Вирусы

                      Виды  вирусов

         Вирусы-программы (W32)

     Со  временем вирусы, прятавшие свой код  в теле других программ, сдали свои позиции. Во многом это произошло  из-за того, что размеры самих  вирусов стали больше – а спрятать код размером в сотни килобайт не так-то просто. Да и сами программы и операционные системы резко поумнели, научившись проверять целостность собственных файлов.

     В итоге произошло то, что и должно было случиться – «исполняемые»  вирусы перестали маскироваться, представ перед публикой в «чистом» виде. Вирус превратился в абсолютно отдельную, независимую программу, не нуждающуюся в «хозяине-переносчике». Однако сразу же перед вирусописателями встал другой вопрос – а как заставить пользователей скачать и запустить у себя на машине этот самый вирус?

     «Программные» вирусы, написанные для операционной системы Windows, решили эту проблему, маскируясь под разные «полезные» утилиты – например, под «ломалки» для условно-бесплатных программ или мультимедийные презентации. Другой излюбленный приём распространителей заразы – наряжать свои детища в «одежду» обновлений для операционной системы или даже… антивирусной программы! Увы, до сих пор многие пользователи, не задумываясь, запускают неизвестные программы, пришедшие в виде вложений в электронные письма якобы от Microsoft или «Лаборатории Касперского» - а ведь это самый верный путь поселить на свой компьютер вирус!

     Большинство вирусов люди запускают на своём  компьютере самостоятельно! – увы, несмотря на все усилия борцов с  вирусами, некие стереотипы человеческой психологии оказываются непреодолимыми…

     В 1995-1999 гг. на просторах Интернета  весело развивалась добрая сотня  «Windows-совместимых» вирусов. Эти милые зверушки, понятно, развились не просто так… Только за период лета 1998 – лета 1999 г. Мир пережил несколько поистине разрушительных вирусных атак: в результате деятельности вируса Win95.CIH, поражающего BIOS системной платы, из строя были выведены около миллиона компьютеров во всех странах мира.

     

       А совсем недавно, в середине 2003г., Сеть оказалась поражена новым «червем» SoBig, распространявшимся в виде вложения в электронные письма. Несмотря на то, что о вредоносных «вложениях» уже давно трубила вся пресса, люди запускали файл-вирус без малейших опасений. И вот результат: по данным аналитиков, в начале 2003 г. каждое 17-е письмо содержало в себе начинку в виде SoBig!

     Впрочем, некоторые вирусы способны атаковать  ваш компьютер даже в том случае, если его «тело» физически находится  в другом месте. Например, один из самых «модных» вирусов 2003 г. – Blaster – был способен атаковать все компьютеры в локальной сети с одной-единственной машины! Сканируя локальную сеть, программа обнаруживала бреши в защите каждого компьютера, и самостоятельно пропихивала в эту «дырочку» вредоносный код.

     Для борьбы с W32-вирусами одной антивирусной программы, увы, недостаточно – главным условием вашей безопасности является обязательная и регулярная загрузка обновлений к Windows. А именно – файлов-«заплаток», предназначенных для закрытия уже обнаруженных «дыр» в системе защите операционной системы.

         Для получения новых «заплаток»  вам необходимо навестить центр  обновления Windows – сайт Windows Update (http://windowsupdate.microsoft.com). При этом совершенно не обязательно набирать этот адрес в строке браузера вручную – достаточно зайти в меню Сервис программы Internet Explorer и выбрать пункт Windows Update.

На открывшейся  страничке вы увидите полный список обновлений, доступных для загрузки. Учтите – все обновления из раздела «Критические обновления» необходимо устанавливать в обязательном порядке!

Посещайте сайт Windows Update не реже раза в месяц, регулярно обновляйте базы данных  вашего антивирусного пакета – и можете считать, что от львиной доли неприятностей вы застрахованы… 

       Загрузочные вирусы

       Активизируются и распространяются в момент загрузки операционной системы, еще до того как пользователь успел запустить какую-либо антивирусную программу. Загрузка компьютера обычно производится с жесткого диска - винчестера, а в аварийных случаях - с системной дискеты. Порядок загрузки зависит от выбора, сделанного в программе BIOS Setup. Пользователь может указать, что компьютер должен загружаться либо только с жесткого диска, либо с дискеты с устройства А, а если такой дискеты нет, то с жесткого диска. Возможны и другие варианты, зависящие от конкретной реализации BIOS (например, загрузка с компакт-диска CD-ROM).

       Загрузка  компьютера производится следующим  образом. Сразу после включения электропитания начинает работать программа инициализации, записанная в ПЗУ базовой системы ввода/вывода BIOS. Она проверяет оперативную память и другие устройства компьютера, а затем передает управление программе начальной загрузки, которая также находится в ПЗУ BIOS. Последняя считывает в оперативную память содержимое самого первого сектора нулевой дорожки жесткого диска, в котором находится главная загрузочная запись Master Boot Record (MBR), либо содержимое самого первого сектора нулевой дорожки дискеты, вставленной в дисковод А. Этот сектор содержит загрузочную запись Boot Record (BR). При загрузке с жесткого диска в память по фиксированному адресу считывается содержимое главной загрузочной записи (MBR) - программа загрузки операционной системы с логического диска. Загрузчик просматривает таблицу разделов диска Partition Table (она находится в том же секторе диска, что и сама запись MBR), ищет раздел, отмеченный как активный и считывает в оперативную память самый первый ceктор этого раздела, сектор загрузочной записи BR. В этом секторе остается еще один загрузчик. Задачей загрузчика ВR является считывание в оперативную память стартовых модулей операционной системы и передача им управления. При загрузке с дискеты этот процесс намного проще, так как формат дискеты в точности соответствует формату логического диска. Самый первый сектор нулевой дорожки дискеты содержит загрузочную запись BR, после считывания в оперативную память ей передается управление. Причем, если дискета - несистемная, в первый сектор ее нулевой дорожки все равно записана программа, единственное назначение которой - вывод сообщения о необходимости вставить в дисковод системную дискету. И данное обстоятельство - присутствие загрузочной записи на несистемной дискете - играет важную роль при распространении загрузочных вирусов.

       Таким образом, загрузка операционной системы  является многоступенчатым процессом, ход которого зависит от разных обстоятельств. Важно то, что в этом процессе задействовано три программы, которые  служат объектом нападения загрузочных вирусов:

       - главная загрузочная запись;

       - загрузочная запись на логическом  диске,

       - загрузочная запись на дискете. 

       Вирусы  могут заменять некоторые или  все перечисленные объекты, встраивая  в них свое тело и сохраняя содержимое оригинального загрузочного сектора в каком-либо другом, более или менее подходящем для этого месте на диске. При последующем включении компьютера программа загрузки заносит в память вирусный код и передает ему управление. Загрузка операционной системы продолжается под контролем вируса, что затрудняет, а в некоторых случаях и исключает его обнаружение антивирусными программами.

       Загрузочные вирусы распространяются главным образом  при перезапуске (или включении) компьютера с забытой в дисководе  зараженной дискетой, именно тогда (при загрузке), вирус проникает в главную загрузочную запись жесткого диска компьютера. Поэтому можно полностью перекрыть доступ к компьютеру для загрузочных вирусов, отключив в ВIOS Setup возможность загрузки с устройства. Кроме того, не следует без крайней необходимости снимать с дискет защиту от записи. Особенно это относится к дистрибутивным дискетам, с которых выполняется установка ПО, и системным дискетам.

          Файловые  вирусы

По  способу заражения  файлов вирусы делятся  на:

• перезаписывающие (overwriting);
• паразитические (parasitic);
• вирусы-компаньоны (companion);
• вирусы-ссылки (link);
• вирусы, заражающие объектные модули (OBJ);
• вирусы, заражающие библиотеки компиляторов (LIB);
• вирусы, заражающие исходные тексты программ.

Overwriting

Данный  метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

Parasitic

К паразитическим относятся все файловые вирусы, которые  при распространении своих копий  обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью  или частично работоспособными.

Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение  вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).

• Внедрение вируса в начало файла

Известны  два способа внедрения паразитического  файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу.

Таким образом, при запуске зараженного  файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).

• Внедрение вируса в конец файла

Наиболее  распространенным способом внедрения  вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.

Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.

• Внедрение вируса в середину файла

Существует  несколько методов внедрения  вируса в середину файла. В наиболее простом из них вирус переносит  часть файла в его конец или «раздвигает» файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый блок файла так, что длина файла при заражении не изменяется.

Вторым  является метод «cavity», при котором  вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные  области заголовок EXE-файла, в «дыры» между секциями EXE-файлов или в  область текстовых сообщений популярных компиляторов. Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.

Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.

• Вирусы без точки входа

Отдельно  следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы — Entry Point Obscuring viruses). К ним  относятся вирусы, не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных условиях.   Перед тем, как записать в середину файла команду перехода на свой код, вирусу необходимо выбрать «правильный» адрес в файле — иначе зараженный файл может оказаться испорченным. Известны несколько способов, с помощью которых вирусы определяют такие адреса внутри файлов, например, поиск в файле последовательности стандартного кода заголовков процедур языков программирования (C/Pascal), дизассемблирование кода файла или замена адресов импортируемых функций.

Companion

К категории «companion» относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.

К вирусам  данного типа относятся те из них, которые при заражении переименовывают  файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под  именем заражаемого файла. Например, файл NOTEPAD.EXE переименовывается в NOTEPAD.EXD, а вирус записывается под именем NOTEPAD.EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD.