Главная Обратная связь

Дисциплины:






СЕРЕДОВИЩЕ ПЕРЕБУВАННЯ



Файлові віруси проникають у виконавчі файли. Звичайний файловий вірус, після передачі йому управління, виконує такі дії:

– він перевіряє ОЗП на наявність своєї копії і інфікує пам’ять комп’ютера, якщо копія вірусу не знайдена;

– може виконувати додаткові функції: здійснювати які-небудь деструктивні дії, демонструвати візуальні або звукові ефекти і т.д.;

– поновлює оригінальний код програми;

– повертає управління основній програмі;

Під час поновлення програми в первісному вигляді вірус використовує інформацію, що зберігається в його тілі при зараженні файлу. Це може бути довжина файлу, перші три байти в разі COM-файлу або декілька байтів заголовка в разі EXE-файлу.

Файлові віруси при розповсюдженні вкорінюються в початок, кінець або середину файлу.

Спосіб вкорінення в кінець файлу очевидний – він просто дописує своє тіло в кінець файлу. Існує декілька способів вкорінення в середину файлу. Код вірусу може бути скопійований:

– у таблицю настройки адрес (для EXE-файлів);

– в область стека;

– поверх коду або даних програми (при цьому програма безповоротно пошкоджується).

LAN-віруси (мережеві). Насамперед, треба враховувати велику загрозу розповсюдження вірусів по мережах. Віруси розповсюджуються від користувача до користувача при обміні програмними продуктами. Локальні мережі (LAN) широко застосовуються для спільного використання програмних пакетів, обміну програмами та даними між користувачами.

Вірус найчастіше може потрапити на ПК, який підключений до локальної мережі, коли користувач копіює собі файли з мережі або просто запускає програми із мережевих папок.

Проте на практиці ситуація не настільки драматична, оскільки мережеві ОС надають штатні механізми захисту та розподілу користувачів. При грамотному використанні цих можливостей можна обмежити простір, в якому буде розповсюджуватись вірус, тільки робочою областю того користувача, який вніс його в систему.

WinWord-віруси (макровіруси) — це досить нові віруси, які розповсюджуються з електронними документами. Перші такі віруси з’явились в 1995 р. Таке повідомлення нібито фантастичне, оскільки вірус повинен мати команди, що виконуються, а в документі міститься тільки текст та його шрифтове оформлення. Але разом з документом можуть зберігатися макрокоманди, які створюються з використанням спеціальної мови програмування WORD Basic. Ці макрокоманди фактично є програмами. Віруси, які використовують такі шляхи розповсюдження, принципово можуть бути не тільки в MS Word, а і в інших прикладаннях MS Office.

Найбільш доцільною протидією від таких нових версій макровірусів є постійне оновлення своїх антивірусних програм та уважне вивчення публікацій з антивірусної тематики.



Резидентні віруси — це віруси, які вкорінюють в ОС свій резидентний модуль. Такі віруси, як правило, перевіряють ОЗП на наявність своєї копії, щоб запобігти повторному зараженню системи.

Відомі два способи перевірки резидентним вірусом своєї копії в ОЗП ПК. Перший полягає в тому, що вірус вводить нову функцію деякого переривання, дія якої полягає в повернені сигнального значення. При перевірці іншим методом, вірус просто сканує пам’ять комп’ютера. Ці способи можуть поєднуватись один з одним.

При інфікуванні ПК, вірус може записати свою резидентну частку в будь-яке вільне місце оперативної пам’яті. При цьому об’єм оперативної пам’яті може і не змінитись, оскільки вірус розміщує резидентний модуль у вільних або мало використовуваних системних областях.


МЕТОДИ ЗАРАЖЕННЯ

Існують три методи зараження EXE-файлів:

1. ехе-файл переводиться в формат COM-файлу, а потім заражується, як COM-файл;

2. у заголовку EXE-файлу значення точки входу в програму змінюється таким чином, що відразу після запуску управління переходить на вірус;

3. точка входу не змінюється, але вірус замінює команди, які знаходяться за адресою точки входу таким чином, щоб вони передали йому керування.

Бутові віруси заражують сектор завантаження або завантажувальний запис вінчестера. При інфікуванні диска вірус переносить оригінальний сектор у будь-який інший сектор диска і копіює себе в завантажувальний сектор вінчестера (або в MBR). Якщо довжина вірусу більша за довжину сектора, то в заражуваному секторі міститься перша частини вірусу, інші його частини містяться в інших секторах. Якщо ці частини розміщуються у перших вільних секторах, то ті, як правило, позначаються як збійні (точніше, сектори утворюють кластер або кластери, які позначаються як псевдозбійні кластери).

У подальшому, вірус перехоплює звернення ОС до дисків і, залежно від деяких умов, інфікує їх.

Віруси в структурі файлової системи — це найвитонченіші віруси, вони здатні вносити зміни в службові структури файлової системи таким чином, що вірус включається в файли, які призначені для виконання, явно не вкорінюючи в них свій код. Такі віруси використовують дуже незвичайну технологію розмноження. При цьому, усі записи в папках, що стосуються програм, модифікуються таким чином, що першим кластером програми стає кластер, який містить код вірусу. Отже, під час запуску будь-якої програми замість неї працює вірус. Першим вірусом, що використовував подібну технологію, був DIR-вірус.

Stealth-віруси — це такі, що намагаються приховати свою присутність у ПК. Це вдається тому, що вони працюють разом з ОС та використовують усі її стандартні функції для свого маскування. Stealth-віруси мають резидентний модуль, який постійно знаходиться в оперативній пам’яті комп’ютера. Цей модуль встановлюється під час запуску зараженої програми або при завантаженні з диску, який заражено Boot-вірусом.

Маскування Stealth-вірусів спрацьовує тільки тоді, коли в ОЗП ПК знаходиться резидентний модуль вірусу. Тому, якщо ПК завантажується з дискети, у вірусу немає ніяких шансів отримати управління, і тому Stealth-механізм не спрацьовує.

Щоб досягти ще меншої вразливості, використовується комбінований метод маскування. Віруси комбінують в собі властивості не тільки Stealth, а й поліморфних вірусів.

MtE-віруси (поліморфні віруси), щоб утруднити виявлення, шифрують свій код. Кожен раз, коли вірус заражує нову програму, він зашифровує свій власний код, використовуючи новий ключ. У результаті два примірника таких вірусів можуть значно відрізнятись, навіть мати різну довжину. Якщо запускається заражена програма і вірус одержує управління, він починає розшифровувати свій код.

Процедура розшифрування не може бути зашифрована, інакше вона не працюватиме, Цим користуються антивірусні програми, що використовують, як сигнатуру, код процедури розшифрування. Але зараз віруси, що самошифруються, стали доповнюватися генераторами дешифровки. Вони створюють для кожної нової копії вірусу свій унікальний розшифровок. Два екземпляри такого вірусу не будуть мати жодного збігу послідовності коду.

CD-ROM-віруси. На цей час майже основним носієм інформації стають диски. На відміну від вінчестерів і дискет, через CD/DVD-ROM вірус розповсюджується лише тоді, коли файл було інфіковано і таким записано на компакт-диск. Якщо ви не довіряєте своєму компакт-диску, то можна скопіювати заражений файл на жорсткий диск і відразу вилікувати його за допомогою антивірусу.





sdamzavas.net - 2019 год. Все права принадлежат их авторам! В случае нарушение авторского права, обращайтесь по форме обратной связи...