Компьютерные вирусы

1. КОМПЬЮТЕРНЫЕ ВИРУСЫ, ИХ СВОЙСТВА

И КЛАССИФИКАЦИЯ

1.1. Свойства компьютерных вирусов

Сейчас применяются персональные компьютеры, в которых пользователь имеет свободный доступ ко всем ресурсам машины. Именно это открыло воз-можность для опасности, которая получила название компьютерного вируса.

Что такое компьютерный вирус? Формальное определение этого понятия до сих пор не придумано, и есть серьезные сомнения, что оно вообще может быть дано. Многочисленные попытки дать «современное» определение вируса не привели к успеху. Чтобы почувствовать всю сложность проблемы, попробуйте к примеру, дать определение понятия «редактор». Вы либо придумаете нечто очень общее, либо начнете перечислять все известные типы редакторов. И то и другое вряд ли можно считать приемлемым. Поэтому мы ограничимся рас-смотрением некоторых свойств компьютерных вирусов, которые позволяют говорить о них как о некотором определенном классе программ.

Прежде всего вирус - это программа. Такое простое утверждение само по се-бе способно развеять множество легенд о необыкновенных возможностях ком-пьютерных вирусов. Вирус может перевернуть изображение на вашем монито-ре, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цвето-вой гаммы 25-м кадром» также не стоит относиться серьезно. К сожалению, некоторые авторитетные издания время от времени публикуют «самые свежие новости с компьютерных фронтов», которые при ближайшем рассмотрении оказываются следствием не вполне ясного понимания предмета.

Вирус - программа, обладающая способностью к самовоспроизведению. Та-кая способность является единственным средством, присущим всем типам ви-русов. Но не только вирусы способны к самовоспроизведению. Любая опера-ционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригина-лом, но и могут вообще с ним не совпадать!

Вирус не может существовать в «полной изоляции»:сегодня нельзя предста-вить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

1.2. Классификация вирусов

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

• среде обитания

• способу заражения среды обитания

• воздействию

• особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, фай-ловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как пра-вило, записанные в таких файлах, они никогда не получают управление и, сле-довательно, теряют способность к размножению. Загрузочные вирусы внедря-ются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий про-грамму загрузки системного диска (Master Boot Re-

cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сек-тора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Ре-зидентный вирус при заражении (инфицировании) компьютера оставляет в опе-ративной памяти свою резидентную часть, которая потом перехватывает обра-щение операционной системы к объектам заражения (файлам, загрузочным сек-торам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в па-мяти и являются активными вплоть до выключения или перезагрузки компью-тера. Нерезидентные вирусы не заражают память компьютера и являются ак-тивными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

• неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких ви-русов проявляются в каких-либо графических или звуковых эффектах

• опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

• очень опасные, воздействие которых может привести к потере про-грамм, уничтожению данных, стиранию информации в системных об-ластях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большо-го разнообразия. Простейшие вирусы - паразитические, они изменяют содер-жимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, ко-торые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела не-зараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, со-держащие алгоритмы шифровки-расшифровки, благодаря которым копии од-ного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, кото-рые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файло-вую систему дисков.

2. ОСНОВНЫЕ ВИДЫ ВИРУСОВ

И СХЕМЫ ИХ ФУНКЦИОНИРОВАНИЯ

Среди всего разнообразия вирусов можно выделить следующие основные группы:

• загрузочные

• файловые

• файлово-загрузочные

Теперь поподробнее об каждой из этих групп.

2.1. Загрузочные вирусы

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты.

Что происходит, когда вы включаете компьютер? Первым делом управле-ние передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.

Эта программа тестирует оборудование и при успешном завершении про-верок пытается найти дискету в дисководе А:

Всякая дискета размечена на т.н. секторы и дорожки. Секторы объединяют-ся в кластеры, но это для нас несущественно.

Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один - т.н. сектор на-чальной загрузки (boot-sector).

В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части - т.н. голову и т.н. хвост. Хвост, вообще говоря, может быть пустым.

Пусть у вас имеются чистая дискета и зараженный компьютер, под кото-рым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

 выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простей-шем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)

 копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор

 замещает программу начальной загрузки в загрузочном секторе (на-стоящем) своей головой

 организует цепочку передачи управления .

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке

ПНЗ (ПЗУ) - ПНЗ (диск) - СИСТЕМА

появляется новое звено:

ПНЗ (ПЗУ) - ВИРУС - ПНЗ (диск) - СИСТЕМА

Мораль ясна: никогда не оставляйте (случайно) дискет в дисководе А.

Мы рассмотрели схему функционирования простого загрузочного вируса, живущего в загрузочных секторах дискет. Как правило, вирусы способны зара-жать не только загрузочные секторы дискет, но и загрузочные секторы винче-стеров. При этом в отличие от дискет на винчестере имеются два типа загру-зочных секторов, содержащих программы начальной загрузки, которые полу-чают управление. При загрузке компьютера с винчестера первой берет на себя управление программа начальной загрузки в MBR (Master Boot Record - главная загрузочная запись). Если ваш жесткий диск разбит на несколько разделов, то лишь один из них помечен как загрузочный (boot). Программа начальной за-грузки в MBR находит загрузочный раздел винчестера и передает управление на программу начальной загрузки этого раздела. Код последней совпадает с ко-дом программы начальной загрузки, содержащейся на обычных дискетах, а со-ответствующие загрузочные секторы отличаются только таблицами парамет-ров. Таким образом, на винчестере имеются два объекта атаки загрузочных ви-русов - программа начальной загрузки в MBR и программа начальной загрузки в бут-секторе загрузочного диска.

2.2. Файловые