Как называются вирусы запускающие себя путем включения
И снова здравствуйте.
Тема сегодняшней статьи компьютерные вирусы. Виды компьютерных вирусов, принципы их работы, пути заражения компьютерными вирусами.
Что вообще такое компьютерные вирусы.
Виды вредоносных программ.
Разделить вредоносные программы можно на два основных вида.
Вирусы и черви.
Но он явно попал не через интернет а скорее всего через пиратский диск. Суть его работы была таковой — он создавал будто бы копию каждой папки в компьютере или на флешке. Но на самом деле он создавал не похожую папку а exe файл. При нажатии на такой exe файл он распространялся ещё сильнее по системе. И вот было только избавишься от него, придешь к другу с флешкой, скинуть у него музыку а возвращаешься с зараженной таким червем флешку и снова приходилось его выводить. Наносил ли этот вирус какой то ещё вред системе я не знаю, но вскоре этот вирус прекратил своё существование.
Основные разновидности вирусов.
Пути заражения компьютерными вирусами.
Основные пути заражения.
— Уязвимость операционной системы.
— Уязвимость в браузере
— Качество антивируса хромает
— Глупость пользователя
— Сменные носители.
Уязвимость ОС — как бы не старались клепать защиту для ОС со временем находятся дыры безопасности. Большинство вирусов пишется под windows так как это самая популярная операционная система. Лучшая защита это постоянно обновлять вашу операционную систему и стараться использовать более новую версию.
Браузеры — Здесь происходит за счёт уязвимостей браузеров, особенно если они опять же старые. Лечится так же частым обновлением. Так же могут быть проблемы если вы качаете плагины для браузера со сторонних ресурсов.
Антивирусы — бесплатные антивирусы которые имеют меньший функционал в отличие от платных. Хотя и платные не дают 100 результата в защите и дают осечки. Но желательно иметь всё же хотя бы бесплатный антивирус. Я уже писал про бесплатные антивирусы в этой статье.
Глупость пользователя — клики по баннерам, переходи по подозрительным ссылкам из писем и тд, установка софта из подозрительных мест.
Сменные носители — вирусы могут устанавливаться автоматически с зараженных и специально подготовленных флешек и прочих сменных носителей. Не так давно мир услышал про уязвимость BadUSB.
Виды заражаемых объектов.
Файлы — Заражают ваши программы, системные и обычные файлы.
Загрузочные секторы — резидентные вирусы. Заражают как понятно из названия загрузочные сектора компьютера, приписывают свой код в автозагрузку компьютера и запускаются при запуске операционной системе. Порою хорошо маскируются что трудно убрать из автозагрузки.
Макрокоманды — Документы word, excel и подобные. Использую макросы и уязвимости средств Microsoft office вносит свой вредоносный код в вашу операционную систему.
Признаки заражения компьютерными вирусами.
Не факт что при появлении некоторых из этих признаков означает наличие вируса в системе. Но если они имеются рекомендуется проверить свой компьютер антивирусом или обратиться к специалисту.
Один из распространенных признаков — это сильная перегрузка компьютера. Когда у вас медленно работает компьютер, хотя у вас ничего вроде бы не включено, программ которые могут сильно нагружать компьютер. Но если у вас антивирус заметьте антивирусы сами по себе нагружают компьютер очень хорошо. А в случае отсутствия такого софта который может грузить то скорее тут вирусы. Вообще советую по уменьшить для начала количество запускаемых программ в автозапуске.
Медленная загрузка программ, так же может быть одним из признаков заражения.
Но не все вирусы могут сильно нагружать систему, некоторые практически трудно заметить изменения.
Системные ошибки. Перестают работать драйвера, некоторые программы начинают работать не правильно или часто вылетают с ошибкой но раньше допустим такого не замечалось. Или начинают часто перезагружаться программы. Конечно такое бывает из за антивирусов, например антивирус удалил по ошибке посчитав системный файл вредоносным, либо удалил действительно зараженный файл но он был связан с системными файлами программы и удаление повлекло за собой такие ошибки.
Появление рекламы в браузерах или даже на рабочем столе начинают появляться баннеры.
Появление не стандартных звуков при работе компьютера (писк, щелчки ни с того ни с сего и подобное).
Открывается сам по себе CD/DVD привод, или просто начинает словно читать диск хотя диска там нет.
Длительное включение или выключение компьютера.
Угон ваших паролей. Если вы заметили что от вашего имени рассылается различный спам, с вашего почтового ящика или странички социальной сети, как вероятность что вирус проник в ваш компьютер и передал пароли хозяину, если вы заметили такое рекомендую провериться антивирусом в обязательном порядке (хотя не факт что именно так злоумышленник получил ваш пароль).
Частое обращение к жесткому диску. У каждого компьютера есть индикатор, который мигает когда используют различные программы или когда копируете, скачиваете, перемещаете файлы. Например у вас просто включен компьютер но не используется никаких программ, но индикатор начинает часто мигать якобы используются программы. Это уже вирусы на уровне жесткого диска.
Вот собственно и рассмотрели компьютерные вирусы которые могут вам встретиться в интернете. Но на самом деле их в разы больше, и полностью защититься не возможно, разве что не пользоваться интернетом, не покупать диски и вообще не включать компьютер.
Советую по возможности не пренебрегать использованием виртуальных машин или песочницы.
Берегите себя и свои компьютеры.
Компьютерным вирусом называется программа, обычно малая по размеру (от 200 до 5000 байт), которая самостоятельно запускается, многократно копирует свой код, присоединяя его к кодам других программ ("размножается") и мешает корректной работе компьютера и/или разрушает хранимую на магнитных дисках информацию (программы и данные).
Существуют вирусы и менее "злокачественные", вызывающие, например, переустановку даты в компьютере, музыкальные (проигрывающие какую-либо мелодию), приводящие к появлению на экране дисплея какого-либо изображения или к искажениям в отображении дисплеем информации, "осыпанию букв" и т.д.
Создание компьютерных вирусов можно квалифицировать с юридической точки зрения как преступление.
Разновидности компьютерных вирусов
Среди всего разнообразия компьютерных вирусов следует выделить следующие группы:
загрузочные (boot) вирусы заражают программу начальной загрузки компьютера, хранящуюся в загрузочном секторе дискеты или винчестера, и запускающиеся при загрузке компьютера;
файловые вирусы в простейшем случае заражают пополняемые файлы, но могут распространяться и через файлы документов (системы Word for Windows) и даже вообще не модифицировать файлы, а лишь иметь к ним какое-то отношение;
загрузочно-файловые вирусы имеют признаки как загрузочных, так и файловых вирусов;
драйверные вирусы заражают драйверы устройств компьютера или запускают себя путем включения в файл конфигурации дополнительной строки.
Из вирусов, функционирующих не на персональных компьютерах под операционной системой MS DOS, следует упомянуть сетевые вирусы, распространяющиеся в сетях, объединяющих многие десятки и сотни тысяч компьютеров.
Простейшие загрузочные вирусы, резидентно находясь в памяти зараженного компьютера, обнаруживают в дисководе незараженную дискету и производят следующие действия:
выделяют некоторую область дискеты и делают ее недоступной операционной системе (помечая, например, как сбойную - bad);
замещают программу начальной загрузки в загрузочном секторе дискеты, копируя корректную программу загрузки, а также свой код, в выделенную область дискеты;
организуют передачу управления так, чтобы вначале выполнялся бы код вируса и лишь затем - программа начальной загрузки.
Принцип функционирования файловых вирусов. Файловый вирус не обязательно является резидентным, он может, например, внедриться в код исполняемого файла. При запуске зараженного файла вирус получает управление, выполняет некоторые действия и возвращает управление коду, в который он был внедрен. Действия, которые выполняет вирус, включает поиск подходящего для заражения файла, внедрение в него так, чтобы получить управление файла, произведение некоторого эффекта, например, звукового или графического. Если файловый вирус резидентный, то он устанавливается в памяти и получает возможность заражать файлы и проявляться независимо от первоначального зараженного файла.
Загрузочно-файловые вирусы используют принципы как загрузочных, так и файловых вирусов, и являются наиболее опасными.
"Троянские кони", программные закладки и сетевые черви.
"Троянский конь" - это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или "троянизировать" другие программы - вносить в них разрушающие функции. "Троянские кони" представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Если вирусы и "Троянские кони" наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа "червь", действующих в компьютерных сетях, - взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности. В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды. Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь. Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т.к. ему в любой момент может подвергнуться любой из миллионов компьютеров, подключенных к этой сети.
Компьютерные вирусы отличаются друг от друга по тому, в какие объекты они внедряются, иначе говоря, что они заражают. Впрочем, некоторые вирусы заражают несколько видов объектов.
Большинство вирусов распространяется, заражая исполнимые файлы, т.е. файлы с расширением имени .COM и .EXE, а также оверлейные файлы (то есть вспомогательные программные файлы, загружаемые при выполнении других программ). Такие вирусы называются файловыми. Вирус в заражённых исполнимых файлах начинает свою работу при запуске той программы, в которой он находиться. Например, вирус Virus.Win9x.CIH.
Ещё один широко распространённый вид вирусов внедряется в начальный сектор дискет или логических дисков, где находиться загрузчик оперативной системы, или в начальный сектор жёстких дисков, где находится таблица разбиения жёсткого диска и небольшая программа, осуществляющая загрузку с одного из разделов, указанных в этой таблице. Такие вирусы называются загрузочными. Эти вирусы начинают свою работу при загрузке компьютера с заражённого диска. Загрузочные вирусы всегда являются резидентными и заражают вставляемые в компьютер дискеты. Встречаются также загрузочные вирусы, заражающие и файлы - файлово-загрузочные вирусы.
Для заражения компьютера загрузочным вирусом достаточно всего один раз оставить заражённую дискету в дисководе А: в момент перезагрузки компьютера. При этом вирус заразит жёсткий диск компьютера. И после этого при загрузке с жёсткого диска компьютера будет запускаться вирус. Например, вирус Virus.Boot.Snow.
Некоторые вирусы умеют заражать драйверы, то есть файлы, указываемые в предложении DEVICE или DEVICEHIGH файла CONFIG. SYS. Вирус, находящийся в драйвере, начинают свою работу при загрузке данного драйвера из файла CONFIG. SYS при начальной загрузке компьютера. Обычно заражающие драйверы вирусы заражают также исполнимые файлы или загрузочные сектора дискет, поскольку иначе им не удавалось бы распространяться - ведь драйверы очень редко переписывают с одного компьютера на другой. Иногда заражение драйверов используется в качестве этапа в стратегии распространении вируса. Например, вирус JEWS-2339 при загрузке из исполнимого файла заражает все драйверы, обнаруженные в CONFIG. SYS, а при загрузке заражённого драйвера становиться резидентным и заражает все файлы на дискетах (а на жёстком диске, наоборот, лечит).
Очень редкой разновидностью вирусов являются вирусы, заражающие командные файлы. Обычно, эти вирусы формируют с помощью команд командного файла (команд ECHO и др.) исполнимый файл на диске (как правило, в формате .COM), запускают этот файл, он выполняет размножение вируса и вредящие действия, после чего данный файл стирается. Вирус в заражённых командных файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов заражённого командного файла вставляется в файл AUTOEXEC. BAT.
Летом 1995 года появилась новая разновидность вирусов - вирусы, заражающие документы Word для Windows версии 6.0 и 7.0. Вследствие распространённости редактора Word для Windows такие документы имеются почти на каждом компьютере. Долгое время заражение файлов документов считалось невозможным, так как документы не содержали исполнимых программ. Однако программисты фирмы Microsoft встроили в документы Word для Windows мощный язык макрокоманд WordBasic. При этом макрокоманды не видны в редактируемом - для их просмотра и редактирования надо выбрать в группе меню Tools (сервис) пункт Macro (Макрос), а много ли пользователей вообще что-то слышали об этом пункте меню. На этом WordBasic стало возможно писать вирусы. Запуск вируса происходит при открытии на редактирование заражённых документов. При этом макрокоманды вируса записываются в глобальный шаблон NORMAL..DOT, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован. При наличии вируса, при сохранении редактируемых документов на диск под новым именем (командой Save As) вирус копирует свои макрокоманды в записываемый на диск документ, так что тот оказывается заражённым. Например, вирус Melissa.A.
Результаты воздействия вирусов
Внедряются в программы и активизируются при их запуске.
Вирусы – это неклеточные инфекционные агенты, обладающие геномом (ДНК и РНК), но не одаренные синтезирующим аппаратом. Для воспроизведения этим микроорганизмам необходимы клетки более высокоорганизованных организмов. Попадая в клетки, они начинают размножаться, вызывая развитие различных заболеваний. Каждый вирус имеет специфический механизм действия на своего носителя. Иногда человек даже не подозревает, что является вирусоносителем, поскольку вирус не наносит вреда здоровью, такое состояние известно как латентность, например герпес.
Для предупреждения вирусных заболеваний важно ведение здорового образа жизни, укрепление защитных сил организма.
Происхождение и строение
Существует несколько гипотез происхождения вирусов. Наука предлагает версию о возникновении вирусов из фрагментов РНК и ДНК, которые высвободились от крупного организма.
Регрессивная гипотеза утверждает, что вирусы – это паразитарные организмы с мелкими клетками, которые размножаются в более крупных видах, однако в период эволюции потеряли гены, требующиеся для паразитарной формы выживания.
Коэволюция предполагает, что вирусы появились одновременно с живыми клетками в результате построения непростых наборов нуклеиновых кислот и белков.
Вопросы о том, какое строение вируса, как он размножается и передается, изучаются специальным разделом микробиологии - вирусологией.
Каждая вирусная частица имеет генетическую информацию (РНК или ДНК) и белковую мембрану (капсид), которая выступает в качестве защиты.
Вирусы бывают разных форм, различают от простого спирального вида до икосаэдрического. Стандартная величина составляет приблизительно 1/100 величины средней бактерии. Однако большинство вирусов имеют очень маленькие размеры, что затрудняет их исследование под микроскопом.
Живая ли материя - вирус?
Отличают два определения форм жизни вирусов. Согласно первому, внеклеточные агенты являются совокупностью органических молекул. Второе определение утверждает, что вирусы – специальная форма жизни. Ответить на вопрос, какие существуют вирусы, конкретно и окончательно невозможно, поскольку биология предполагает постоянное появление новых видов. Они похожи на живые клетки тем, что обладают специальным комплектом генов и эволюционируют согласно способу естественного набора. Для существования им требуется клетка-хозяин. Отсутствие собственного метаболизма не дает возможности размножаться без посторонней помощи.
Современная наука разработала версию, согласно которой у определенных бактериофагов имеется собственный иммунитет, способный к адаптации. Это является доказательством того, что вирусы – это форма жизни.
Вирусные заболевания – что такое?
Заболевания, вызванные вирусами, в основном проявляются в результате ослабления иммунной системы и повышения температуры, когда образуется благоприятное состояние, чтобы вирусные болезни человека получили дальнейшее развитие после проникновения патогенных микроэлементов. Заболевания развиваются в результате проникновения в клетки организма человека вирусов, когда они начинают активно размножатся, паразитируя на разных зонах тела, используя их как питательный субстрат. Вирусы в итоге своей жизнедеятельности, вызывают гибель клеток, что предшествует проявлению клинической симптоматики заболевания.
Вирусы растительного мира
Если задаваться вопросом, какие вирусы есть, то, кроме вирусов, опасных для человеческого организма, можно выделить особый тип вирусов, поражающих растения. Они не опасны для человека или животных, поскольку способны размножаться только в растительных клетках.
Растительный мир от патогенных микроорганизмов может защищаться с помощью гена устойчивости. Часто пораженные вирусом растения начинают синтезировать вещества, которые уничтожают паразитарные агенты (NO, салициловая кислота). Опасность этих вирусов в том, что они влияют на урожайность.
Искусственные вирусы
Искусственные вирусы создают для получения вакцин против инфекций. Не полностью известен список, какие вирусы есть в арсенале медицины, созданные искусственным путем. Однако можно с уверенностью сказать, что создание искусственного вируса может иметь массу последствий.
Получают такой вирус, введя в клетку искусственный ген, носящий информацию, необходимую для образования новых типов.
Вирусы, поражающие человеческий организм
Какие вирусы есть в списке опасных для человека и вызывающих необратимые изменения внеклеточных агентов? Вот аспект изучения современной науки.
Самым простым вирусным заболеванием является простуда. Но на фоне ослабленного иммунитета вирусы могут вызвать и довольно серьезные патологии. Каждый патогенный микроорганизм влияет на организм своего хозяина определенным образом. Некоторые вирусы могут годами жить в организме человека и не причинять ему вреда (латентность).
Определенные латентные виды даже полезны для человека, поскольку их присутствие формирует иммунный ответ против бактериальных патогенных агентов. Некоторые инфекции носят хронический или пожизненный характер, что сугубо индивидуально и обусловлено защитной способностью вирусоносителя.
Распространение вирусов
Передача вирусных инфекций у людей возможна от человека к человеку или от матери к малышу. Скорость передачи или эпидемиологическое состояние зависит от плотности населения данного региона, от погодных условий и сезона, а также от качества медицины. Предупредить распространение вирусных патологий можно, если своевременно уточнить, какой сейчас вирус фиксируется у большинства пациентов, и проводить соответственные профилактические мероприятия.
Вирусные заболевания проявляются абсолютно по-разному, что связано с видом внеклеточного агента, вызвавшего болезнь, с местом локализации, со скоростью развития патологии. Вирусы человека классифицируются как смертельные и вялотекущие. Последние опасны тем, что симптоматика бывает невыраженной или слабой, и обнаружить проблему быстро не удается. За это время патогенный организм может размножаться и стать причиной серьезных осложнений.
Ниже представлен перечень основных видов вирусов человека. Он позволяет уточнить, какие вирусы есть и какие именно патогенные микроорганизмы вызывают опасные для здоровья заболевания:
- Ортомиксовирусы. Сюда входят все типы вирусов гриппа. Узнать, какой вирус гриппа вызвал патологическое состояние, помогут специальные анализы.
- Аденовирусы и риновирусы. Поражают дыхательную систему, вызывают ОРВИ. Признаки заболевания схожи с гриппом, могут стать причиной таких тяжелых осложнений, как пневмония, бронхит.
- Герпесвирусы. Активизируются на фоне сниженного иммунитета.
- Менингит. Патологию вызывают менингококки. Поражается слизистая головного мозга, питательным субстратом для патогенного организма является ликвор.
- Энцефалит. Оказывает негативное воздействие на оболочку головного мозга, вызывая необратимые изменения ЦНС.
- Парвовирус. Вызванные этим вирусом заболевания очень опасны. У пациента наблюдаются судороги, воспаление спинного мозга, паралич.
- Пикорнавирусы. Вызывают гепатиты.
- Ортомиксовирусы. Провоцируют паротит, корь, парагрипп.
- Ротавирус. Внеклеточный агент вызывает энтерит, кишечный грипп, гастроэнтерит.
- Рабдовирусы. Являются возбудителями бешенства.
- Паповирусы. Вызывают папилломатоз у человека.
Ретровирусы. Являются возбудителями ВИЧ, а после и СПИДа.
Опасные для жизни вирусы
Некоторые вирусные заболевания встречаются довольно редко, но они несут серьезную опасность для жизни человека:
- Туляремия. Вызывается болезнь инфекционной палочкой Francisellatularensis. Клиническая картина патологии напоминает чуму. В организм проникает воздушно-капельным путем или при укусе комара. Передается от человека к человеку.
- Холера. Фиксируется болезнь очень редко. Вирус холерного вибриона попадает в организм при употреблении грязной воды, зараженной пищи.
- Болезнь Крейтцфельдта – Якоба. В большинстве случаев у больного регистрируется летальный исход. Передается через зараженное мясо животных. Возбудителем является прион – специальный белок, который разрушает клетки. Проявляется психическим расстройством, сильным раздражением, слабоумием.
Определить, какой тип вируса вызвал заболевание, возможно путем проведения лабораторных исследований. Важным аргументом является эпидемическое состояние данного региона. Немалое значение имеет и выяснение того, какой вирус сейчас ходит.
Признаки вирусных инфекций и вероятные осложнения
Основная часть вирусов провоцирует возникновение острых респираторных заболеваний. Выделяют следующие проявления ОРВИ:
- развитие ринита, кашель с прозрачной слизью;
- повышение температурных показателей до 37,5 градуса или лихорадка;
- чувство слабости, головные боли, снижение аппетита, боли в мышцах.
Несвоевременное лечение может стать причиной серьезных осложнений:
- аденовирус может вызывать воспаление поджелудочной железы, что приводит к развитию сахарного диабета;
- бета-гемолитический стрептококк, который является возбудителем ангины и других видов заболеваний воспалительного характера, при сниженном иммунитете может провоцировать болезни сердца, суставов, эпидермиса;
- грипп и ОРВИ часто осложняются пневмонией у детей, пожилых больных, беременных.
Вирусные патологии могут вызвать и другие серьезные осложнения – гайморит, поражение суставов, патологии сердца, синдром хронической усталости.
Диагностика
Специалисты определяют вирусную инфекцию по общим симптомам, опираясь на то, какой вирус сейчас ходит. Для определения вида вируса применяют вирусологические исследования. Современная медицина широко использует методы иммунодиагностики, в том числе иммуноиндикации, серодиагностики. Какие сдать анализы на вирусы, решает специалист на основании визуального осмотра и собранного анамнеза.
- иммуноферментное обследование;
- радиоизотопный иммунный анализ;
- исследование ответа торможения гемагглютинации;
- реакция иммунофлюоресценции.
Лечение вирусных заболеваний
Курс лечения выбирают в зависимости от возбудителя, уточнив, какие типы вирусов вызвали патологию.
Для терапии вирусных заболеваний применяют:
- Препараты, стимулирующие иммунитет.
- Лекарственные средства, которые уничтожают конкретный вид вируса. Диагноз при вирусной инфекции необходим, поскольку важно уточнение, какой вирус лучше реагирует на выбранный препарат, что позволяет делать лечебную терапию более целенаправленной.
- Медикаменты, увеличивающие чувствительность клеток к интерферону.
Для лечения распространенных вирусных болезней применяют:
- "Ацикловир". Назначают при герпесе, он устраняет патологию полностью.
- "Релезан", "Ингавирин", "Тамифлю". Назначают при разных видах гриппа.
- Интерфероны вместе с "Рибавирином" применяют для лечения гепатита В. Для лечения гепатита С применяют препарат нового поколения – "Симепревир".
Профилактика
Профилактические меры выбираются в зависимости от типа вируса.
Предупреждающие меры разделяют на два основных направления:
- Специфическое. Проводятся с целью выработки у человека специфического иммунитета путем вакцинации.
- Неспецифическое. Действия должны быть направлены на укрепление защитной системы организма, путем обеспечения небольших физических нагрузок, правильно составленного рациона и соблюдения норм личной гигиены.
Вирусы – живые организмы, избежать которых почти невозможно. Для предупреждения серьезных вирусных патологий необходимо проводить вакцинацию согласно графику, вести здоровый образ жизни, организовать сбалансированный рацион питания.
Физическая структура компьютерного вируса достаточно проста, поскольку состоит из головы и, возможно, хвоста. Голова вируса — компонента вируса, получающая управление первой. Хвост — это часть вируса, расположенная в коде зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегмен- тированными; вирусы, содержащие голову и хвост, — сегментированными.
Жизненный цикл вируса обычно включает следующие периоды:
- • внедрение;
- • инкубационный период;
- • период репликации (саморазмножение);
- • проявление.
В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на носителях информации.
Принцип работы вируса.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоноси- теля, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.
Наиболее существенные признаки компьютерных вирусов позволяют классифицировать последние по четырем критериям.
- • резидентные вирусы — вирусы, которые после активации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам;
- • транзитные вирусы — вирусы, которые выполняются только в момент запуска зараженной программы.
• файловые вирусы — вирусы, заражающие файлы.
В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:
- — исполняемые файлы;
- — командные файлы;
- — файлы, составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы);
- — файлы с драйверами устройств;
- — файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, с библиотеками динамической компоновки и т.п.;
- • загрузочные (бутовые) вирусы — вирусы, заражающие код, хранящийся в системных областях дисков.
Загрузочные вирусы подразделяются на вирусы, заражающие:
- — системный загрузчик, расположенный в загрузочном секторе логических дисков;
- — внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.
- • перезаписывающие вирусы (overwriting);
- • паразитические вирусы (parasitic);
- • вирусы-компаньоны (companion);
- • вирусы-ссылки (.link);
- • вирусы, заражающие объектные модули (OBJ);
- • вирусы, заражающие библиотеки компиляторов (LIB);
- • вирусы, заражающие исходные тексты программ.
Перезаписывающие вирусы записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Как результат файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
Паразитические вирусы. К таковым относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными.
Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting).
Внедрение вируса в начало файла. Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется на освободившееся место.
При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу. Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу ОС).
Внедрение вируса в конец файла. Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.
Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным блоком байтов, при этом вирус записывает свой код вместо такого блока. Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса — в этом случае файл может быть необратимо испорчен.
Вирусы-компаньоны — это вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вредоносных программ состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник.
К вирусам данного типа относятся вирусы, которые при заражении переименовывают файл, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл Notepad.exe переименовывается в Notepad.exd, а вирус записывается под именем Notepad.exe. При запуске управление получает код вируса, который затем запускает оригинальный Notepad, ехе, который был переименован в Notepad.exd.
Существуют и другие типы вирусов-компаньонов, использующих иные оригинальные идеи или особенности операционных систем. Например, path-компаньоны размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке переменной окружения Path и файлы для запуска Windows в первую очередь будут искать именно его (этот каталог). Данным способом собственного запуска пользуются также многие программы- черви и троянские программы.
- • вирусы, не использующие средств маскировки;
- • stealth-вирусы — вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных;
- • вирусы-мутанты (MtE-вирусы) — вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса.
В свою очередь, MtE-вирусы подразделяются на две группы:
- — обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;
- — полиморфные вирусы, в разных копиях которых различаются не только зашифрованные, но и их дешифрованные тела.
Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.
Файловый транзитный вирус целиком размещается в исполняемом файле, в связи с чем он активируется только в случае активирования вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса.
В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования, резидентные вирусы могут реализовывать самые разные способы инфицирования, среди которых наиболее распространенным является инфицирование запускаемых программ, а также файлов при их открытии или чтении. Отличительной особенностью последних является инфицирование загрузочного сектора (бут-сектор) носителя данных. Голова бутового вируса всегда находится в бут-секторе, а хвост — в любой другой области носителя. Наиболее безопасным для вируса способом считается размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост бутового вируса всегда содержит копию оригинального (исходного) бут-сектора.
Механизм инфицирования, реализуемый бутовыми вирусами, например, при загрузке ОС, таков. При загрузке ОС с инфицированного носителя вирус, в силу своего положения на нем (независимо от того, с CD, флеш-карты или с винчестера производится загрузка), получает управление и копирует себя в оперативную память. Затем он модифицирует вектор прерываний таким образом, чтобы прерывания при обращении к диску обрабатывались собственным обработчиком прерываний вируса, и запускает загрузчик ОС. Посредством перехвата прерываний бутовые вирусы могут реализовывать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.
Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.
Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.
Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Наибольшее число макровирусов функционируют под управлением системы ОС Windows. В то же время известны макровирусы, работающие под управлением и других операционных систем.
- • VBS-вирусы, написанные на языке Visual Basic Script;
- • JS-вирусы, написанные на языке Java Script;
- • ВАТ-вирусы, написанные на языке командного интерпретатора MS-DOS (на ВАТ-языке);
- • PIF-eupyc в формате PIF(Program Information File);
- • WScript-черви, как правило, встроенные в HTML-файлы;
- • РНР-скрипт-вирусы, написанные на языке РНР, либо вирусы, заражающие РНР-файлы;
- • HTML-вирусы, встраиваемые в HTML-страницы;
- • Perl-вирусы, написанные на языке Perl.
Сетевые вирусы наиболее просто реализуют размножение в тех случаях, когда сетевыми протоколами предусмотрен обмен программами. Однако размножение возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями. Классическим примером реализации процесса размножения с использованием только стандартных средств электронной почты является репликатор Морриса. Текст репликатора передается от одного компьютера к другому, как обычное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти компьютера-адресата. В результате переполнения буфера, инициированного передачей, адрес возврата в программу, вызвавшую программу приема сообщения, замещается на адрес самого буфера, где к моменту возврата уже находится текст вируса. Тем самым вирус получает управление и начинает функционировать на компью- тере-адресате.
Сетевые черви — вредоносные программы, самостоятельно распространяющиеся через локальные и глобальные компьютерные сети. Классификация программ-червей включает:
- • почтовые программы-черви (Email-Worms) — вредоносные программы, использующие для своего распространения электронную почту. При этом червь отсылает либо свою копию в виде вложения в электронное письмо, либо ссылку на свой файл, расположенный на каком-либо веб-сервере;
- • программы-черви, использующие интернет-пейджеры (IM- Worms) — вредоносные программы, использующие для своего распространения рассылку на обнаруженные контакты из контакт-листа интернет-пейджера (программы ICQ, MSN Messenger, Yahoo Messenger, Google Talk, AOL Instant Messenger, Trillian, Miranda, QIP и др.) сообщений, содержащих ссылку на свой файл;
- • программы-черви в IRC-каналах (IRC-Worms) — вредоносные программы, которые распространяются, используя среду IRC каналов СInternet Relayed Chat channels);
- • классические сетевые программы-черви (Net-Worms) — вредоносные программы, использующие для своего распространения уязвимости в операционных системах и прикладном ПО или распространяющиеся с помощью копирования себя на сетевые ресурсы;
- • программы-черви для файлообменных сетей (P2P-Worms) — вредоносные программы, использующие для своего распространения Р2Р-сети (распространяющиеся с помощью программ eMule, eDonkey, Kazzaa, DC++, BitTorrent, Gnutella, FastTrack и др.);
- • вирусные черви — вредоносные программы, которые незаметно перемещаются между узлами вычислительной сети, не нанося никакого вреда до тех пор, пока не доберутся до целевого узла. В нем программа размещается и перестает размножаться.
Читайте также: