Компьютерные вирусы и их разновидности

Вирусы вызывают звуковые эффекты: при заражении файла вирусом "VACSINA" раздается звуковой сигнал (BELL), вирусы "Yankee" в зависимости от некоторых условий (при одновременном нажатии клавиш Alt-Ctrl-Del либо в 17.00) исполняют мелодию "Yankee Doodle Dandy". При некоторых условиях вирус "Vacsina.06" расшифровывает и выдает на экран строку "Az sum vasta lelja."

Yankee.2189. Семейство "Yankee". Зашифрован, периодически 'крутит' символы '/', '\', '- ', '|'.

Yankee.Estonia.1716. Семейство "Yankee". Резидентный опасный вирус. По понедельникам в 14 часов расшифровывает и выводит в центр экрана текст: "Independent Estonia divsents", затем играет "Собачий вальс" и перезагружает компьютер.

10)Aids - резидентный очень опасный вирус. Перехватывает INT 3, 21h и записывается в конец EXE-файлов при их закрытии. В каждый 16-й закрываемый COM-файл записывает часть своего кода (файл не восстанавливается, так как вирус не сохраняет старое содержимое файла). При запуске такого файла на экран крупными буквами выдается слово "AIDS".

11)Peterburg - безобидный резидентный вирус. Перехватывает INT 21h и записывается в начало .COM-файлов при их запуске. Никак не проявляется.

12)Voronezh семейство. Voronezh.370, 600 - резидентные вирусы, безобидны. Часть вируса «Voronezh.600» (50 байт) зашифрована (XOR DDh). Перехватывают INT 21h и записываются в начало .COM- файлов при загрузке их в память для выполнения, «Voronezh.370» не заражает COMMAND.COM. При внедрении в файл переписывают его начало в конец файла, а свою копию помещают на освободившееся место в начале. При этом переписываемая часть файла шифруется (XOR BBh). Никак не проявляются и не имеют деструктивных функций. «Voronezh.650» - резидентный неопасный вирус. Перехватывает INT 21h и поражает выполняемые COM-файлы по алгоритму вируса «Voronezh.600». При запуске файлов (приблизительно 1 раз на 60 запусков) сообщает: Video mode 80x25 not supported

«Voronezh.1600» - резидентный опасный вирус. Перехватывает INT 21h и поражает файлы при их выполнении или открытии. COM-файлы заражаются по схеме вируса «Voronezh.600». EXE-файлы инфицируются по сложному алгоритму: у них изменяется пять байт точки входа в программу на код команды CALL FAR Loc_Virus, при этом изменение адреса точки входа в заголовке файла не требуется. Вирус корректирует таблицу настройки адресов (ТНА): добавляет в нее один элемент, соответствующий команде CALL FAR Loc_Virus; необходимым образом изменяет один элемент ТНА, указывающий на измененные 5 байт (если такой элемент существует). Затем вирус дописывает к файлу свою копию. Вирус содержит ошибки: анализируются не более 640 элементов ТНА; не анализируется случай, когда модифицируемый элемент ТНА указывает на пятый байт от точки входа (т.е. слово, которое настраивается при загрузке файла, лежит на границе изменяемых 5 байт). При запуске такого файла возможно зависание компьютера.

13)LoveChild семейство - очень опасные резидентные вирусы. Перехватывают INT 21h и записывается в конец COM-файлов.

«LoveChild.488» при создании своей резидентной копии копирует себя в таблицу векторов прерываний по адресу 0000:01E0. Затем заражает .COM-файлы при их загрузке в память, при открытии и создании. Изменяет первые 4 байта файла на команду перехода на тело вируса (STI; JMP Loc_Virus). Имеет деструктивные функции: в зависимости от счетчика времени может уничтожать файлы или создавать вместо файла подкаталог с таким же именем. Вирус периодически модифицирует EXE-файлы таким образом, что их запуск вызовет стирание секторов винчестера (стирается часть информации, расположенной на секторах, соответствующих 0-3 головкам записи/чтения).

«LoveChild.2710» резидентный очень опасный стелс-вирус. Перехватывает INT 13h, 21h и записывается в конец COM-файлов. Работает только в DOS 3.30, т.к. делает "врезку" в теле операционной системы. Если на машине стоит другая версия DOS, выводит фразу: «Тебе мама не говорила в детстве, что лучше DOS 3.30 версии нет?» после чего портит MBR. С полуночи до 4 часов утра при запуске зараженных программ распечатывает экран. 22 февраля, 32 апреля (?!), 23 июня, 24 августа, 6 октября и 5 ноября занимается гнусностью: пишет "Привет от ГКЧП", затем очищает экран и выводит длинное послание, после чего стирает информацию на винчестере. Вот часть этого сообщения: «Вирусисты всех стран, соединяйтесь. Объединение MMM предлагает за рубли, по ценам ниже рыночных отечественные вирусы, совместимые с IBM PC/AT PC/XT с любой периферией. Поставка со склада в Москве. Гарантийное и послегарантийное обслуживание. У МММ не было проблем. LoveChild v4 in reward for software stealing. LoveChild virus family. (c) Flu Systems intnl. Россия-Украина. Вирусы LoveChild будут появляться до тех пор, пока в СССР (или как его там) не будет принят закон об авторских правах. А пока - червонец в зубы и к Лозинскому».

14)Win95.HPS, aka Hanta. Заражает PE-файлы (Portable Executable). При запуске инсталлирует себя в ядро Windows95/98, перехватывает системные события и записывается в конец PE EXE-файлов, к которым идет обращение. Длина вируса - 5124 байт. При заражении файлов шифрует себя полиморфик-кодом и записывает результат в последнюю секцию файла, предварительно увеличив ее размер, и затем меняет адрес точки входа в заголовке файла. Размер полиморфик-цикла варьируется от заражения к заражению, поэтому длина файлов может быть увеличена на различные значения. Вирус проявляется видео-эффектом: если инсталляция вируса в память Windows произошла в субботу, то вирус затем переворачивает справа-налево изображения в неупакованных BMP-файлах. Повторного переворачивания не происходит - вирус помечает такие BMP-файлы записав в них метку DEADBABEh.

15)Explorer семейство - неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Также ищут и поражают *.SYS- файлы. Уничтожают файлы CHKLIST.MS и CHKLIST.CPS. В зависимости от своих внутренних счетчиков перехватывают INT 15h, 1Ch и проявляются каким-то видео-эффектом.

16)I-Worm.LoveLetter. Этот Интернет-червь вызвал массовые поражения компьютеров и сетей в начале мая 2000 г. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.

Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в Windows 98, Windows 2000 он установлен по умолчанию). При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.

При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, выполняет деструктивные действия, скачивает из Интернета и устанавливает в систему троянский файл. Червь также способен распространяться через IRC-каналы.

Червь ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет различные действия: VBS, VBE: записывает вместо них свою копию. JS, JSE, CSS, WSH, SCT, HTA: переименовывает их с расширением .VBS и записывает в них свою копию.

JPG, JPEG: добавляет к именам файлов  расширение .VBS и записывает в  них свою копию (например, PIC1.JPG.VBS). Оригинальный файл червь удаляет. MP2, MP3: создает новый файл с  именем MP-файла и расширением .VBS и записывает в него свою  копию. У первоначальных MP-файлов устанавливает атрибут "скрытый".

17)I-Worm.Sircam. Опасный сетевой червь, распространяющийся по сети Интернет и ресурсам локальных вычислительных сетей. Файл-носитель червя представляет собой Windows-приложение, размером около 130 Кб, написанное на языке программирования Delphi. В процессе распространения червь может прикреплять к своим файлам дополнительные файлы .DOC, .XLS, .ZIP и других форматов (см. ниже), так что размер вложенного файла может превышать 130 Кб.

После запуска (например, двойным щелчком на вложенном зараженном файле), червь внедряется в систему, рассылает зараженные сообщения (содержащие вложенные файлы с копией червя), заражает компьютеры, подключенные к доступной ЛВС (если в сети существуют диски, доступные для записи), а также, в зависимости от системной даты, выполняет встроенную деструктивную процедуру.

В зависимости от текущей системной даты и времени, червь с вероятностью 5% удаляет все файлы и поддиректории на диске, где установлена Windows. При каждой загрузке операционной системы с вероятностью 2% червь создает файл SirCam.Sys в корневой директории текущего диска и записывает в него следующий текст:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright L 2001 2rP Made in / Hecho en - Cuitzeo,

Michoacan Mexico]

С каждым разом червь добавляет этот файл, тем самым постепенно поглощая свободное место на диске. Эти и многие другие текстовые строки в теле червя содержатся в зашифрованном виде.

18)IIS-Worm.CodeRed (AKA "Code Red", "Bady"). Первый представитель данного семейства сетевых червей, "Code Red" (также известный под именем "Bady"), по данным ZDNet, он заразил около 12 000 серверов по всему миру и провел крупномасштабную DDoS атаку на Web сервер Белого дома (www.whitehouse.gov), вызвав нарушение его нормальной работы.

"Bady" заражает только компьютеры  под управлением Windows 2000 (без установленных  сервисных пакетов), с установленным Microsoft Internet Information Server (IIS) и включенной  службой индексирования (Indexing Service). Вместе с тем, именно это программное обеспечение чаще всего используется на коммерческих Web, FTP и почтовых серверах, что и определило широкое распространение червя. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например Windows NT и Windows XP. Однако автор червя умышленно "нацелил" его только на системы Windows 2000.

Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности IIS, которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. Для этого "Bady" посылает на случайно выбранный удаленный сервер специальный запрос, дающий компьютеру команду запустить основную программу червя, которая в свою очередь попытается таким же образом проникнуть на другие серверы. Одновременно в памяти компьютера может существовать сразу сотни активных процессов червя, что существенно замедляет работу сервера.

Важной особенностью "Bady" является то, что в процессе работы он не использует никаких временных или постоянных файлов. Данный червь уникален: он существует либо в системной памяти зараженных компьютеров, либо в виде TCP/IP-пакета при пересылке на удаленные машины. Подобная "бестелесность" представляет серьезную проблему для защиты серверов, поскольку требует установки специальных антивирусных модулей на межсетевые экраны.

Помимо значительного замедления работы зараженных компьютеров, "Bady" имеет другие побочные действия. Во-первых, червь перехватывает обращения посетителей к Web сайту, который управляется зараженным IIS-сервером, и вместо оригинального содержимого передает им свою страницу. После показа фальсифицированной стартовой страницы взломанного Web сайта в течение 10 часов, червь автоматически возвращает все на свои места и посетители видят оригинальную версию сайта. Важно отметить, что данный эффект проявляется только на системах, где по умолчанию используется язык "US English". Во-вторых: между 20 и 27 числами каждого месяца включительно червь осуществляет DDoS (Distributed Denial of Service) атаку на сайт Белого дома США (www.whitehouse.gov). Для этого копии червя на всех зараженных компьютерах посылают многочисленные запросы на соединение, что вызывает зависание сервера, обслуживающего данный Web-сайт.

 19)I-Worm.MyLife. Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 30 K (упакован UPX, размер распакованного файла - около 55 K), написан на Visual Basic.

Деструктивная процедура. Червь проверяет текущее время, и если текущее значение минуты больше 45, червь запускает деструктивную процедуру: он удаляет файлы с расширениями .SYS и .COM в корневой директории диска C:, файлы с расширениями .COM, .SYS, .INI, .EXE в каталоге Windows, а также файлы с расширениями .SYS, .VXD, .EXE, .DLL в системном каталоге Windows.

20)I-Worm.Cervivec! Интернет-червь Cervivec распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE EXE-файл), имеет размер около 230K (упакован UPX, размер распакованного файла - около 670K), написан на Delphi. Червь активизируется только, если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Для скрытия своей активности червь запускает видео-эффект: разноцветные "червяки", поедающие экран.

 

 

 

 

 

 

 

 

 

  

2.Методы защиты от компьютерных вирусов

 

Существуют три рубежа защиты от компьютерных вирусов:

-предотвращение поступления вирусов;

-предотвращение вирусной атаки, если вирус всё-таки поступил на компьютер;

-предотвращение разрушительных последствий, если атака всё-таки произошла.

Существует три метода реализации рубежей обороны:

-программные методы защиты;

-аппаратные методы защиты;

-организационные методы защиты.

В вопросе защиты ценных данных часто используют бытовой подход: «болезнь лучше предотвратить, чем лечить». К сожалению, именно он и вызывает наиболее разрушительные последствия. Создавая бастионы на пути проникновения вирусов в компьютер, нельзя полагаться на их прочность и остаться неготовым к тому, что надо делать, когда вирусная атака всё-таки произойдёт. К тому же вирусная атака – далеко не единственная возможность полной утраты информации.

Существуют программные сбои, которые могут вывести из строя операционную систему, аппаратные сбои, способные сделать жёсткий диск нечитаемым. Всегда существует вероятность того, что компьютер вместе с ценными данными может быть утрачен в результате кражи, пожара или иного стихийного бедствия.

Поэтому создавать систему защиты следует в первую очередь «с конца» - с предотвращения разрушительных последствий любого воздействия, будь то вирусная атака, кража в помещении или физический выход жёсткого диска из строя. Надёжная и безопасная работа с компьютером достигается только тогда, когда любое неожиданное событие, в том числе и полное уничтожение данных на жёстком диске, не приведёт к ощутимым потерям (потеря нескольких часов на восстановление работоспособности компьютерной системы в данном случае не считается значительной).