Вирус onehalf получил свое название от поведения
ЗДОРОВЬЕ ВАШЕГО КОМПЬЮТЕРА
Мы уже рассказывали на страницах КИ об этом опасном полиморфном вирусе в сентябре прошлого года. Однако события последних недель показали необходимость повторной публикации материала. Эпидемия вируса OneHalf снова обрушилась на наш город. К сожалению, от этого вируса серьезно пострадали некоторые известные петербургские организации. И причины, которые вызвали тяжелые последствия, зачастую кроются в неквалифицированных действиях людей, взявших на себя смелость лечения зараженных компьютеров. Несмотря на предупреждения, которые были высказаны в предыдущей публикации, наиболее частая ошибка - выключение питания или перезапуск компьютера во время лечения. Отнеситесь с большим вниманием к этой статье. Она поможет Вам при столкновении с вирусом OneHalf.
В дополнение хотим заметить, что вирус OneHalf продолжает привлекать внимание вирусописателей. С момента предыдущей публикации появилась очередная модификация вируса OneHalf.3544. И нет гарантии, что она последняя. Сегодня антивирусной программе Dr. Web известны 7 модификаций вируса OneHalf.3544, а также вирусы OneHalf.3570, OneHalf.3577, OneHalf.3666. И еще считаем нелишним напомнить, что с 1 января 1997 года вступил в действие новый Уголовный кодекс РФ, в котором уделено внимание и вирусописанию, и их распространению. Отныне, это занятие - уголовно-наказуемое дело. По данным из официального источника, в Волгограде задержан один из распространителей вирусов, в числе которых есть и OneHalf.
Первый вирус из семейства OneHalf появился весной 1994. В том же году и случилась первая серьезная эпидемия - ведь вирус не был известен ни одной антивирусной программе, а высокая скорость его распространения обуславливалась не только свойствами самого вируса, но и огромными масштабами привычного для нашей страны способа приобретения программ. Не будет преувеличением сказать, что достаточно оперативная реакция разработчика программы Dr. Web (в то время просто WEB) Игоря Данилова, довольно быстро привела к тому, что начинавшиеся вспышки эпидемии угасали, нанося ущерб далеко не в каждом случае. Сегодня же антивирусная программа, не умеющая обнаруживать и уничтожать какой-либо из вариантов OneHalf, вряд ли может называться надежной.
Однако не так давно к разработчикам антивирусных средств снова стали обращаться пользователи ПК, пострадавшие от этого вируса, причем пострадавшие очень серьезно. При анализе поврежденных дисков стало ясно, что новой разновидности OneHalf не появилось. Во всех случаях действовали хорошо известные разновидности вируса. Но если современные антивирусные программы с ними справляются, то почему происходящее очень похоже на начало нового нашествия?
В журнале Техника-молодежи в 80-ых годах было опубликовано наблюдение времен Великой Отечественной войны. Опытные саперы, разминировавшие по сотне- полторы мин, погибали гораздо чаще, чем молодые новобранцы. Когда этот феномен стали изучать психологи, выяснилось, что после того, как сапер несколько десятков раз подержал в руках мину и остался жив, он просто терял осторожность.
Сравнение, возможно, не совсем корректное, однако, аналогию усмотреть можно. Иначе, чем еще объяснить тот факт, что многие пользователи, зная об этом опасном вирусе, спохватываются только тогда, когда на мониторе появляется трагическая надпись:
Dis is one half.
Press any key to continue .
Это говорит о том, что вирус обработал ровно половину жесткого диска и готов взяться за вторую. А когда он закончит, дело может обернуться катастрофой. В некоторых случаях ошибки, допущенные автором OneHalf, могут привести к тому, что окажутся испорченными системные области диска. Считайте, что Вам крупно повезло, если серьезная и кропотливая работа специалистов по криптографии поможет спасти хоть небольшую часть данных. В большинстве случаев это сделать будет невозможно.
Ряд простых, но эффективных мер может помочь избежать подобных неприятностей.
Что же из себя представляет этот вирус? Прежде всего, необходимо отметить, что OneHalf относится к полиморфным вирусам, каждая новая копия которых может ни в одном байте не совпадать с предыдущей. Кроме того, этот вирус заражает как главную загрузочную запись жесткого диска (MBR) или загрузочные сектора дискет, так и исполняемые файлы. Причем файлы заражаются нестандартным способом и оказываются как бы усеянными пятнами вирусного кода.
При каждой загрузке системы с жесткого диска последовательно, начиная с конца, вирусы шифруют содержимое всех секторов двух цилиндров на каждой головке диска. Когда вирусы находятся в памяти, они контролируют чтение данных секторов и расшифровывают их, при записи же снова производят шифрование.
Таким образом, для операционной системы их работа незаметна и данные на диске выглядят (только выглядят!) нормально. Алгоритм шифрования и используемые в нем ключи, уникальные для каждой копии вируса, находятся в теле вируса. Если в результате авторских недоделок вирус зашифрует весь диск и дойдет до самого себя - и алгоритм шифровки, и ключи могут быть безвозвратно потеряны. Разные версии вируса выводят разные тексты:
OneHalf.3544 (3): Dis is TWO HALF.
Fucks any key to Goрing.
OneHalf.3544 (4): HET - фu3uke u
ucToрuu B рacnucaHuu uy7 !
OneHalf.3544 (5): Disk is Tрu half.
(Bepx, Hu3 u Pe6po)
OneHalf.3544 (6): Dis is 3 HALF !.
Fucks any key to LoHing.
В теле вируса также содержатся текстовые строки, зависящие от его версии:
Did you leave the room?, DidYouLeaveTheRoom?, User is loh !, Coрyright(c) by Automatic Integerated Digital Software, 3TO - HE Buрyc, cyneрxakeр Ara6ekoB !, CugopeHKOB - gypak . WEB - LOH . Hail to the GREAT OneHalf's author!
Однако не стоит пытаться найти эти строки в зараженных файлах - они зашифрованы вместе с основным телом вируса. Видимо, для маскировки своего распространения, OneHalf не трогает программы с именами, начинающиеся на SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK, AIDS, ADINF, WEB - это имена антивирусных программ. Попытка исследовать активный вирус в памяти может привести к перезагрузке компьютера, а это значит - к шифровке еще нескольких секторов.
Из всего вышесказанного ясно, что обнаружение и лечение данного вируса является не такой уж и простой задачей. Но это не значит, что она невыполнима. Можно подсчитать, что для полной шифровки винчестера емкостью 0.5 ГБ, приводящей к утрате данных, необходимо перезагружать компьютер около 500 раз. При нормальной эксплуатации ПК на это может уйти несколько месяцев! За этот период всегда можно найти время для проверки здоровья компьютера одной или несколькими антивирусными программами. Для достижения хороших результатов (а в данном случае хороший результат является единственным приемлемым), в первую очередь, необходимо соблюдать общие правила работы с подобными программами.
К сожалению, сегодняшняя ситуация требует перед применением антивирусных средств убедиться в их собственной чистоте. Широко известны случаи распространения фальшивых или модифицированных программ, которые вместо лечения заражали компьютеры новыми вирусами или содержали в себе троянские компоненты, необратимо портящие данные. Каждая серьезная антивирусная программа имеет средства самопроверки, но их работа может быть блокирована.
Некоторые внешние средства проверки подлинности программы, такие как электронная подпись, обойти гораздо сложнее. Но даже те пользователи, которые умеют с ними обращаться, совершенно необоснованно считают такую проверку необязательной. Поэтому внимательно прочитайте ту часть руководства, в которой описаны подобные процедуры и не пренебрегайте ими. Тот факт, что никто из Ваших знакомых не сталкивался с фальшивыми антивирусами, не может являться страховым полисом! И все-таки самый надежный способ избежать подобных проблем - лицензионно чистые программные продукты, полученные непосредственно у разработчиков или у официальных распространителей.
Если с обнаружением вирусов семейства OneHalf проблем обычно не возникает, то процесс их обезвреживания имеет несколько особенностей.
Не стоит пытаться сразу запускать антивирусы в режиме лечения. Если вирус будет обнаружен, необходимо загрузить операционную систему с заведомо свободной от вирусов дискеты, на которую, кроме системы, должна быть записана копия антивирусной программы. Эта дискета в обязательном порядке должна быть защищена от записи.
Ни в коем случае не пытайтесь проводить лечение от OneHalf, запуская антивирусные программы из-под многозадачных сред, особенно из-под Windows 95. Дело в том, что обычно такие среды не позволяют модифицировать системные области жесткого диска. В лучшем случае, будет выведено окошко с вопросом о том, можно ли разрешить такую модификацию, что обычно еще больше запугивает пользователя, чем сообщение о найденном вирусе.
Если же лечение проводится из-под Windows 95, то такого запроса можно и не увидеть - возможны ситуации, когда действия, необходимые для лечения, будут запрещены без дополнительных запросов и пользователь об этом так и не узнает!
То же касается и ставшей популярной защиты от вирусов на уровне BIOS. Она реагирует на попытки модификации системных областей жесткого диска, и при попытке антивирусной программы вылечить OneHalf (или любой другой вирус, изменяющий MBR или BOOT-сектора, попавший в систему до включения защиты или с разрешения пользователя), будет выведен запрос (___картинка___). Внимательно читайте все подобные сообщения! Для лечения OneHalf необходимо разрешить запись в эти области или на время лечения снять такую защиту.
В последнее время широко распространилось умение лечить загрузочные вирусы путем перезаписи системных областей диска с помощью программ комплекса Norton Utilites или запуском программы FDISK с ключом /MBR.
Действительно, небольшое число простейших вирусов можно удалить именно таким способом, но проводить подобные мероприятия должен только квалифицированный специалист. Только он способен определить, не принесет ли такая терапия больше вреда, чем пользы. Если же речь идет о вирусе OneHalf - перезапись MBR ведет к однозначной потере содержимого Вашего диска! Удаление вируса - только небольшая часть работы, так как после этого необходимо расшифровать зашифрованные сектора, содержимое которых все еще недоступно. А для этого необходимо иметь доступ к данным, расположенным в теле вируса.
Расшифровка диска - процесс, продолжительность которого зависит от количества зашифрованных секторов и может занимать от нескольких секунд при своевременном лечении до нескольких часов при медленном процессоре, большом объеме работы и т. д. Прерывание этого процесса ведет к однозначной утрате содержимого зашифрованных секторов! В программе Dr. Web, например, в это время выводится сообщение (___картинка___) и блокируется реакция на нажатия клавиш, однако, способность системы реагировать на комбинацию сохраняется. К тому же невозможно заблокировать нажатие кнопок Reset или Power на системном блоке, или просто сбой в электросети! Перед лечением необходимо убедиться в том, что Вы готовы к подобным сбоям и никуда не торопитесь.
Хотя соблюдение этих несложных ритуалов поможет избежать неприятностей, связанных с утратой важной информации, лучше с такими ситуациями сталкиваться как можно реже. Нет лучшего лекарства, чем здоровый образ жизни Вашего компьютера. Если же невозможно ограничить неконтролируемое поступление программ, возможно, пригодится способ написания простейшего антивируса, приведенный в книге Компьютерные вирусы (С.Л. Островский, Москва, изд. Диалог-Наука, 1996, выпуск 2):
Вы и сами можете написать простую антивирусную программу, реализующую следующий сценарий: запрашивается имя файла и его назначение. Если в качестве назначения вводится слово игра, то файл стирается, и дело с концом :-).
Dis is one half.
Press any key to continue…
Did you leave the room?
Если вам не довелось видеть этого в живую, то позвольте описать ощущения, возникающие у лицезреющих эти строки: недоумение (примерно 1 минуту), банальный страх (
2 минуты), лихорадочный поток мыслей (что это? что делать? — в среднем 5-10 минут), гнев (что за х…?) и снова лихорадочный поток мыслей и действий (где же эта гребаная дискета с Web’ом?), вот примерно те пограничные эмоциональные ощущения, которые чувствовали владельцы зараженных машин.
Если вы еще не догадались, то речь идет о вирусе, который большинство помнят как — OneHalf, хотя он также известен и под другими именами — Slovak Bomber, Explosion-II, Freelove.
Впервые вирус был обнаружен в мае 1994 года в США и Европе, но было уже поздно и вирус уже широко распространился по всему миру. Распространялся OneHalf в основном через съемные носители (тогда это были в основном дискеты). Он является чрезвычайно примечательным по своим свойствам даже сейчас, а в то время это было новое слово в ремесле вирмастеров, если можно так выразиться конечно.
Во-первых, OneHalf — полиморф (не первый и далеко последний, но современные вирусы без полиморфизма просто не выживают, для несведущих полиморфным считается такой вирус, каждая новая копия которого может ни в одном байте не совпадать с предыдущей), во-вторых, вирус был файлово-загрузочным (заражал MBR и boot-сектора дискет, а также COM и EXE файлы), в-третьих, тело вируса было зашифровано, в-четвертых, до создания нормальных средств противодействия, OneHalf гарантировано разрушал данные, ну и пожалуй последнее, стелс-функциональность, встроенная в вирус, позволяла оставаться ему невидимым для системы.
Эпидемия передавалась дискетно-ручным способом. При обращении зараженной системы к дискете для записи OneHalf перехватывал его и проверял размер, имя (не трогал файлы с именами SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK, AIDS, ADINF, WEB) и зараженность файла. Если размер, имя не соответствовали алгоритму или файл уже был заражен, то заражение не производилось. Если же файл был чист и соответствовал требованиям вируса, то производилось его заражение.
При пользовании зараженной дискетой (загрузки с нее или запуске зараженного файла), вирус при помощи собственного обработчика прерывания Int12h оценивал размеры свободной оперативной памяти и наличие в ней своей копии — прерывание Int21h.
Если вируса в памяти не было и ее больше 4 [кБ], он искал признаки заражения MBR, если таковых не находилось он заражал MBR. Для этого он на место оригинального MBR записывал свой обработчик загрузки тела вируса, затем записывал 7 секторов кода своего тела в 7 секторов от конца нулевой дорожки диска в скрытых секторах, а после всего этого оригинальный MBR в восьмой сектор от конца нулевой дорожки диска. После записи своего тела на диск или при обнаружении уже зараженного MBR, OneHalf проверял память и при отсутствии своей копии переписывал ее с диска в память.
После того, как вирус оказывался загружен в оперативу, руль системы был у него в руках. Дальше злодей считывал из MBR нижнюю границу зашифрованной дорожки и если она не дошла до 7 дорожки от начала, то вирь шифровал две дорожки вверх от нижней границы уже зашифрованных, при этом использовался случайный ключ, содержащийся в MBR. Если шифрование прошло удачно, в MBR записывалось новое значение нижней границы зашифрованных дорожек. (для работы он использовал свои обработчики прерываний Int01h, Int12h, Int1Ch, Int13h, Int21h, Int24h). Если же нижняя граница дошла до 7 дорожки, шифрование не производилось во избежание повреждения системных областей диска.
Затем OneHalf анализировал три параметра: зашифрованость половины диска, кратность системной даты четырем и четность счетчика заражений (содержался в теле самого вируса); при положительной проверке на дисплей выводилось сообщение:
Dis is one half.
Press any key to continue…
Если проверка параметров отрицательна (т. е. половина диска не зашифрована, счетчик нечетен или системная дата не подходящая), то сообщение не выводилось, а вирус отдавал управление оригинальному загрузчику до следующей загрузки компьютера, при этом сохраняя свои обработчики прерываний.
При работе пользователь ничего не замечал, поскольку OneHalf, сидящий в памяти перехватывал обращения к уже зашифрованным дорожкам и расшифровывал их на лету без всяких тормозов, скрывал уменьшение размера оперативки и приращение длины зараженных файлов для всех программ кроме CHKDSK и Norton Commander, но это ничего не давало, поскольку при попытке трассировки вируса в памяти он 100%-но вешал систему циклом без выхода с помощью своего обработчика прерываний Int01h.
В зависимости от модификации OneHalf варьировались размеры приращений зараженных файлов, 3544, 3577 или 3518 байта, — в связи с чем в антивирусных базах версии так и назывались OneHalf.3544, OneHalf.3577 и OneHalf.3518.
Также в разных версиях OneHalf при зашифровке половины диска на дисплей выдавались разные сообщения:
Dis is one half.
Press any key to continue …
Dis is TWO HALF.
Fucks any key to Goping…
HET — фu3uke u ucTopuu B pacnucaHuu uy7!
Disk is Tpu half.
(Bepx, Hu3 u Pe6po)
Dis is 3 HALF !.
Fucks any key to LoHing…
A cup of Beer ?.
See you later…
Почему произошла эта эпидемия? Мне думается, что дело было так. Вирус появился на свет где-то зимой 1994 года, ближе к весне произошло массовое распространение, продолжавшееся еще несколько месяцев незаметно для пользователей и разработчиков антивирусов. Первые известия о роковых строках на экранах дисплеев появились только в мае-июне, так как для полной шифровки винчестера емкостью 0.5 [ГБ], необходимо было перезагрузить компьютер около 500 раз, что при нормальной эксплуатации ПК занимало несколько месяцев. Поэтому OneHalf и был упущен, а эпидемия разошлась, чуть не став пандемией.
Что немаловажно, так это то, что для избавления от вируса недостаточно было простой перезаписи MBR, которая привела бы только к утере ключа к шифрованным данным, а вследствие этого и к потере данных. Для гарантированного избавления необходима была тонкая работа антивирусных утилит, как по обезвреживанию, так и по расшифровке данных.
Распространение вируса и его модификаций происходило еще несколько лет, но не такими взрывными темпами, даже сейчас он еще бродит по старым дискетам и раритетным компам.
Дельта принтеры крайне требовательны к точности изготовления комплектующих (геометрия рамы, длины диагоналей, люфтам соединения диагоналей, эффектора и кареток) и всей геометрии принтера. Так же, если концевые выключатели (EndStop) расположены на разной высоте (или разный момент срабатывания в случае контактных концевиков), то высота по каждой из осей оказывается разная и мы получаем наклонную плоскость не совпадающая с плоскостью рабочего столика(стекла). Данные неточности могут быть исправлены либо механически (путем регулировки концевых выключателей по высоте), либо программно. Мы используем программный способ калибровки.
Далее будут рассмотрены основные настройки дельта принтера.
Для управления и настройки принтера мы используем программу Pronterface.
Калибровка принтера делится на три этапа:
Выставление в одну плоскость трех точек — A, B, C (расположенных рядом с тремя направляющими). По сути необходимо уточнить высоту от плоскости до концевых выключателей для каждой из осей.
Большинство (если не все) платы для управления трехмерным принтером (В нашем случае RAMPS 1.4) работают в декартовой системе координат, другими словами есть привод на оси: X, Y, Z.
В дельта принтере необходимо перейти от декартовых координат к полярным. Поэтому условимся, что подключенные к двигателям X, Y, Z соответствует осям A, B, C.(Против часовой стрелки начиная с любого двигателя, в нашем случае смотря на логотип слева — X-A, справа Y-B, дальний Z-C) Далее при слайсинге, печати и управлении принтером в ручном режиме, мы будем оперировать классической декартовой системой координат, электроника принтера сама будет пересчитывать данные в нужную ей систему. Это условность нам необходима для понятия принципа работы и непосредственной калибровки принтера.
Точки, по которым мы будем производить калибровку назовем аналогично (A, B, C) и позиция этих точек равна A= X-52 Y-30; B= X+52 Y-30; C= X0 Y60.
Алгоритм настройки:
- Подключаемся к принтеру. (В случае “крагозяб” в командной строке, необходимо сменить скорость COM порта. В нашем случае с 115200 на 250000 и переподключится)
После чего мы увидим все настройки принтера. - Обнуляем высоты осей X, Y, Z командой M666 x0 y0 z0.
И сохраняем изменения командой M500. После каждого изменения настроек необходимо нажать home (или команда g28), для того что бы принтер знал откуда брать отсчет. - Калибровка принтера производится “на горячую”, то есть должен быть включен подогрев стола (если имеется) и нагрев печатающей головки (HotEnd’а) (Стол 60град., сопло 185 град.) Так же нам понадобится щуп, желательно металлический, известных размеров. Для этих задач вполне подойдет шестигранный ключ (самый большой, в нашем случае 8мм, он предоставляется в комплекте с принтерами Prizm Pro и Prizm Mini)
- Опускаем печатающую головку на высоту (условно) 9мм (от стола, так, что бы сопло еле касалось нашего щупа, т.к. высота пока что не точно выставлена.) Команда: G1 Z9.
- Теперь приступаем непосредственно к настройке наших трех точек.
Для удобства можно вместо g- команд создать в Pronterface четыре кнопки, для перемещения печатающей головки в точки A, B, C, 0-ноль.
Далее командой меняем параметры высоты оси Y: M666 Y <посчитанная величина>
M666 Y0.75
M500
G28
После того как мы выставили три точки в одну плоскость необходимо произвести коррекцию высоты центральной точки. Из за особенности механики дельты при перемещении печатающей головки между крайними точками в центре она может пройти либо ниже либо выше нашей плоскости, тем самым мы получаем не плоскость а линзу, либо вогнутую либо выпуклую.
Корректируется этот параметр т.н. дельта радиусом, который подбирается экспериментально.
Калибровка:
- Отправляем головку на высоту щупа в любую из трех точек стола. Например G1 Z9 X-52 Y-30
- Сравниваем высоту центральной точки и высоту точек A,B,C. (Если высота точек A, B, C разная, необходимо вернутся к предыдущей калибровки.)
- Если высота центральной точки больше остальных, то линза выпуклая и необходимо увеличить значение дельта радиуса. Увеличивать или уменьшать желательно с шагом +-0,2мм, при необходимости уменьшить или увеличить шаг в зависимости от характера и величины искривления (подбирается экспериментально)
- Команды:
G666 R67,7
M500
G28 - Подгоняем дельта радиус пока наша плоскость не выровняется
Третьим этапом мы подгоняем высоту печати (от сопла до нижней плоскости — столика) Так как мы считали, что общая высота заведомо не правильная, необходимо ее откорректировать, после всех настроек высот осей. Можно пойти двумя путями решения данной проблемы:
1 Способ:
Подогнав вручную наше сопло под щуп, так что бы оно свободно под ним проходило, но при этом не было ощутимого люфта,
- Командой M114 выводим на экран значение фактической высоты нашего HotEnd’а
- Командой M666 L получаем полное значение высоты (Параметр H)
- После чего вычитаем из полной высоты фактическую высоту.
- Получившееся значение вычитаем из высоты щупа.
Таким образом мы получаем величину недохода сопла до нижней плоскости, которое необходимо прибавить к полному значению высоты и и записать в память принтера командами:
G666 H 235.2
M500
G28
2 Способ:
Второй способ прост как валенок. С “потолка”, “на глаз” прибавляем значение высоты (после каждого изменение не забываем “уходить” в home), добиваясь необходимого значения высоты, но есть шанс переборщить со значениями и ваше сопло с хрустом шмякнется об стекло.
Как сделать авто калибровку для вашего принтера и что при этом авто калибрует принтер вы узнаете из следующих статей.
Вы можете помочь и перевести немного средств на развитие сайта
Малая Академия наук
ПОЛИМОРФНЫЙ СТЕЛС-ВИРУС ONEHALF 3544,
ОСОБЕННОСТИ АЛГОРИТМА И МЕТОДЫ БОРЬБЫ С НИМ.
Ученик 10 – го класса
Форосской общеобразовательной школы I – III ступени
Руководитель: КОРАБЛЕВ А. Б. - системотехник
Мы живем на стыке двух тысячелетий, когда человечество вступило в эпоху новой научно-технической революции.
К концу двадцатого века люди овладели многими тайнами превращения вещества и энергии и сумели использовать эти знания для улучшения своей жизни. Но кроме вещества и энергии в жизни человека огромную роль играет еще одна составляющая - информация. Это самые разнообразные сведения, сообщения, известия, знания, умения.
В середине нашего столетия появились специальные устройства - компьютеры, ориентированные на хранение и преобразование информации и произошла компьютерная революция.
Сегодня массовое применение персональных компьютеров, к сожалению, оказалось связанным с появлением самовоспроизводящихся программ-вирусов, препятствующих нормальной работе компьютера, разрушающих файловую структуру дисков и наносящих ущерб хранимой в компьютере информации.
Несмотря на принятые во многих странах законы о борьбе с компьютерными преступлениями и разработку специальных программных средств защиты от вирусов, количество новых программных вирусов постоянно растет. Это требует от пользователя персонального компьютера знаний о природе вирусов, способах заражения вирусами и защиты от них. Это и послужило стимулом для выбора темы моей работы.
Я хочу показать на основе вируса Onehalf 3544, наделавшего много шума в 1994-95 годах, возможные пути заражения, распространения, разрушительные способности вирусов и рекомендовать способы обнаружения и защиты от них.
Работа выполнена на основе анализа листинга кода тела вируса, полученного при помощи дизассемблера Sourcer версии 7.0 и экспериментального заражения - лечения нескольких компьютеров с разными типами жестких дисков, и использовании различных антивирусных и прикладных программ. Особую благодарность за предоставление материалов для подготовки моей работы хочу выразить системному программисту Александру Крыжановскому из Ялты и моему руководителю системотехнику Алексею Кораблеву.
В настоящее время известно более 35000 программных вирусов, их можно классифицировать по следующим признакам:
¨ способу заражения среды обитания
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные, файлово-загрузочные и макро-вирусы, распространяющиеся вместе с документами и электронными таблицами. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
¨ неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах
¨ опасные вирусы, которые могут привести к различным нарушениям в работе компьютера
¨ очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты (полиморфные), содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
Рассматриваемый мной вирус Onehalf 3544 примечателен не только тем, что его появление вызвало большой резонанс в компьютерном мире, но и тем, что он одновременно объединяет в себе множество свойств являясь очень опасным резидентным файлово-загрузочным полиморфным стелс-вирусом. В моей работе я покажу каждое из его свойств, его сильные и слабые стороны.
АНАЛИЗ АЛГОРИТМА ВИРУСА.
Размещение вируса в зараженном файле.
Читайте также: