Студопедия
Случайная страница | ТОМ-1 | ТОМ-2 | ТОМ-3
АвтомобилиАстрономияБиологияГеографияДом и садДругие языкиДругоеИнформатика
ИсторияКультураЛитератураЛогикаМатематикаМедицинаМеталлургияМеханика
ОбразованиеОхрана трудаПедагогикаПолитикаПравоПсихологияРелигияРиторика
СоциологияСпортСтроительствоТехнологияТуризмФизикаФилософияФинансы
ХимияЧерчениеЭкологияЭкономикаЭлектроника

Некоторые компьютерные вирусы

Читайте также:
  1. I. 2. НЕКОТОРЫЕ ГНОСЕОЛОГИЧЕСКИЕ ПРЕДПОСЫЛКИ
  2. I. Некоторые аспекты современных опытов
  3. II. Некоторые из реалий тех процессов, которые привели к образованию «зрелого монодического стиля».
  4. OUTSIDER MUSIC. НЕКОТОРЫЕ РАЗМЫШЛЕНИЯ.
  5. Б. Некоторые базисные предпосылки
  6. БУДУЩЕЕ: НЕКОТОРЫЕ ПРЕДПОЛОЖЕНИЯ
  7. БУХАРСКИЙ СЛЕД (НЕКОТОРЫЕ АСПЕКТЫ ВЗАИМООТНОШЕНИЙ БУХАРСКОГО И СИБИРСКОГО ХАНСТВ ВО ВТОРОЙ ПОЛОВИНЕ XVI в.)

Файловые вирусы размещаются в файлах КС и могут внедрять­ся только в исполняемые файлы: командные файлы (файлы, со­стоящие из команд операционной системы), саморазархивирующиеся файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды. Макрокоманды (макросы) представляют собой испол­няемые программы для автоматизации работы с документами (таб­лицами), поэтому такие документы (таблицы) можно рассматри­вать как исполняемый файл.

Для IBM — совместимых ПЭВМ вирус может внедряться в файлы следующих типов: командные файлы (ВАТ), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (ЕХЕ, СОМ), документы WORD (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS). Макровирусы могут внедряться и в другие файлы, содержащие макрокоманды.

Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла, но их заголовки размещаются, как правило, в начале файла. Таким образом, независимо от места расположе­ния вируса в теле зараженного файла после передачи управления файлу первыми выполняются команды вируса.

В начало файла вирус внедряется одним из трех способов. Пер­вый из них заключается в следующем: начало файла переписыва­ется в его конец, а на освободившееся место записывается вирус. Второй способ предполагает считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла. При третьем способе заражения вирус записывается в начало файла без сохранения содержимого. В этом случае зараженный файл становится неработоспособным.

В середину файла вирус может быть записан также различными способами. Файл может «раздвигаться», а на освободившееся ме­сто может быть записан вирус. Вирус может внедряться в середину файла без сохранения участка файла, на место которого помеща­ется вирус. Есть и другие способы внедрения вируса в середину файла.

Например, вирус Mutant применяет метод сжатия отдельных участков файла, при этом длина файла после внедрения вируса может не измениться.

Чаще всего вирус внедряется в конец файла. При этом, как и в случае с внедрением вируса в середину файла, первые команды файла заменяются командами перехода на тело вируса.

Обобщенный алгоритм заражения файла может быть представ­лен в следующем виде.

1.Резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их.

2.Выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т.д.).

3.Осуществляется вредительская функция вируса и управление передается программе, в файле которой находится вирус.

При реализации конкретных вирусов последовательность и на­бор действий могут отличаться от приведенных в алгоритме.

Особое место среди файловых вирусов занимают макровирусы. Макровирусы представляют собой вредительские программы, на­писанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др.

Для существования вирусов в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел следую­щие условия:

привязка программы на макроязыке к конкретному файлу;

копирование макропрограмм из одного файла в другой;

получение управления макропрограммой без вмешательства пользователя.

Таким условиям отвечают редакторы MS WORD, MS OFFICE, AMI PRO, табличный процессор MS EXCEL. В этих системах ис­пользуются макроязыки WORD BASIC и VISUAL BASIC.

При определенных действиях над файлами, содержащими мак­ропрограммы (открытие, сохранение, закрытие и т.д.), автома­тически выполняются макропрограммы файлов. При этом управ­ление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). По­этому при работе с другим файлом в зараженном редакторе (процессоре) он также заражается. По механизму заражения здесь про­слеживается аналогия с резидентными вирусами. Для получения управления в макровирусах, заражающие файлы MS OFFICE, как правило, используют некоторые приемы:

в вирусе размещается автомакрос (вирус включается автома­тически при открытии документа, таблицы);

в вирус помещается один из стандартных макросов, который выполняется при выборе определенного пункта меню;

макрос вируса автоматически вызывается на выполнение при нажатии определенной клавиши или комбинаций клавиш.

Макровирус Win Word. Concept, поражающий документы текст­ового редактора WORD, появился летом 1995 г. Вредительская функция этого вируса заключается в изменении формата доку­ментов WORD в формат файлов стилей. Другой макровирус Win Word Nuclear уже не столь безобиден. Он дописывает фразу с требованием запрещения ядерных испытаний, проводимых Фран­цией в Тихом океане.

Загрузочные вирусы заражают загрузочные сектора гибких дис­ков и boot-сектора или Master Boot Record (MBR) жестких дис­ков по тем же схемам, что и файловые вирусы. Загрузочные виру­сы являются резидентными. Заражение происходит при загрузке операционной системы с дисков.

После включения ЭВМ осуществляется контроль ее работо­способности с помощью программы, записанной в постоянном запоминающем устройстве. Если проверка завершилась успешно, то осуществляется считывание первого сектора с гибкого или жесткого диска. Порядок использования дисководов для загрузки задается пользователем при помощи программы SETUP. Если диск, с которого производится загрузка ОС, заражен загрузочным ви­русом, то обычно реализация работы вируса осуществляется в следующей последовательности.

1.Считанный из первого сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной оперативной памяти и считывает с диска тело вируса.

2.Вирус переписывает сам себя в другую область оперативной памяти, чаще всего — в старшие адреса памяти.

3.Устанавливаются необходимые вектора прерываний, если вирус резидентный, и при выполнении определенных условий производятся вредительские действия.

4.Копируется boot-сектор в оперативной памяти, и ему передается управление.

Если вирус был активизирован с гибкого диска, то он записы­вается в загрузочный сектор жесткого диска. Активный вирус, постоянно находясь в оперативной памяти, заражает загрузочные сектора всех гибких дисков, а не только системные диски.

Заражение рабочих гибких дисков загрузочными вирусами вы­полняется в расчете на ошибочные действия пользователя ЭВМ в момент загрузки ОС. Если установлен порядок загрузки ОС снача­ла с гибкого диска, а затем — с жесткого, то при наличии гибко­го диска в накопители будет считан первый сектор с гибкого диска. Если диск был заражен, то этого достаточно для заражения ЭВМ. Такая ситуация наиболее часто имеет место при перезагруз­ке ОС после «зависаний» или отказов ЭВМ.

Программы-вирусы ОС создаются для ЭВМ определенного типа и ориентированы на конкретные ОС. В качестве примера можно привести ОС MS DOS, устанавливаемую на IBM-совместимые персональные компьютеры. Для ОС UNIX, OS/2, WINDOWS и некоторых других известно незначительное число вирусов. Привлекательность ОС для создателей вирусов определяется следу­ющими факторами:

относительная простота;

распространенность ОС;

отсутствие встроенных антивирусных механизмов;

продолжительность эксплуатации.

Все приведенные факторы характерны для MS DOS, поэтому авторы вирусов для WINDOWS, OS/2 часто используют для вне­дрения вирусов находящуюся в этих ОС хорошо знакомую MS DOS.

Главным недостатком MS DOS является возможность полного и бесконтрольного доступа любой активной программы ко всем системным ресурсам ЭВМ, включая модули самой ОС.

Операционная система MICROSOFT WINDOWS 3.1 и ее мо­дификация MICROSOFT WINDOWS FOR WORKGROUPS 3.11 не являются самостоятельными ОС, а больше похожи н* очень большие программы MS DOS. В этих ОС введены ограничения на доступ к оперативной памяти. Каждая программа получает доступ только к своему виртуальному пространству оперативной памяти. Доступы же к дискам, файлам и портам внешних устройств не ограничены. Сохраняют работоспособность и загрузочные виру­сы, разработанные для MS DOS, так как они получают управле­ние еще до загрузки MICROSOFT WINDOWS 3.1 и в этот период времени их действия ничем не ограничены.

Слабость защитных функций ОС MICROSOFT WINDOWS 95/98 также объясняется совместимостью с MS DOS. Эта ОС имеет та­кую же устойчивость к воздействию вирусов, как и MICROSOFT WINDOWS 3.1.

Значительно лучше защищена от вирусов операционная систе­ма IBM OS/2. Эта система полностью независима от MS DOS. Все программы, выполняемые в OS/2, работают в отдельных адрес­ных пространствах, что полностью исключает взаимное влияние программ. Существует возможность запретить рабочим програм­мам (несистемным) иметь доступ к портам периферийных уст­ройств.

Если ЭВМ с MICROSOFT OS/2 используется в качестве файл-сервера IBM LAN SERVER, то с помощью драйвера 386 HPFS можно указывать права доступа к каталогам и файлам, а также защищать каталоги от записи в файлы, содержащиеся в них. В этой системе существует возможность выполнения программ MS DOS. Но в OS/2 для вирусов, созданных для MS DOS, гораздо меньше возможностей.

Хорошую защиту от вирусов имеют сетевые операционные си­стемы MICROSOFT WINDOWS NT и NOVELL NET WARE, a также операционная система WINDOWS 2000.

 


Дата добавления: 2015-12-08; просмотров: 65 | Нарушение авторских прав



mybiblioteka.su - 2015-2024 год. (0.007 сек.)