Разновидности компьютерных вирусов и методы защиты от них. Основные антивирусные программы

Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.

1.2.3 КЛАССИФИКАЦИЯ  ВИРУСОВ ПО ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ

По деструктивным возможностям вирусы можно разделить на :

безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;

Опасные – вирусы, которые могут привести к серьезным сбоям в работе;

очень опасные, могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т.д.

1.2.4 КЛАССИФИКАЦИЯ  ВИРУСОВ ПО ОСОБЕННОСТЯМ АЛГОРИТМА

Здесь можно выделит следующие основные группы вирусов:

компаньон-вирусы(companion) – алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением COM. При запуске такого файла DOS первым обнаружит и выполнит COM-файлы, т.е. вирус, который затем запустит и EXE-файл;

вирусы-«черви»(worm) – вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов и не используя COV-EXE прием, описанный выше;

сетевые черви – смотрите ниже «сетевые вирусы»;

«паразитические» - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон-вирусами»;

«студенческие» - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок;

«стелс»-вирусы (вирусы-неведимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращение DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;

«полиморфик»-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) – достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика;

макро-вирусы – вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время широко распространены макро-вирусы, заражающие документы  текстового редактора Microsoft Word и электронные таблицы Microsoft Excel.

сетевые вирусы (сетевые черви) – вирусы, которые распространяются в компьютерной сети и, так же, как и коспаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера их компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевых вирусов известно всего несколько штук. Например, XMasTree, Вирус Морриса (Internet Worm).

На сегодняшний день сетевые вирусы не представляют никакой опасности, так как они нежизнеспособны в современных сетях, как глобальных (Internet), так и локальных (NetWare, NT). Однако это не мешает обычным DOS-вирусам и макро-вирусам поражать компьютерные сети (локальные и глобальные). Делают они это, в отличие от сетевых вирусов, не используя сетевые протоколы и «дыры» в программном обеспечении.

Заражению подвергаются файлы на «общих» дисках на серверах и рабочих местах, через которые эти вирусы перебираются и на другие рабочие места, а часто и передаются в Internet.

Чтобы противостоять нашествию компьютерных вирусов, необходимо выбрать правильную стратегию защиты от них, в том числе программные антивирусные средства, грамотно используя которые можно предотвратить вирусную атаку. А если он все же произойдет, вовремя ее обнаружить, локализовать и успешно отразить, не потеряв ценной информации.

 

2 ОСНОВНЫЕ ВИДЫ ВИРУСОВ И СХЕМЫ ИХ ФУНКЦИОНИРОВАНИЯ

Среди всего разнообразия вирусов можно выделить следующие основные группы:

• файловые
• загрузочные
• файлово-загрузочные

Теперь подробнее о каждой из этих групп.

2.1 ФАЙЛОВЫЕ ВИРУСЫ

Определение файлового вируса содержит описание механизма прикрепления вируса к телу файла:

Файловый вирус – это вирус, записывающий свой код в тело программного файла или офисного документа (документа, содержащего макрокоманды и созданного такой программой, как Microsoft Office или аналогичной).

При этом во время запуска программы (или загрузке офисного документа для редактирования) вирус получает управление.

Получив управление, файловый вирус может записать свое тело во все другие файлы, хранящиеся на диске компьютера.

Заражая файл, вирус записывает свой код внутрь выполняемого файла и изменяет его таким образом, чтобы после запуска файла управление получил код вируса (рис. 1-1).

 

Рис. 1-1. Внедрение вируса в файл

Вирус может записать свой код в конец, начало или середину файла. Вирус также может поместить несколько фрагментов своего кода в разных местах зараженной программы.

После внедрения в файл вирус выполняет другие вредоносные действия: заражает другие файлы, устанавливает в памяти собственные резидентные модули и пр. Затем вирус, как правило, передает управление зараженной программе и далее она исполняется как обычно.

В качестве примера на рис. 1-2 показано исходное содержимое программного файла mouse.com, а на рис. 1-2 – содержимое того же файла, но зараженного очень известного в прошлом опасным вирусом OneHalf.

 

Рис. 1-2. Содержимое программного файла mouse.com

Рис. 1-3. Вирус OneHalf в файле mouse.com

К файловым вирусам можно отнести и так называемые вирусы-спутники.

Как известно, в ОС MS-DOS и Microsoft Windows существуют три типа файлов, которые пользователь может запустить на выполнение. Это командные или пакетные файлы, имеющие расширение имени файла BAT, а также исполнимые файлы с расширениями COM и EXE.

В одном каталоге могут одновременно находиться несколько выполнимых файлов, имеющих одинаковое имя, но разное расширение имени. Например, в каталоге ОС MS-DOS записаны файлы MSD.COM и MSD.EXE. Вы можете создать в этом же каталоге командный файл MSD.BAT.

Когда пользователь желает выполнить программу и вводит ее имя в системном приглашении операционной системы, то он обычно не указывает расширение файла. Какой же файл будет выполнен?

Оказывается, в этом случае операционная система будет выполнять файл, имеющий расширение COM. Если в текущем каталоге или в каталогах, указанных в переменной среды PATH, существуют только файлы с расширением EXE и BAT, то выполняться будет файл с расширением EXE.

Когда вирус-спутник заражает файл, имеющий расширение EXE или BAT, он создает в этом же каталоге еще один файл с таким же именем и расширением COM. Вирус записывает себя в этот COM-файл.

2.2 ЗАГРУЗОЧНЫЕ ВИРУСЫ

Процесс загрузки операционной системы (ОС) с диска или дискеты производится в несколько шагов. На первом шаге программа загрузки считывает содержимое специальных областей диска, называемых загрузочными записями.

Загрузочные записи обычно расположены в самом начале диска (или дискеты), и содержат программный код, необходимый для выполнения следующих шагов загрузки ОС.

Главная загрузочная запись, находящаяся на жестком диске, называется Master Boot Record (MBR). Аналогичная запись на дискете носит название Boot Record (BR).

Этим обстоятельством воспользовались создатели компьютерных вирусов, создавшие так называемый загрузочный вирус:

Загрузочный вирус — такой вирус, который записывает свой код в главную загрузочную запись Master Boot Record диска или загрузочную запись Boot Record диска и дискет.

Загрузочный вирус активизируется после загрузки компьютера. Загрузочный вирус получает управление до программы загрузки ОС, в результате чего процедура управления выполняется под контролем вируса.

При заражении дискеты или жесткого диска компьютера загрузочный вирус заменяет загрузочную запись или главную загрузочную запись. Настоящая загрузочная запись или главная загрузочная при этом запись обычно не пропадает (хотя так бывает не всегда). Вирус копирует их в один из свободных секторов (см. рис. 1-4).

 

Рис. 1-4. Загрузочный вирус сохраняет исходное содержимое загрузочного сектора

Загрузочные вирусы распространяются через загрузочные записи дискет. Обычно это происходит, если пользователь предпринимает попытку загрузить ОС с зараженной дискеты. Чаще всего это происходит, когда пользователь забывает вынуть дискету из компьютера после окончания работы.

На рис. 1-5 показано исходное содержимое загрузочного сектора.

Рис. 1-5. Исходное содержимое загрузочного сектора

На рис. 1-6 представлен тот же сектор, что и на рис. 1-5, но зараженный вирусом Form.

Рис. 1-6. Фрагмент вируса Form в загрузочном секторе

2.3 ФАЙЛОВО-ЗАГРУЗОЧНЫЕ ВИРУСЫ

Загрузочные вирусы могут распространяться только через загрузочные записи дискет, а файловые вирусы – через файлы. Это в некоторой степени ограничивает их распространение.

Однако существуют комбинированные файлово-загрузочные вирусы, которые сочетают в себе свойства и файловых, и загрузочных вирусов:

Файлово-загрузочный вирус – комбинация файлового и загрузочного вируса.Он прикрепляется к загрузочной записи диска или дискет, а также к программным файлам. Активизируется после загрузки компьютера с зараженного диска (дискеты) или при запуске зараженного файла

Файлово-загрузочный вирус прикрепляется к загрузочной записи диска или дискет, а также к программным файлам. Вирус этого типа активизируется после загрузки компьютера с зараженного диска (дискеты) или при запуске зараженного файла.

Файлово-загрузочные вирусы могут распространяться как файловые, прикрепляясь затем к загрузочным записям дисков и дискет. Они также способны распространяться через загрузочные записи дискет, заражая затем файлы.

Этот факт двойственного поведения и отражен в названии данного типа вирусов.

2.4 ШИФРУЮЩИЕСЯ И ПОЛИМОРФНЫЕ ВИРУСЫ

Чтобы затруднить обнаружение, некоторые вирусы шифруют свой код. Каждый раз, когда вирус заражает новую программу, он зашифровывает собственный код, используя новый ключ. В результате два экземпляра такого вируса могут значительно отличаться друг от друга, даже иметь разную длину.

Естественно, вирус может работать только в том случае, если исполняемый код расшифрован. Когда запускается зараженная программа (или начинается загрузка с зараженной загрузочной записи) и вирус получает управление, он должен расшифровать свой код.

Процедура расшифровки не может сама быть зашифрована, в противном случае она не сможет работать. Этим пользуются антивирусные программы, использующие в качестве сигнатуры код процедуры расшифровки.

Тем не менее, авторы вирусов нашли выход из этой ситуации. Для шифрования вирусов они стали использовать не только разные ключи, но и разные процедуры шифрования. Два экземпляра таких вирусов не имеют ни одной совпадающей последовательности кода. Такие вирусы, которые могут полностью изменять свой код, получили название полиморфных. Наиболее известные из них – это Phantom-1, Natas,OneHalf, SatanBug.

Первым полиморфным вирусом считают V2Px.1260. Он был создан Марком Вашбурном (Mark Washburn) в качестве экспериментального вируса. На настоящий момент существует огромное количество полиморфных вирусов. Вот только несколько их названий: Basilisk.1639, CeCe.1994, CeCe.1998, CommanderBomber, Dir-II.TheHndV, Flip.2153, Flip.2343, Flip.2365, Fly.1769, Holms.6161, Invisible.2926, Invisible.3223, RDA.Fighter.5871, RDA.Fighter.5969, RDA.Fighter.7408, RDA.Fighter.7802.

К сожалению, сегодня создавать полиморфные вирусы могут не только программисты, обладающие высокой квалификацией. Существует несколько готовых средств разработки таких вирусов. Они позволяют разрабатывать полиморфные вирусы без понимания того, как последние устроены.

Первым таким средством создания полиморфных вирусов стал Dark Angel MuTation Engine (иногда называется MtE или DAME), созданный болгарским автором вирусов известным, как Dark Avenger.

В состав MuTation Engine входит объектный модуль, который необходимо подключить к создаваемому вирусу, подробная документация и пример его использования. Благодаря MuTation Engine появилось много полиморфных вирусов. Среди них MtE.CoffeeShop, MtE.Darkstar, MtE.Dedicated.

Вслед за MuTation Engine появились еще несколько средств разработки полиморфных вирусов, имеющих различный уровень сложности и сервиса:

• AWME (Anti WEB Mutation Engine)
• CLME (Crazy Lord Mutation Engine)
• DSCE (Dark Slayer Confusion Engine)
• GCAE (Golden Cicada Abnormal Engine)
• NED (NuKE Encryption Device)
• SMEG (Simulated Metamorphic Encryption Generator)
• (TridenT Polymorphic Engine)
• VICE (Virogen's Irregular Code Engine)