Вирусы-репликаторы (черви)

Классификация вирусов по особенностям алгоритма.

Классификация вирусов по степени воздействия.

Классификация вирусов по способу заражения.

Классификация вирусов по среде обитания.

Признаки появления вирусов.

Пути проникновения вирусов.

Вирусы и антивирусы.

Основными путями проникновения вирусов в компьютер являются съемные носители (гибкие и лазерные) и компьютерные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с носителя, содержащего вирус.

Вирус, как правило, проникает в рабочую программу таким образом, чтобы при ее запуске управление сначала передалось ему и только после выполнения всех его команд снова вернулось к рабочей программе. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу и заражает ее. После запуска программы, содержащей вирус, становится возможным заражение других файлов.

Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения EXE, COM, SYS, ВАТ. Текстовые файлы заражаются реже.

После заражения программы вирус может выполнить какие-либо действия, не слишком серьезные, чтобы не привлечь внимания. Но каждый запуск зараженной программы переносит вирус в следующую программу. Таким образом, может заразиться все программное обеспечение.

К основные признакам появления вирусов относятся следующие.

1. Прекращение работы или неправильная работа программ;

2. Замедление работы компьютера;

3. Невозможность загрузки операционной системы;

4. Исчезновение файлов и каталогов или искажение их содержимого;

5. Изменение даты и времени модификации файлов;

6. Изменение размеров файлов;

7. Неожиданное значительное увеличение количества файлов на диске;

8. Существенное уменьшение размера свободной оперативной памяти;

9. Вывод на экран непредусмотренных сообщений или изображений;

10. Подача непредусмотренных звуковых сигналов;

11. Частые зависания и сбои в работе компьютера.

Надо отметить, что эти явления не обязательно вызываются вирусом, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Классификация вирусов.

Классификация вирусов

Известные программные вирусы можно классифицировать по различным признакам.

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные, файлово-загрузочные.

Сетевые вирусы.

Сетевые вирусы передаются по различным компьютерным сетям.

Файловые вирусы.

Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения COM и EXE. Они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

В отличие от загрузочных вирусов, которые практически всегда резидентные, файловые вирусы не обязательно резидентны. Областью обитания файловых вирусов являются файлы.

Если файловый вирус не резидентный, то при запуске инфицированного исполняемого файла вирус записывает свой код в тело программного файла таким образом, что при запуске программы вирус первым получает управление. Произведя некоторые действия, вирус передает управление зараженной программе.

При запуске зараженной программы вирус сканирует локальные диски компьютера и сетевые каталоги в поисках нового объекта для заражения. После того как подходящий программный файл будет найден, вирус записывает в него свой код, чтобы получить управление при запуске этого файла.

Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и выполнять свои действия всегда, пока включен компьютер. (А не только во время работы зараженного файла).

Относительно новой разновидностью файлового вируса является макрокомандный вирус, передающийся с документами офисных программ (Microsoft Word for Windows или Microsoft Excel for,Windows).

Документы офисных приложений содержат в себе не только текст и графические изображения, но и макрокоманды, которые представляют программы. Эти программы составляются на языке, Visual Бейсик.

Вирус может изменять существующие макрокоманды и добавлять новые, вставляя свое тело в файл документа.

Механизм распространения макрокомандных вирусов основан на том, что существуют макрокоманды, которые запускаются при открывании документа для редактирования или при выполнении других операций. Разработчик макрокомандного вируса берет файл с именем, например, readme.doc, и записывает в него одну или несколько вирусных макрокоманд, например, вирусную макрокоманду с именем AutoExec. Когда пользователь открывает такой файл при помощи текстового процессора Microsoft Word for Windows, эта макрокоманда будет автоматически запущена на выполнение. При этом вирус получит управление и может заразить другие документы, хранящиеся на дисках.

Если вирусная макрокоманда имеет имя FileSaveAs, то распространение вируса будет происходить при сохранении документа.

Для предотвращения заражения макрокомандными вирусами необходимо перед просмотром или редактированием проверять новые файлы документов с помощью антивирусных программ, способных искать такие вирусы.

Загрузочные вирусы.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

Вторая большая группа вирусов - это так называемые загрузочные вирусы. Активизация этих вирусов происходит в момент загрузки операционной системы, еще до того, как пользователь успел запустить какую-либо антивирусную программу.

Сразу после включения электропитания компьютера начинает работать программа инициализации, записанная в ПЗУ базовой системы ввода/вывода BIOS. Эта программа проверяет оперативную память и другие устройства компьютера. Затем управление передается программе начальной загрузки, которая также находится в BIOS.

Программа начальной загрузки пытается прочитать в оперативную память либо содержимое самого первого сектора нулевой дорожки винчестера (в котором находится главная загрузочная запись Master Boot Record), либо содержимое самого первого сектора нулевой дорожки дискеты/СD-диска. (Этот сектор содержит загрузочную запись Boot Record (BR).)

Дальше происходит загрузка операционной системы. Операционная система может загружаться либо с винчестера, либо с электронного накопителя (дискеты, диска, флэшки).

При загрузке с винчестера в память по фиксированному адресу читается содержимое главной загрузочной записи. Загрузочная запись (загрузчик) – это программа, которая загружает операционную систему с логического диска.

Загрузчик, просматривает таблицу разделов диска. (Partition Table, которая находится в том же секторе диска, что и сама запись MBR.)

После того как в этой таблице будет найден раздел, отмеченный как активный, выполняется чтение самого первого сектора этого раздела в оперативную память. Самый первый сектор называется сектором загрузочной записи. В этом секторе находится еще один загрузчик.

Второй загрузчик считывает в оперативную память стартовые модули операционной системы и передает им управление. (Каждая операционная система имеет свой собственный загрузчик.)

Загрузка с диска происходит проще. Сразу читается самый первый сектор нулевой дорожки, который передает управление оперативной памяти компьютера.

Итак, при загрузке операционной системе работают три программы:

- главная загрузочная запись;

- загрузочная запись на логическом диске;

- загрузочная запись на дискете.

Именно эти программы являются объектом для загрузочных вирусов.

Вирусы заменяют один или все из перечисленных объектов, то есть встраивают в них свое тело. В результате при включении компьютера программа загрузки, расположенная в BIOS, загружает в память вирусный код и передает ему управление.

Дальнейшая загрузка операционной системы происходит под контролем вируса. Поэтому его тяжело обнаружить даже с помощью антивирусных программ.

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков. То есть они комбинируют методы заражения для файловых и загрузочных вирусов.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

а) неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках. Действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;

б) опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;

в) очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

Вирусы – паразиты.

Вирусы-паразиты – это простейшие вирусы. Они только изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

Черви распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. То есть черви поражают не отдельные программы, а целую систему.

Основная функция червей - взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.

Это очень опасный вид вирусов, так как объектами бывают информационные системы государственного масштаба.

С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу.

Часто черви передаются по сети с помощью троянских коней.

Дата добавления: 2014-01-07; Просмотров: 3917; Нарушение авторских прав?; Мы поможем в написании вашей работы!