Вирусы не изменяющие среду обитания при распространении
Тема. Компьютерные вирусы
1. Классификация компьютерных вирусов
1.1. Файловые вирусы
1.2. Загрузочные вирусы
2. Методы и средства борьбы с вирусами
3. Профилактика заражения вирусами
На сегодняшний день в мире насчитывается свыше 40 тысяч зарегистрированных компьютерных вирусов.
Компьютерные вирусы (КВ) классифицируются по следующим признакам:
E по среде обитания;
E по способу заражения;
E по степени опасности деструктивных (вредительских) воздействий;
E по алгоритму функционирования.
По среде обитания вирусы делятся на:
Сетевые вирусы распространены как элементы компьютерных сетей.
Файловые – размещаются в исполняемых файлах.
Загрузочные – в загрузочных секторах внешних ЗУ (boot-секторах).
Комбинированные – размещаются в нескольких средах обитания. Такие вирусы размещаются как в загрузочных секторах на магнитных дисках, так и в теле загрузочных файлов.
По способу заражения среды обитания КВ делятся на:
Резидентные вирусы после их активизации полностью или частично перемещаются из сети, загрузочного сектора, файла в оперативную память ЭВМ.
Нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, считается нерезидентным. Вредительские действия КВ зависят от целей и квалификации их создателей.
По степени опасности для информационных ресурсов пользователя КВ подразделяются на: безвредные; опасные; очень опасные.
Безвредные – не приносящие ущерб ресурсам компьютерных систем. Результатом действия таких вирусов является вывод на экран невинных текстов, картинок, исполнение музыкальных фрагментов и т.п. Но при всей безобидности такие вирусы приводят к расходу ресурсов системы, снижая эффективность ее функционирования. Помимо этого, при модернизации операционной системы или аппаратных средств вирусы, созданные ранее, могут привести к нарушениям штатного алгоритма работы системы.
Опасные – вызывающие существенное снижение эффективности компьютерной системы, но не приводящие к нарушению целостности и конфиденциальности информации. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи.
Очень опасные – вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, блокирование доступа к информации, отказ аппаратных средств. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, шифруют данные и т.д.
Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных ЗУ.
В последнее время наблюдается воздействие на психику человека-оператора ЭВМ с помощью подбора видеоизображения с определенной частотой (каждый 25-й кадр). Такие встроенные кадры наносят серьезный ущерб психике человека.
Согласно особенностям алгоритма функционирования вирусы можно разделить на два класса:
1) вирусы, не изменяющие среду обитания (файлы и секторы) при распространении, которые, в свою очередь, делятся на две группы:
Например. В MS DOS такие вирусы создают копии для файлов с расширением .EZE. Копия остается с тем же именем, а расширение изменяется на .COM. При запуске с общим именем операционная система загружает первым файл с расширением .COM , являющийся программой-вирусом. Файл-вирус запускает затем файл с расширением .EZE.
2) вирусы, изменяющие среду обитания при распространении, делятся на:
Студенческие – нерезидентные, содержат ошибки, которые легко обнаружить и удалить.
Полиморфные – не имеют постоянных опознавательных групп – сигнатур (двоичная последовательность или последовательность символов), однозначно идентифицирующих зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов с тем, чтобы избежать многократного заражения одних и тех же объектов, которые могут повысить вероятность обнаружения вируса.
Удобство работы с известными вирусами предоставляют каталоги вирусов, где содержатся сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие деструктивной функции и ошибки.
Файловые вирусы – могут внедряться только в исполняемые файлы: командные файлы (состоящие из команд ОС), саморазархивирующиеся файлы, пользовательские и системные программы, документы (таблицы), имеющие макрокоманды. Вирус может внедряться в файлы следующих типов: командные (BAT), загружаемые драйверы (SYS), программы в машинных кодах (EZE, COM), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS).
Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла.
Вирус | Файл |
Файл | Вирус | Файл |
Файл | Вирус |
В начало файла вирус внедряется одним из трех способов:
1. начало файла переписывается в конец, а вирус занимает освободившееся место;
2. считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла;
3. вирус записывается в начало файла без сохранения содержимого, что приводит к неработоспособности файла.
Внедрение вируса в конец файла наиболее распространено. Как и в случае внедрения вируса в середину файла, первые команды файла заменяются командами перехода на тело вируса.
Особое место среди файловых вирусов занимают макровирусы, представляющие собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др. (редакторы MS Word, MS Office, MS Excel, использующие макроязыки Word Basic, Visual Basic).
Загрузочные вирусы заражают загрузочные (Boot) сектора гибких дисков и Boot – сектора или Master Boot Record (MBR) жестких дисков.
Сектор 1 | Сектор 2 | … | Boot –сектор или MBR |
Заголовок вируса Тело вируса
Методы и средства борьбы с вирусами
Антивирусные средства применяются для решения таких задач, как:
F обнаружение вирусов в компьютерных системах;
F блокирование работы программ-вирусов;
F устранение последствий программ-вирусов.
При обнаружении вируса необходимо сразу прекратить работу программы –вируса, чтобы минимизировать ущерб от его воздействия. Следует заметить, что не существует антивирусных средств, которые гарантировали бы обнаружение всех возможных вирусов. Для борьбы с вирусами используются программные, аппаратно-программные средства, которые применяются в определенной последовательности и комбинации. Существуют методы обнаружения и методы удаления вирусов.
К методам обнаружения вирусов относятся:
u сканирование – самый простой метод обнаружения ошибок. Метод сканирования применим для обнаружения вирусов, сигнатуры которых уже выделены и являются постоянными. Программы-сканеры могут хранить не сигнатуры известных вирусов, а их контрольные суммы. Самой известной программой-вирусом в России является Aidstest Дмитрия Лозинского;
u обнаружение изменений – осуществляется программами-ревизорами, которые определяют и запоминают характеристики всех областей на дисках, где обычно размещаются вирусы. Программы-ревизоры запоминают в специальных файлах области главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров, контролируют объем установленной оперативной памяти и т.д.
Недостаток – с помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы обнаруживаются только после размножения в системе. Программы-ревизоры непригодны для обнаружения заражения макровирусами, так как документы и таблицы подвергнуты частым изменениям.
u эвристический анализ – для обнаружения вирусов используется не так давно. Сущность эвристического анализа – в проверке возможных сред обитания вирусов и выявлении в них команд таких, как команды создания резидентных модулей в оперативной памяти, команды прямого обращения к дискам, минуя ОС. При их обнаружении эвристические анализаторы выдают сообщение о возможном заражении. Такой анализатор имеется в антивирусной программе Doktor Web.
u использование резидентных сторожей — основан на применении программ, постоянно находящихся в ОП ЭВМ. При выполнении какой-либо программой подозрительных действий (обращение для записи в загрузочные сектора, помещение в ОП резидентных модулей, попытки перехвата прерываний и т.п.) резидентным сторожем пользователю выдается сообщение. Недостаток – выдача большого процента ложных тревог, что отрицательно сказывается на работе пользователя. Примером данного метода является программа Vsafe, входящая в состав MS DOS.
u аппаратно-программная защита – самая надежная защита от вирусов. Для защиты ПЭВМ используются специальные контроллеры и их программное обеспечение. Контроллер устанавливается в разъем расширения и имеет доступ к общей шине, что позволяет ему контролировать все обращения к дисковой системе. В программном обеспечении контроллера запоминаются области на дисках, изменение которых в обычных режимах работы не допускаются. Следовательно, установить защиту можно на изменение главной загрузочной записи, загрузочных секторов, файлов конфигурации, исполняемых файлов и др.
Преимущества аппаратно-программных антивирусных средств перед программными следующие:
e работают постоянно;
e обнаруживают все вирусы, независимо от механизма их действия;
e блокируют запрещенные действия, вызванные работой вируса или неквалифицированным пользователем.
Недостаток – зависимость от аппаратных средств ПЭВМ, так как их изменение ведет к необходимости замены контроллера.
Примером аппаратно-программной защиты является комплекс Sheriff.
Компьютерный вирус — программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные…
Несмотря на то что общие средства защиты информации очень важны для защиты от вирусов, все же их недостаточно. Необходимо применение специализированных…
Некоторые вирусы, вызывают неисправности аппаратных средств. На резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.
Использование в современных ЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.
Возможны также воздействия на психику человека – оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый двадцать пятый кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне.
В соответствии с особенностями алгоритма функционирования вирусы можно разделить на два класса:
1) вирусы, не изменяющие среду обитания (файлы и секторы) при распространении;
2) вирусы, изменяющие среду обитания при распространении. В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:
1) вирусы-"спутники" (companion);
2) вирусы-"черви" (worm).
Вирусы-"спутники" не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в MSDOS такие вирусы создают копии для файлов, имеющих расширение *.ЕХЕ.
Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на *.СОМ. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением *.СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением *.ЕХЕ.
Вирусы-"черви" попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-"черви" создают рабочие копии вируса на диске, другие – размещаются только в оперативной памяти ЭВМ.
По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:
2) "стелс"-вирусы (вирусы-невидимки);
К студенческим вирусам относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
"Стелc"-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.
"Стелс"-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют операционной системе к незараженным участкам информации. Вирус является резидентным, маскируется под программы операционной системы, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы операционной системы, обрабатывающие эти прерывания. "Стелс"-вирусы обладают способностью противодействовать резидентным антивирусным средствам.
Полиморфные вирусы не имеют постоянных опознавательных групп – сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте специальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования. За счет такого преобразования полиморфные вирусы не имеют совпадений кодов.
Любой вирус независимо от принадлежности к определенным классам должен иметь три функциональных блока:
1) блок заражения (распространения);
2) блок маскирования;
3) блок выполнения деструктивных действий.
Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифровывание тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, тогда они выполняются либо безусловно, либо при выполнении определенных условий.
Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц операционной системы и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ операционной системы.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в оперативную память для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.
Файловые вирусы
Структура файлового вируса. Файловые вирусы могут внедряться только в исполняемые файлы:
1) командные файлы (файлы, состоящие из команд операционной системы);
2) саморазархивирующиеся файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды.
Макрокоманды или макросы представляют собой исполняемые программы для автоматизации работы с документами (таблицами). Поэтому такие документы (таблицы) можно рассматривать как исполняемый файл.
Для IВМ и совместимых ПЭВМ вирус может внедряться в файлы следующих типов: командные файлы (ВАТ), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (ЕХЕ, СОМ), документы Word (DОС, DOCX) с версии 6.0 и выше, таблицы ЕХСЕL (XLS, XLSX). Макровирусы могут внедряться и в другие файлы, содержащие макрокоманды.
Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла.
Независимо от места расположения вируса в теле зараженного файла, после передачи управления файлу первыми выполняются команды вируса.
В начало файла вирус внедряется одним из трех способов. Первый из них заключается в переписывании начала файла в его конец, а на освободившееся место записывается вирус. Второй способ предполагает считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла. При третьем способе заражения вирус записывается в начало файла без сохранения содержимого. В этом случае зараженный файл становится неработоспособным.
В середину файла вирус может быть записан также различными способами. Файл может "раздвигаться", а в освободившееся место может быть записан вирус. Вирус может внедряться в середину файла без сохранения участка файла, на место которого помещается вирус. Также применяется метод сжатия отдельных участков файла, при этом длина файла после внедрения вируса может не измениться.
Чаще всего вирус внедряется в конец файла. Первые команды файла заменяются командами перехода на тело вируса.
Алгоритм работы файлового вируса. При реализации большинства вирусов обобщенный алгоритм может быть представлен в виде следующей последовательности шагов:
Шаг 1. Резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их.
Шаг 2. Выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т. д.).
Шаг 3. Осуществляется деструктивная функция вируса, если выполняются соответствующие условия.
Шаг 4. Передается управление программе, в файле которой находится вирус.
При реализации конкретных вирусов состав действий и их последовательность могут отличаться от приведенных в алгоритме.
Макровирусы
Макровирусы представляют собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др.
Для существования вирусов в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел следующие возможности:
1) привязку программы на макроязыке к конкретному файлу;
2) копирование макропрограмм из одного файла в другой;
3) получение управления макропрограммой без вмешательства пользователя.
Таким условиям отвечают редакторы МS Word, МS Office, Ami Pro, табличный процессор МS Ехсеl. В этих системах используются макроязыки Word Basic и Visual Basic.
В настоящее время насчитывается более 40 тыс. только зарегистрированных компьютерных вирусов. Так как подавляющее большинство вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам.
Все компьютерные вирусы могут быть классифицированы по следующим признакам:
- по среде обитания;
- по способу заражения;
- по степени опасности деструктивных (вредительских) воздействий;
- по алгоритму функционирования.
По среде обитания компьютерные вирусы делятся на:
- сетевые (средой обитания являются элементы компьютерных сетей);
- файловые (размещаются в исполняемых файлах);
- загрузочные (находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах);
- комбинированные (размещаются в нескольких средах обитания). Пример - загрузочно-файловые вирусы.
По способу заражения среды обитания компьютерные вирусы делятся на:
- резидентные (после их активации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ). Эти вирусы используют, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию;
- нерезидентные (попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным).
По степени опасности для информационных ресурсов пользователя компьютерные вирусы подразделяются на:
- безвредные вирусы (их авторы не преследуют деструктивных целей, а руководствуются попыткой самоутверждения и, как правило, ограничиваются выводом на экран монитора невинных картинок и текстов, исполнению музыкальных фрагментов и пр. Однако такие вирусы расходуют ресурсы КС, могут содержать ошибки, вызывающие серьезные последствия для информационных ресурсов КС, могут приводить к нарушениям штатного алгоритма работы системы);
- опасные вирусы (вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых материальных и временных ресурсов. Пример – вирусы, занимающие оперативную память и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т.п.);
- очень опасные вирусы (вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т.п. Известны публикации, по которым вирусы вызывали неисправности аппаратных средств, например, на резонансной частоте движущиеся части электромеханических устройств могут быть разрушены; интенсивное использование отдельных электронных схем (БИС) может вызвать их перегрев и выход из строя; некоторые вирусы изменяют программы BIOS, что приводит к необходимости замены ПЗУ; возможны воздействия на психику человека – 25-й кадр, воспринимаемого на подсознательном уровне: в 1997 г. 700 японцев попали в больницу с признаками эпилепсии после просмотра компьютерного мультфильма по телевидению).
В соответствии с особенностями алгоритма функционирования вирусы могут быть разделены на:
- вирусы, не изменяющие среду обитания (файлы и секторы) при распространении:
- вирусы, изменяющие среду обитания при распространении делятся на:
* студенческие (их создатели имеют низкую квалификацию, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются);
* полиморфные – не имеют постоянных опознавательных групп – сигнатур (сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса). Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования, за счет чего они не имеют совпадений кодов. После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Затем вирус осуществляет функцию внедрения в незараженную среду обитания и, если выполняет деструктивную функцию, то делает это либо безусловно, либо при выполнении определенных условий.
Компьютерный вирус — разновидность компьютерной программы, способной создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.
Каталог решений и проектов ИБ - Антивирусы доступны на TAdviser
Содержание
Классификация
В настоящее время не существует единой системы классификации и именования вирусов, однако, в различных источниках можно встретить разные классификации, приведем некоторые из них:
Классификация вирусов по способу заражения
Такие вирусы, получив управление, так или иначе остается в памяти и производят поиск жертв непрерывно, до завершения работы среды, в которой он выполняется. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений Microsoft Office, являются резидентными вирусами. Соответственно, атрибут резидентный применим только к файловым DOS вирусам. Существование нерезидентных Windows вирусов возможно, но на практике они являются редким исключением.
Получив управление, такой вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту). К такому типу вирусов можно отнести скрипт-вирусы.
Классификация вирусов по степени воздействия
Вирусы никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
Вирусы не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
Вирусы, которые могут привести к различным нарушениям в работе компьютера;
Вирусы, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
Классификация вирусов по способу маскировки
При создании копий для маскировки могут применяться следующие технологии:
Шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.
Это вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.
На практике встречаются случаи получения по электронной почте обычного `вордовского` (с расширением .doc) файла, внутри которого, помимо текста, есть изображение, гиперссылка (на неизвестный сайт в Интернете) или встроенный OLE-объект. При нажатии на такой объект происходит незамедлительное заражение.
Вирусы-шифровальщики стали набирать большую популярность начиная с 2013 года. В июне 2013 известная компания McAfee обнародовала данные, показывающие что они собрали 250 000 уникальных примеров вирусов шифровальщиков в первом квартале 2013 года, что более чем вдвое превосходит количество обнаруженных вирусов в первом квартале 2012 года .
В 2016 году данные вирусы вышли на новый уровень, изменив принцип работы. В апреле 2016 г. в сети появилась информация о новом виде вируса-шифровальщика Петя (Petya), который вместо шифрования отдельных файлов, шифрует таблицу MFT файловой системы, что приводит к тому что операционная система не может обнаружить файлы на диске и весь диск по факту оказывается зашифрован.
Вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.
Классификация вирусов по среде обитания
В эпоху вирусов для DOS часто встречались гибридные файлово-загрузочные вирусы. После массового перехода на операционные системы семейства Windows практически исчезли как сами загрузочные вирусы, так и упомянутые гибриды. Отдельно стоит отметить тот факт, что вирусы, рассчитанные для работы в среде определенной ОС или приложения, оказываются неработоспособными в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это DOS, Windows, Linux, MacOS, OS/2. Для макровирусов — Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97.
Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Они:
- различными способами внедряются в исполняемые файлы (наиболее распространенный тип вирусов);
- создают файлы-двойники (компаньон-вирусы);
- создают свои копии в различных каталогах;
- используют особенности организации файловой системы (link-вирусы).
Число вредоносных программ неуклонно растет и уже в скором будущем может достичь масштабов эпидемии. Распространение вирусов в цифровом мире не имеет границ, и даже при всех имеющихся возможностях нейтрализовать деятельность преступного киберсообщества сегодня уже невозможно. Бороться с хакерами и вирусописателями, которые неустанно совершенствуют свое мастерство, становится все сложнее. Так, злоумышленники научились успешно скрывать цифровые каналы распространения угроз, что значительно затрудняет отслеживание и анализ их онлайн-движения. Меняются и пути распространения, если раньше киберпреступники предпочитали электронную почту для распространения вирусов, то сегодня лидерские позиции занимают атаки в режиме реального времени. Также наблюдается рост вредоносных веб-приложений, которые оказались более чем пригодны для атак злоумышленников. Как заявил Говинд Раммурти, генеральный и управляющий директор компании eScan MicroWorld, сегодня хакеры научились успешно уклоняться от детектирования традиционными антивирусными сигнатурами, которые по ряду причин обречены на неудачу, когда дело доходит до обнаружения веб-угроз. Судя по образцам, исследованным в eScan, веб-угрозы превалируют среди вредоносных программ. 82% выявленных вредоносных программ - файлы с расширением PHP, HTML и EXE, а MP3, CSS и PNG - менее чем 1%.
Это явно говорит о том, что выбор хакеров – это Интернет, а не атаки с использованием уязвимостей программного обеспечения. Угрозы имеют полиморфный характер, это означает, что вредоносные программы могут быть эффективно перекодированы удаленно, что делает их трудно обнаружимыми. Поэтому высокая вероятность заражения связана, в том числе, и с посещениями сайтов. Согласно данным eScan MicroWorld, количество перенаправляющих ссылок и скрытых загрузок (drive-by-download) на взломанных ресурсах увеличилось более чем на 20% за последние два месяца. Социальные сети также серьезно расширяют возможности доставки угроз.
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Данный тип вирусов был достаточно распространён в 1990-х, но практически исчез с переходом на 32-битные операционные системы и отказом от использования дискет как основного способа обмена информацией. Теоретически возможно появление загрузочных вирусов, заражающих CD-диски и USB-флешек, но на текущий момент такие вирусы не обнаружены.
Многие табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макро-языки для автоматизации выполнения повторяющихся действий. Эти макро-языки часто имеют сложную структуру и развитый набор команд. Макро-вирусы являются программами на макро-языках, встроенных в такие системы обработки данных. Для своего размножения вирусы этого класса используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
Скрипт-вирусы, также как и макро-вирусы, являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.
Классификация вирусов по способу заражения файлов
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).
Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место. При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу.
Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).
Наиболее распространенным способом внедрения вируса в файл является дописывание вируса в его конец. При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса. Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит необходимые изменения в заголовке файла.
Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.
К категории вирусов-компаньонов относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл NOTEPAD.EXE переименовывается в NOTEPAD.EXD, а вирус записывается под именем NOTEPAD.EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном катагоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Некоторые файловые черви могут записывать свои копии в архивы (ARJ, ZIP, RAR). Другие записывают команду запуска зараженного файла в BAT-файлы.
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем же "живого" вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.
Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к исходным текстам свой исходный код (в этом случае вирус должен содержать его в своем теле) или свой шестнадцатеричный дамп (что технически легче). Зараженный файл способен на дальнейшее распространение вируса только после компиляции и линковки.
Распространение
В отличие от червей (сетевых червей), вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
- при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
- вирус скопировал себя на съёмный носитель или заразил файлы на нем;
- пользователь отослал электронное письмо с зараженным вложением.
Интересные факты
- 1986 Brian – первый компьютерный вирус; он распространялся за счет записи собственного кода в загрузочный сектор дискет.
- 1988 червь Морриса заразил примерно 10% компьютеров, подключенных к Интернету (т.е. около 600 компьютеров).
- 1992 Michelangelo – первый вирус, который привлек внимание СМИ.
- 1995 Concept – первый макровирус.
- 1999 Melissa ознаменовал наступление эры массовых рассылок вредоносного ПО, приводящих к глобальным эпидемиям.
- 26 апреля 1999 года произошла первая глобальная компьютерная катастрофа. Вирусом "Чернобыль" или CIH программисты, разве что, не пугали своих детей. По различным данным, пострадало около полумиллиона компьютеров по всему миру, и никогда еще до этого момента последствия вирусных эпидемий не были столь масштабными и не сопровождались такими серьезными убытками
- 2003 Slammer – бесфайловый червь, вызвавший широкомасштабную эпидемию по всему миру.
- 2004 Cabir – первый экспериментальный вирус для Symbian; распространялся через Bluetooth.
- 2006 Leap – первый вирус для платформы Mac OSX.
- 2007 Storm Worm [Zhelatin] – впервые использовал для управления зараженными компьютерами распределенные командные серверы.
- 2008 Koobface – первый вирус, целенаправленно атаковавший пользователей социальной сети Facebook.
- 2008 Conficker – компьютерный червь, вызвавший одну из крупнейших в истории эпидемий, в результате которой заражению подверглись компьютеры компаний, домашних пользователей и правительственных организаций в более чем 200 странах.
- 2010 FakePlayer – SMS-троянец для смартфонов на базе Android.
- 2010 Stuxnet – червь, с помощью которого была осуществлена целевая атака на системы SCADA (Supervisory Control And Data Acquisition – Диспетчерское управление и сбор данных), ознаменовавший начало эры кибервойн.
- 2011 Duqu – сложная троянская программа, которая собирает информацию промышленных объектах.
- 2012 Flame – сложная вредоносная программа, которая активно используется в ряде стран в качестве кибероружия. По сложности и функционалу вредоносная программа превосходит все ранее известные виды угроз.
Читайте также: