Пути проникновения и механизм распределения вирусных программ.

Основными путями проникновения вирусов в компьютер являются:

- съемные диски (гибкие, лазерные, Flesh-карты и т.п.);

- компьютерные сети (локальные, глобальные).

Заражение жесткого диска вирусами может произойти при загрузке программы с Flesh-карты, содержащей вирус. Такое заражение может быть и случайным, например, если Flesh-карту не вынули из USB-порта и перезагрузили компьютер, при этом Flesh-карта может быть и не системной.

Заразить Flesh-карту гораздо проще. На нее вирус может попасть, даже если её просто вставили в USB-порт зараженного компьютера и прочитали ее оглавление.

Наиболее часто вирусом заражаются загрузочный сектор диска и исполняемые файлы, имеющие расширения.EXE,.COM,.SYS,.BAT. При запуске заражённой программы управление передаётся сначала вирусу. Получив доступ к управлению, вирус, прежде всего, переписывает сам себя в другую рабочую программу. Именно, после запуска программы, содержащей вирус, становится возможным заражение других файлов. Каждое выполнение зараженной программы переносит вирус в следующую программу. Таким образом, заразится все программное обеспечение. Далее вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, после выполнения всех команд вируса управление передаётся той программе, из которой был запущен.

Текстовые файлы заражаются редко.

Признаки появления вирусов.

При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести:

- прекращение работы или неправильная работа ранее успешно функционирующих программ,

- медленная работа компьютера,

- невозможность загрузки операционной системы,

- исчезновение файлов и каталогов или искажение их содержимого,

- изменение даты и времени модификации файлов,

- изменение размеров файлов,

- неожиданное значительное увеличение количества файлов на диске,

- существенное уменьшение размера свободной оперативной памяти,

- вывод на экран непредусмотренных сообщений или изображений,

- подача непредусмотренных звуковых сигналов,

- частые зависания и сбои в работе компьютера.

Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.

Классификация вирусов.

Вирусы можно классифицировать по следующим признакам:

- среде обитания,

- способу заражения,

- степени воздействия,

- особенностям алгоритма.

3.1. Способ заражения

Вирусы делятся на резидентные и нерезидентные.

Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти компьютера и являются активными вплоть до выключения компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

3.2. Среда обитания

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусы распространяются по различным компьютерным сетям.

Файловые вирусы внедряются, главным образом, в исполняемые модули, т.е. в файлы, имеющие расширения.СОМ и.ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и теряют способность к размножению. В отличие от загрузочных вирусов, которые практически всегда резидентные, файловые вирусы совсем не обязательно резидентные. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код, следовательно, заражение исполняемого файла всегда можно обнаружить.

Загрузочные вирусы внедряются в загрузочный сектор диска (Boot - cектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Record).

Схема функционирования загрузочных вирусов

При включении компьютера управление передается программе начальной загрузки, которая хранится в постоянном запоминающем устройстве (ПЗУ), т.е. ПНЗ ПЗУ. Эта программа тестирует оборудование и при успешном завершении проверок ищет диск с операционной системой. Всякий диск размечен на секторы и дорожки. Секторы объединяются в кластеры. Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных нас пока интересует один – сектор начальной загрузки (boot-sector).

В этом секторе хранится информация о диске – количество поверхностей, количество дорожек, количество секторов и программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление. Таким образом, нормальная схема начальной загрузки следующая: ПНЗ (ПЗУ) → ПНЗ (диск) → СИСТЕМА

Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части: голову и хвост. Хвост может быть пустым.

Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась незащищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

- выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем случае занятые вирусом секторы помечаются как сбойные (bad);

- копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;

- замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой;

организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке ПНЗ (ПЗУ) → ПНЗ (диск) → СИСТЕМА появляется новое звено ПНЗ (ПЗУ) → ВИРУС → ПНЗ (диск) → СИСТЕМА.

Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров.

Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

3.3. Степень воздействия

По степени воздействия вирусы можно разделить на следующие виды:

- безвредные, которыепрактически не влияют на работу, уменьшают свободную память на диске в результате своего распространения;

- неопасные, которые не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках. Действие таких вирусов проявляется в каких-либо графических или звуковых эффектах.

- опасные, которые могут привести к различным нарушениям в работе компьютера,

- очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

3.4. Особенности алгоритма

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

Паразитические – простейшие вирусы, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

Вирусы-“спутники” не изменяют файлы, создают для ЕХЕ - файлов файлы-спутники с расширением.СОМ.

“Черви” - вирусы-репликаторы распространяются по сети, рассылают свои копии, вычисляя сетевые адреса.

“Стелс” - вирусы (невидимки) перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки.

Вирусы-мутанты - наиболее трудно обнаружить. Содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

Квазивирусные или “троянские” программы - не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Вирусы-“призраки ” - не имеют ни одного постоянного участка кода, трудно обнаруживаются. Основное тело вируса зашифровано.

Макровирусы пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.doc.

Полиморфные вирусы.

Этот вид компьютерных вирусов представляется наиболее опасным. Полиморфные вирусы – вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов. Полиморфные вирусы – это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.