушается, что маскируется вирусом при его запуске выдачей одного из сообщений операционной системы.

Безвредные и опасные вирусы

Безвредные и опасные вирусы

По отношению к информации вирусы опасны по-разному.

Безвредные вирусы не производят никаких действий, влияющих на работоспособность системы, кроме размножения собственных копий. Влияние неопасных вирусов на систему ограничивается подачей звуковых сигналов, выдачи визуальных сообщений, не имеющих опасных последствий для системы.

В результате действий опасных вирусов нарушается нормальное функционирование как отдельных программных комплексов, так и всей операционной системы в целом. В алгоритме очень опасных вирусов заложены процедуры и механизмы, результатом выполнения которых могут быть уничтожение информации, разрушение отдельных областей операционной системы. Такие процедуры и механизмы имеют фатальные последствия для программной и информационной среды пользователя.

После появления специализированных антивирусных программных комплексов возникли вирусы, использующие для скрытия своего присутствия в системе специальные приемы (СТЕЛС вирусы). Эти приемы обычно сводятся к перехвату и контролю некоторых системных ресурсов. Процесс лечения системы, зараженной СТЕЛС вирусами, усложняется еще и тем, что появились вирусы, меняющие свой код, а иногда и способы заражения, в процессе функционирования.

Даже сегодня бороться с такими вирусами достаточно сложно. В антивирусной базе Norton AntiVirus имеется информация о 1016 полиморфных и 942 СТЕЛС вирусах.

Семь видов вирусных программ

Семь видов вирусных программ

Традиционно вирусные программы подразделяют на семь видов:

1. Программы-вандалы, которые маскируются (по имени) под видом широко используемых программ и выполняют несанкционированные действия (например, стирание информации с диска) при запуске. Способностью к самостоятельному размножению они не обладают. Распространяются при копировании программ пользователями, наиболее часто при этом рассылаются по BBS станциям и электронным конференциям. По сравнению с иными вирусами вандалы не получили широкого распространения по достаточно простым причинам: они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем.

2. Бутовые (загрузочные) вирусы. Заражают диски (дискеты, логические диски, жесткие диски).

3. Файловые вирусы. Они заражают выполняемые модули с расширениями .ехе, .сом .bin, .ovl, .dll.

4. Файлово-бутовые. Редкая разновидность вирусов, заражающая как диски, так и файлы.

5. Макровирусы (макрокомандные вирусы). Заражают файлы документов, содержащие в своем составе программный код макрорасширений (документы Microsoft Word, Exel).

7. Сетевые вирусы (сетевые черви). Редкие и очень сложные по структуре и принципам работы программы, использующие для своего распространения по сети ЭВМ ошибки (дыры) в коде или особенности функционирования сетевого программного обеспечения операционной системы.

Практически все виды вирусов бывают резидентными и нерезидентными. Резидентные вирусы способны оставлять свои копии в оперативной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и инициировать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Поэтому резидентные вирусы опасны не только во время работы зараженной программы, но и после ее окончания. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. Это характерно и для загрузочных вирусов. Форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают его повторно после форматирования.

Нерезидентные вирусы, напротив, активны на довольно непродолжительных интервалах времени: только в момент запуска зараженной программы.

Эпидемия вируса Melissa

Эпидемия вируса Melissa

В марте 1999 г. компьютерный мир потрясла настоящая эпидемия вируса Melissa, который распространялся гораздо быстрее и шире, чем любой другой из появившихся когда-либо ранее.

С помощью почтовой программы MS Outlook Express, из адресной книги которого вирус получал адреса электронной почты корреспондентов, Melissa рассылал свои копии по сети. Скорость распространения вируса была действительно впечатляющей: одна из американских организаций сообщила, что вирус сгенерировал около полумиллиона сообщений электронной почты в течение всего трех часов. Относясь к категории сетевых червей, Melissa действительно может рассматриваться как опасность принципиально нового типа.

4 мая 2000 г. началась новая эпидемия, вызванная сетевым червем «I LOVE YOU/Loveletter/LoveBug». Этот вирус, в отличие от своего предшественника Melissa, рассылающего копии первым 50 абонентам из адресной книги MS Outlook Express, не щадил никого, одинаково уничтожая файлы с расширениями: .vbs, .vbe, js, .jse, .css, .wsh, .set, .hta, .jpg, jpeg. Сообщалось, что в одной из компаний вирусом было уничтожено более 60 Гбайт графики в формате jpeg.

Дополнительно червь пытался скачать из Internet троянского коня, похищающего все пароли Windows. Согласно данным исследовательской фирмы Computer Economics, через день после начала распространения этим вирусом было поражено 45 млн компьютеров. Ущерб, причиненный им, оценивается в несколько миллиардов долларов.

Таким образом, в настоящее время не существует ни одного программного компонента информационных систем, который не был бы подвержен опасности вредоносного воздействия вирусов. Эксперты считают, что сегодня число существующих вирусов превышает 40 тыс., причем ежедневно появляется, по разным оценкам, от 6 до 15 новых.

Однако положение вовсе не так трагично, как может показаться. Дело в том, что старые вирусы выходят из обращения. Кроме того, большинство вирусов никогда не покидают резерваций — тщательно охраняемых коллекций в исследовательских лабораториях, а многие настолько плохо сработаны, что просто не могут распространяться дальше машины своего создателя, да еще подпольных Web-страниц и BBS, посвященных проблемам разработки вирусов. Поэтому «диких» (реально циркулирующих) вирусов в настоящее время насчитывается около 400, что, впрочем, тоже немало.

Эпидемия сетевого вируса Морриса

Эпидемия сетевого вируса Морриса

В ноябре 1988 г. отмечена эпидемия сетевого вируса Морриса. Этот вирус вследствие ошибки в программном коде рассылал свои копии по другим компьютерам сети и инфицировал таким образом более 6000 компьютерных систем в США, включая компьютеры NASA Research Institute.

Общие убытки от вируса Морриса были оценены в 96 млн долларов. Для своего размножения он, подбирая пароли из стандартного списка, использовал ошибки в операционной системе Unix.

В 1990 г. появляется первый полиморфный вирус Chameleon, обнаружение которого невозможно по участку постоянного кода (маске или сигнатуре). Это свойство вируса заставило разработчиков антивирусных программ искать другие методы его детектирования.

В начале 1992 г. появляется первый генератор полиморфного кода MtE, на базе которого создается сразу несколько полиморфных вирусов. В конце этого же года отмечается появление первого вируса, заражающего выполняемые модули MS Windows.

1994 г. отмечен появлением первого вируса, заражающего объектные модули.

В августе 1995 г. появляется первый вирус, заражающий документы MS Word (макровирус Concept). Эта вредоносная программа положила начало целой серии макровирусов, поражающих файлы документов (не только текстового редактора Word), имеющие в своем составе макрорасширения на языке высокого уровня (Visual Basic, Word Basic). Этот факт опроверг бытующее мнение, будто заражение вирусом невозможно при открытии файла. В этом же году очень широкое распространение по всему миру получил полиморфный шифрованный вирус DieHard2 (SW4000).

В январе 1996 г. появился первый вирус для Windows 95 (Win95.Boza). В июне того же года выходит в свет первый полноценный вирус (OS2AEP) для OS/2, поражающий ехе модули.

В 1997 г. вирусы заняли еще одну нишу: был обнаружен вирус для Linux (Linux. Bliss). В июне этого же года отмечается появление первого самошифрующегося вируса для Windows 95 российского происхождения.

В октябре 1998 г. отмечается появление первого вируса. Заражающего файлы HTML.

Проблема создания саморазмножающихся компьютерных программ

Проблема создания саморазмножающихся компьютерных программ

Первая известная публикация относится к 1951 г. В ней Джоном фон Нейманом сформулирована и исследована проблема создания саморазмножающихся компьютерных программ.

В 1962 г. Высоцкий и Макилрой (США) создали компьютерную игру, основанную на конфликтном взаимодействии самовоспроизводящихся программных механизмов в памяти компьютера. Победителем считался тот игрок, чьи программы захватывали всю память. Эта игра получила широкое распространение во многих учебных и исследовательских центрах США.

В 1977 г. появляется первый персональный компьютер Apple II. Число компьютеров этой серии за шесть лет перевалило за три миллиона. В это же время произошло бурное развитие сетей передачи информации на базе обычных телефонных каналов (BBS). Одновременно с этим получили широкое распространение программы-вандалы, которые наряду с выполнением некоторой полезной функции разрушали данные в информационной базе персонального компьютера.

В 1980 г. выходит первая европейская публикация о компьютерных вирусах «Самовоспроизводящиеся программы» И. Краузе, содержащая листинги вирусов на языке Ассемблера.

В 1981 — 1982 гг. появился первый бутовый вирус (Elk Cloner), получивший широкое распространение на компьютерах Apple II. Проявлял он себя очень разнообразно: переворачивал изображение и заставлял мигать экран, выводил на экран разнообразные сообщения.
В 1985—1986 гг. произошли вспышки заражения компьютерными вирусами многих персональных компьютеров. Причиной было бесконтрольное копирование компьютерных файлов.

Первым широко распространенным вирусом для IBM PC стал Пакистанский компьютерный вирус (загрузочный вирус Brain), разработанный братьями Амджатом и Беситом Алби в 1986 г. Вирус заражал компьютеры в отместку за несанкционированное копирование программного обеспечения. Только в США этот вирус заразил около 18 ООО компьютеров. Он стал первым вирусом, использовавшим технологию маскировки (СТЕПС). При попытке чтения зараженного загрузочного сектора вирус подставлял его незаряженную копию. В этом же году Р. Бюргер обосновал и показал практически возможность создания файлового вируса.

В 1987 г. появляется вирус Vienna, дизассемблированная копия которого с комментариями была опубликована Р. Бюргером в книге, специально посвященной компьютерным вирусам.

Страница 2 из 3123
Яндекс.Метрика