Вопрос №46 Какие типы вирусов выделяются в настоящие время? Тарасенко Л.




Компьютерный вирус -- это программный код, который в процессе исполнения размножается, т.е. созда-ет новые программные коды, подобные исходному коду и сохраняющие возможность воспроизведения. Компьютерный вирус передается лишь как фрагмент другого программного кода и активизируется, перехватывая управление у кода-носителя после его инициализации.

В настоящее время принято определять тип компьютерного вируса по типу его носителя. В связи с этим выделяют файловые, загрузочные, макро- и сетевые вирусы. Рассмотрим их по порядку.

Файловыми называются вирусы, которые встраиваются в исполняемые коды, т.е. файлы с именами сот и ехе, или в оверлейные файлы. Для перехвата управления вирус записывается в начало или конец файла. В последнем случае начало файла модифицируется. Несколько первых байт оригинального кода присоединяются к вирусу, а на их место помещается команда передачи управления на начало вирусного фрагмента. Таким образом, инициализация зараженной программы приводит к запуску вируса, который после выполнения всех запланированных действий передает управление своему носителю. Существуют вирусы, которые выполняют все действия (поиск и заражение хотя бы одного файла указанного типа и, возможно, другие действия, как правило, обусловленные каким-либо образом, например, датой инициализации), оставаясь в составе кода-носителя. Они называются нерезидентными. Есть вирусы, которые в составе кода-носителя производят единственное действие -- инсталляцию своего кода, как независимого приложения, в оперативную память. В этом качестве вирус производит все остальные действия. Такие вирусы называются резидентными. Они отслеживают ряд системных прерываний и активизируются при их возникновении. Таким образом, от момента инсталляции до перезагрузки компьютера резидентный вирус успевает заразить большое число файлов. Резидентный вирус может отслеживать чтение файла-носителя другой, может быть антивирусной, программой и препятствовать обнаружению своего кодового фрагмента, например, временно удаляя его из тестируемого файла (стелс-вирус). Второй способ воспрепятствовать обнаружению вируса в составе файла-носителя -- шифрование вирусного кода случайной последовательностью команд процессора. В этом случае фрагмент вируса, инсталлирующий его в оперативную память, производит дешифровку кода. При заражении другого файла ключ шифрования может меняться (полиморфик-вирус).

Особое место занимают так называемые "компаньон-вирусы", не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т.е. вирус. Наиболее распространены компаньон-вирусы, использующие особенность DOS первым выполнять соте-файл, если в одном каталоге присутствуют два файла с одним и тем же именем, но различными расширениями -- сот и ехе. Такие вирусы создают для ехе-файлов файлы-спутники, имеющие то же самое имя, но с расширением сот. Вирус записывается в co/n-файл и никак не изменяет ехе-файл. При запуске такого файла DOS первым обнаружит и выполнит сотп-файл, т.е. вирус, который затем запустит и ехе-файл. Некоторые вирусы используют не только вариант сот -- ехе, но также и bat -- сот -- ехе.

Загрузочными называются вирусы, которые инициализируются при старте компьютера. Они располагаются в служебных областях (загрузочных секторах) магнитных дисков, как гибких, так и жестких, где помещается программа загрузки операционной системы. Поскольку программа загрузки имеет малый объем, вирус не может функционировать в ее составе, т.е. все загрузочные вирусы являются резидентными. Они, как правило, состоят из двух частей: головы и хвоста, который может быть пустым. Последовательность действий вируса по внедрению в загрузочный сектор такова. Сначала вирус выделяет на диске область и делает ее недоступной для операционной системы. Затем копирует в эту область свой хвост и содержимое загрузочного сектора. После этого вирус замещает своей головой начальную программу загрузки и организует передачу управления на свой хвост и далее на начальную программу загрузки. Эти действия производятся независимо от того, системная дискета или нет. Достаточно обратить-ся к дискете в процессе загрузки. Как и другие резидентные вирусы, загрузочные вирусы могут быть изготовлены с помощью стеле-технологии.

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере "подтолкнуть" пользователя к запуску зараженного файла.

Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же, как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

Современные сетевые вирусы используют электронную почту как для несанкционированного распространения, так и для заражения файлов рабочих станций. Поскольку среда обитания таких вирусов -- ком-пьютерная сеть, их главная цель -- нарушение работы сети. Самый простой способ, который используется большинством вирусов, это увеличение трафика до размеров, парализующих функционирование сети. Вирусная идея последнее время используется также для распространения рекламы, которая получила название "спам". Профилактика заражения сетевым вирусом состоит в максимальном сдерживании собственного любопытства. Не следует пытаться прочесть письмо неизвестного вам респондента, как бы ни была привлекательна его тема.

Макровирусы являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.), например, Visual Basic for Applications. Наибольшее распространение получили макровирусы для Microsoft Office. Для своего размножения такие вирусы используют возможности получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы). Вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. Можно сказать, что большинство макровирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор. Признаком того, что в приложение проник макровирус, является увеличение размеров документов и исчезновение пункта Макрос в меню "Сервис".



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2016-07-22 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: