ПЕРЕЛІК ДИСЦИПЛІН:
  • Адміністративне право
  • Арбітражний процес
  • Архітектура
  • Астрологія
  • Астрономія
  • Банківська справа
  • Безпека життєдіяльності
  • Біографії
  • Біологія
  • Біологія і хімія
  • Ботаніка та сільське гос-во
  • Бухгалтерський облік і аудит
  • Валютні відносини
  • Ветеринарія
  • Військова кафедра
  • Географія
  • Геодезія
  • Геологія
  • Етика
  • Держава і право
  • Цивільне право і процес
  • Діловодство
  • Гроші та кредит
  • Природничі науки
  • Журналістика
  • Екологія
  • Видавнича справа та поліграфія
  • Інвестиції
  • Іноземна мова
  • Інформатика
  • Інформатика, програмування
  • Юрист по наследству
  • Історичні особистості
  • Історія
  • Історія техніки
  • Кибернетика
  • Комунікації і зв'язок
  • Комп'ютерні науки
  • Косметологія
  • Короткий зміст творів
  • Криміналістика
  • Кримінологія
  • Криптология
  • Кулінарія
  • Культура і мистецтво
  • Культурологія
  • Російська література
  • Література і російська мова
  • Логіка
  • Логістика
  • Маркетинг
  • Математика
  • Медицина, здоров'я
  • Медичні науки
  • Міжнародне публічне право
  • Міжнародне приватне право
  • Міжнародні відносини
  • Менеджмент
  • Металургія
  • Москвоведение
  • Мовознавство
  • Музика
  • Муніципальне право
  • Податки, оподаткування
  •  
    Бесплатные рефераты
     

     

     

     

     

     

         
     
    Класифікація комп'ютерних вірусів .
         

     

    Інформатика, програмування

    ІНСТИТУТ УПРАВЛІННЯ ТА ЕКОНОМІКИ

    (САНКТ-ПЕТЕРБУРГ)

    МУРМАНСЬК ФІЛІЯ

    ЗАОЧНЕ ВІДДІЛЕННЯ

    СПЕЦІАЛЬНІСТЬ «Державне та муніципальне управління »

    1 Контрольна робота

    з дисципліни: Інформатика на тему: Класифікація комп'ютерних вірусів.


    ВИКОНАВ:

    Студент Мітіч Руслан Сергійович

    Група Г 2 -

    22

    Курс 1

    № залікової книжки 06375 дом.телефон 43-75-11

    ПЕРЕВІРИТИ:

    Викладач

    1

    2

    3

    4 Мурманськ

    2003

    Зміст

    Введення ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1 стор

    Класифікація комп'ютерних вірусів ... ... ... ... ... ... ... ... 2-5 стор

    Завантажувальні віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 6-7 стор

    Макро-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 8 стор

    Файлові віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 9-12 стор


    1 Overwriting ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 9 стор


    2 Parasitic ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 10 стор


    3 Віруси без точки входу ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 10 стор


    4 Компаньон - віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 10 стор


    5 Файлові хробаки ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 11 стор


    6 Link-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 11 стор


    7-OBJ, LIB-віруси та віруси у вихідних текстах ... ... ... ... .... 12 стор

    Резидентні віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13-14 стор


    1 DOS-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 13 стор


    2 Завантажувальні віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 14 стор


    3 Windows-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 14 стор

    Стелс-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 15-16 стор


    1 Завантажувальні віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 15 стор


    2 Файлові віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 15 стор


    3 Макро-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 16 стор

    Полиморфик-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 17-18 стор


    1 поліморфні розшифровувача ... ... ... ... ... ... ... ... ... ... ... .. 17 стр.

    IRC-хробаки ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 19-21 стор


    1 IRC-клієнти ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 19 стр.


    2 Скрипт-черв'яки ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .... 19 стр.


    3 mIRC.Acoragil і mIRC.Simpsalapim ... ... ... ... ... ... ... ... ... ... 21 стор


    4 Win95.Fono ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 21 стор

    Мережеві віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 22-23 стор

    Інші "шкідливі програми" ... ... ... ... ... ... ... ... ... ... ... 24-26 стор

    10.1 троянські коні (логічні бомби ) ... ... ... ... ... ... ... ... ... .. 24 стор

    10.2 Утиліти прихованого адміністрування (backdoor) ... ... ... ... 24 стор

    10.3 Intended-віруси ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 25 стр.

    10.4 Конструктори вірусів ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 25 стр.

    10.5 поліморфні генератори ... ... ... ... ... ... ... ... ... ... ... ... ... .. 26 стор

    Висновок ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 27 стор

    Список літератури ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... .. 28 стор

    Література


    1. Ю. А. Шафрін Інформаційні технології. - М.: Лабораторія базових знань,

    1999 В.В. Качала, Н.М. Качала Основи інформатики. - Мурманск:

    Видавництво МГТУ, 1998.
    2. Романець Ю.В., Тимофеев П.А., Шаньгина В.Ф. Захист інформації в комп'ютерних системах та мережах. - М.: Радіо і зв'язок, 1999.
    3. С.В. Симонович, Г.А. Євсєєв Практична інформатика. - М.: АСТ-Пресс:

    Інфорком-Прес, 1998.
    4. Ю.І. Рижиков Інформатика. - СПб.: Корона принт, 2000.
    5. Н.В. Макарова, Л.А. Матвєєв, В.Л. Бройдо Інформатика: Підручник для економічних спеціальностей вузів. - М.: Фінанси і статистика, 1999.

    1

    2 Введення

    Комп'ютерні віруси. Що це таке і як з цим боротися? На цю темунаписано десятки книг і сотні статей, боротьбою з комп'ютерними вірусамипрофесійно займаються сотні (або тисячі) фахівців в десятках (аможе бути, сотнях) компаній. Здавалося б, ця тема не настільки складна іактуальна, щоб бути об'єктом такої пильної уваги. Однак це нетак. Комп'ютерні віруси були і залишаються однією з найбільш поширенихпричин втрати інформації. Відомі випадки, коли віруси блокували роботуорганізацій і підприємств. Більше того, кілька років тому був зафіксованийвипадок, коли комп'ютерний вірус став причиною загибелі людини - в одному згоспіталів Нідерландів пацієнт отримав летальну дозу морфію з тієїпричини, що комп'ютер був заражений вірусом і видавав невірну інформацію.

    Незважаючи на величезні зусилля конкуруючих між собою антивіруснихфірм, збитки, принесені комп'ютерними вірусами, не падають і досягаютьастрономічних величин в сотні мільйонів доларів щорічно. Ці оцінкиявно занижені, оскільки відомо стає лише про частину подібнихінцидентів.

    При цьому слід мати на увазі, що антивірусні програми і «залізо» недають повної гарантії захисту від вірусів. Приблизно так само погано йдуть справина іншій стороні тандему «людина-комп'ютер». Як користувачі, так іпрофесіонали-програмісти часто не мають навіть навиків «самооборони», а їхуявлення про вірус інколи є настільки поверхневими, що кращеб їх (подань) і не було.

    Класифікація комп'ютерних вірусів.


    Віруси можна розділити на класи за такими основними ознаками:.

    1. середовище перебування;
    1. операційна система (OC);
    2. особливості алгоритму роботи;
    3. деструктивні можливості.
    За Навколишнє середовище віруси можна розділити на:

    1. файлові;

    2. завантажувальні;

    3. макро;

    4. мережеві.

    Файлові віруси або різноманітними засобами впроваджуються у виконуваніфайли (найбільш поширений тип вірусів), або створюють файли-двійники
    (компаньйон-віруси), або використовують особливості організації файловоїсистеми (link-віруси).

    Завантажувальні віруси записують себе або в завантажувальний сектор диска
    (boot-сектор), або в сектор, що містить системний завантажувач вінчестера
    (Master Boot Record), або змінюють покажчик на активний boot-сектор.

    Макро-віруси заражають файли-документи й електронні таблиці декількохпопулярних редакторів.

    Мережеві віруси використовують для свого поширення протоколи абокоманди комп'ютерних мереж і електронної пошти.

    Існує велика кількість сполучень - наприклад, файлово -завантажувальні віруси, що заражають як файли, так і завантажувальні сектори дисків.
    Такі віруси, як правило, мають досить складний алгоритм роботи, частозастосовують оригінальні методи проникнення в систему, використовують стелс іполіморфік-технології. Інший приклад такого сполучення - мережний макро -вірус, який не тільки заражає редаговані документи, а й розсилаєсвої копії по електронній пошті.

    заражається ОПЕРАЦІЙНА СИСТЕМА (вірніше, ОС, об'єкти якої підданізараженню) є другим рівнем розподілу вірусів на класи. Коженфайловий чи мережний вірус заражає файли який-небудь однієї або декількох
    OS - DOS, Windows, Win95/NT, OS/2 і т.д. Макро-віруси заражають файлиформатів Word, Excel, Office97. Завантажувальні віруси також орієнтовані наконкретні формати розташування системних даних у завантажувальних секторахдисків.

    Серед ОСОБЛИВОСТЕЙ Алгоритм роботи вірусів виділяються наступні пункти:

    1. резидентність;

    2. використання стелс-алгоритмів;

    3. САМОШИФРУВАННЯ і ПОЛіМОРФіЧНіСТЬ;

    4. використання нестандартних прийомів.

    Резидентний вірус при інфікуванні комп'ютера залишає в оперативнійпам'яті свою резидентну частина, яка потім перехоплює зверненняопераційної системи до об'єктів зараження і впроваджується в них. Резидентнівіруси знаходяться в пам'яті і є активними аж до вимиканнякомп'ютера або перезавантаження операційної системи. Нерезидентні віруси незаражають пам'ять комп'ютера і зберігають активність обмежений час.
    Деякі віруси залишають в оперативній пам'яті невеликі резидентніпрограми, які не поширюють вірус. Такі віруси вважаютьсянерезидентними.

    Резидентними можна вважати макро-віруси, оскільки вони постійноприсутні в пам'яті комп'ютера на увесь час роботи зараженого редактора.
    При цьому роль операційної системи бере на себе редактор, а поняття
    «Перезавантаження операційної системи» трактується як вихід з редактора.

    У багатозадачних операційних системах час «життя» резидентного DOS -вірусу також може бути обмежено моментом закриття зараженого DOS-вікна,а активність завантажувальних вірусів у деяких операційних системахобмежується моментом інсталяції дискових драйверів OC.

    Використання стелс-алгоритмів дозволяє вірусам цілком або частковосховати себе в системі. Найбільш розповсюдженим стелс-алгоритмів єперехоплення запитів OC на читання/запис заражених об'єктів. Стелс-віруси прицьому або тимчасово лікують їх, або «підставляють» замість себе незараженіділянки інформації. У випадку макро-вірусів найбільш популярний спосіб --заборона викликів меню перегляду макросів. Один з перших файлових стелс -вірусів - вірус «Frodo», перший завантажувальний стелс-вірус - «Brain».

    САМОШИФРУВАННЯ і ПОЛіМОРФіЧНіСТЬ використовуються практично всіма типамивірусів для того, щоб максимально ускладнити процедуру виявленнявірусу. Полиморфик-віруси (polymorphic) - це досить важковиявленівіруси, що не мають сигнатур, тобто що не містять жодного постійногоділянки коду. У більшості випадків два зразки того самого поліморфік -вірусу не будуть мати жодного збігу. Це досягається шифруваннямосновного тіла вірусу і модифікаціями програми-розшифровувача.

    Різні НЕСТАНДАРТНІ ПРИЙОМИ часто використовуються у вірусах для того,щоб якнайглибше сховати себе в ядрі OC (як це робить вірус
    «3APA3A»), захистити від виявлення свою резидентну копію (віруси «TPVO»,
    «Trout2»), утруднити лікування від вірусу (наприклад, помістивши свою копію в
    Flash-BIOS) і т.д.
    За ДЕСТРУКТИВНИЙ МОЖЛИВОСТЯХ віруси можна розділити на:
    1. нешкідливі, тобто ніяк не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);

    2. безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й ін ефектами;
    3. небезпечні віруси, які можуть призвести до серйозних збоїв в роботі комп'ютера;
    4. дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури, які можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як говорить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу рухомих частин механізмів - вводити в резонанс і руйнувати голівки деяких типів вінчестерів.

    Але навіть якщо в алгоритмі вірусу не знайдено гілок, що завдають шкодисистемі, цей вірус не можна з повною впевненістю назвати нешкідливим, такщо проникнення його в комп'ютер може викликати непередбачені і часомкатастрофічні наслідки. Адже вірус, як і всяка програма, маєпомилки, в результаті яких можуть бути зіпсовані як файли, так і секторадисків (наприклад, цілком нешкідливий на перший погляд вірус «DenZuk»досить коректно працює з 360K дискетами, але може знищитиінформацію на дискетах більшого обсягу). До цих пір трапляються віруси,що визначають «COM чи EXE» не по внутрішньому формату файлу, а за йогорозширення. Природно, що при розбіжності формату і розширення іменіфайл після зараження виявляється непрацездатним. Можливо також
    «Заклинювання» резидентного вірусу і системи при використанні нових версій
    DOS, при роботі в Windows або з іншими потужними програмними системами. Ітак далее.Конец форми

    2. Завантажувальні віруси

    Завантажувальні віруси заражають завантажувальний (boot) сектор флоппі-диска іboot-сектор або Master Boot Record (MBR) вінчестера. Принцип діїзавантажувальних вірусів заснований на алгоритмах запуску операційної системи привключення або перезавантаження комп'ютера - після необхідних тестіввстановленого обладнання (пам'яті, дисків і т.д.) програма системноїзавантаження зчитує перший фізичний сектор завантажувального диска (A:, C: або
    CD-ROM в залежності від параметрів, встановлених в BIOS Setup) і передаєна нього управління.

    У разі дискети або компакт-диска управління отримує boot-сектор,що аналізує таблицю параметрів диску (BPB - BIOS Parameter Block)вираховує адреси системних файлів операційної системи, зчитує їх упам'ять і запускає на виконання.

    При зараженні дисків завантажувальні віруси «підставляють» свій код замістьбудь-якої програми, що одержує управління при завантаженні системи. Принципзараження, таким чином, однаковий у всіх описаних вище способи: вірус
    "змушує" систему при її перезапуску вважати в пам'ять і віддатиуправління не оригінального коду завантажувача, а коду вірусу.

    Зараження дискет здійснюється єдиним відомим способом - вірусзаписує свій код замість оригінального коду boot-сектору дискети.
    Вінчестер заражається трьома можливими способами - вірус записується абозамість коду MBR, або замість коду boot-сектора завантажувального диска (зазвичайдиска C:), або модифікує адреса активного boot-сектора в Disk Partition
    Table, розташованої в MBR вінчестера.

    При інфікуванні диска вірус в більшості випадків переноситьоригінальний boot-сектор (або MBR) в будь-який інший сектор диска
    (наприклад, в першу вільний). Якщо довжина вірусу більше довжини сектора, тов заражаємо сектор поміщається перша частина вірусу, інші частинирозміщуються в інших секторах (наприклад, у перших вільних).

    Існує кілька варіантів розміщення на диску первісногозавантажувального сектора і продовження вірусу: в сектори вільних кластерівлогічного диска, в які не використовуються або рідко використовуються системнісектора, в сектори, розташовані за межами диска.

    Якщо продовження вірусу розміщується в секторах, які належатьвільним кластерів диска (при пошуку цих секторів вірусу припадаєаналізувати таблицю розміщення файлів - FAT), то, як правило, віруспозначає в FAT ці кластери як збійні (так звані псевдосбойниекластери). Цей спосіб використовується вірусами «Brain», «Ping-Pong» ідеякими іншими.

    У віруси сімейства «Stoned» задіяний інший метод. Ці вірусирозміщують початковий завантажувальний сектор в невживаному або рідковикористовуваному секторі - в одному із секторів вінчестера (якщо такі є),розташованих між MBR і першим boot-сектором, а на дискеті такий секторвибирається з останніх секторів кореневого каталогу.

    Звичайно, існують і інші методи розміщення вірусу на диску,наприклад, віруси сімейства «Azusa» містять у своєму тілі стандартнийзавантажувач MBR і при зараженні записуються поверх оригінальному MBR без йогозбереження.

    Користувачам нових операційних систем (Novell, Win95, OS/2)завантажувальні віруси також можуть доставити неприємності. Незважаючи на те, щоперераховані вище системи працюють з дисками напряму (минаючи виклики BIOS),що блокує вірус і робить неможливим подальше його поширення,код вірусу все-таки, хоч і дуже рідко, отримує управління приперезавантаження системи. Тому вірус «March6», наприклад, може роками «жити»в MBR сервера і ніяк не впливати при цьому на його (сервера) роботу іпродуктивність. Однак при випадковій перезавантаження 6-го березня цей вірусповністю знищить всі дані на диску.

    Макро-віруси

    Макро-віруси (macro viruses) є програмами на мовах (макро -мовами), вбудованих в деякі системи обробки даних (текстовіредактори, електронні таблиці і т.д.). Для свого розмноження такі вірусивикористовують можливості макро-мов і за їх допомогою переносять себе зодного зараженого файлу (документу або таблиці) в інші. Найбільшепоширення набули макро-віруси для Microsoft Word, Excel і Office97.
    Існують також макро-віруси, що заражають документи Ami Pro і бази даних
    Microsoft Access.

    Для існування вірусів у конкретній системі (редакторі) необхіднонаявність вбудованого в систему макро-мови з можливостями:

    1. прив'язки програми на макро-мові до конкретного файлу;

    2. копіювання макро-програм з одного файлу в іншій;

    3. можливість отримання управління макро-програмою без втручаннякористувача (автоматичні або стандартні макроси).

    Цим умовам задовольняють редактори Microsoft Word, Office97 і
    AmiPro, а також електронна таблиця Excel і база даних Microsoft Access.
    Ці системи містять в собі макро-мови: Word - Word Basic, Excel, Office97
    (включаючи Word97, Excel97 і Access) - Visual Basic for Applications.

    На сьогоднішній день відомі чотири системи, для яких існуютьвіруси - Microsoft Word, Excel, Office97 і AmiPro. У цих системах вірусиодержують керування при відкритті або закриття зараженого файлу,перехоплюють стандартні файлові функції і потім заражають файли, дояким будь-яким чином йде звертання. За аналогією з MS-DOS можнасказати, що більшість макро-вірусів є резидентними: вони активніне тільки в момент відкриття/закриття файлу, але до тих пір, поки активний самредактор.

    Файлові віруси

    До даної групи відносяться віруси, які при своєму розмноженні тим абоіншим способом використовують файлову систему будь-якої (або будь-яких) ОС.

    Впровадження файлового вірусу можливо практично в усі виконуваніфайли всіх популярних ОС. На сьогоднішній день відомі віруси, що вражаютьвсі типи виконуваних об'єктів стандартної DOS: командні файли (BAT),завантажуються драйвери (SYS, в тому числі спеціальні файли IO.SYS і
    MSDOS.SYS) і виконувані двійкові файли (EXE, COM).

    Існують віруси, що вражають виконувані файли інших операційнихсистем - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включаючи VxD -драйвера Windows 3.x і Windows95.

    Існують віруси, що заражають файли, що містять вихідні текстипрограм, бібліотечні або об'єктні модулі. Можливий запис вірусу і вфайли даних, але це трапляється або в результаті помилки вірусу, або припрояві його агресивних властивостей. Макро-віруси також записують свій коду файли даних - документи або електронні таблиці, - проте ці вірусинастільки специфічні, що винесені в окрему групу.

    За способом зараження файлів віруси діляться на «overwriting»,паразитичні ( «parasitic»), компаньйон-віруси ( «companion»), «link» --віруси, віруси-черв'яки і віруси, що заражає об'єктні модулі (OBJ),бібліотеки компіляторів (LIB) і вихідні тексти програм.

    4.1Overwriting

    Даний метод зараження є найбільш простим: вірус записує свійкод замість коду заражає файли, знищуючи його вміст. Природно,що при цьому файл перестає працювати і не відновлюється. Такі вірусидуже швидко виявляють себе, тому що операційна система і додаткидосить швидко перестають працювати.

    4.2 Parasitic

    До паразитичним відносяться всі файлові віруси, які припоширенні своїх копій обов'язково змінюють вміст файлів,залишаючи цими файли при цьому повністю або частково працездатними.
    Основними типами таких вірусів є віруси, записуються в початокфайлів ( «prepending»), в кінець файлів ( «appending») і в середину файлів
    ( «Inserting»). У свою чергу, впровадження вірусів в середину файліввідбувається різними методами - шляхом переносу частини файла в його кінець абокопіювання свого коду в явно не використовуються дані файлу ( «cavity» --віруси).

    4.3 Віруси без точки входу

    Окремо слід відзначити досить незначну групу вірусів, немають «точки входу» (EPO-віруси - Entry Point Obscuring viruses). До нихвідносяться віруси, що не записують команд передачі управління в заголовок
    COM-файлів (JMP) і не змінюють адреса точки старту в заголовку EXE-файлів.
    Такі віруси записують команду переходу на свій код в будь-яке місце всередину файлу і отримують управління не безпосередньо під час запускузараженого файлу, а при виклику процедури, яка містить код передачіуправління на тіло вірусу. Причому виконуватися ця процедура може вкрайрідко (наприклад, при виводі повідомлення про яку-небудь специфічної помилку).
    В результаті вірус може довгі роки «спати» всередині файлу і вискочити насвободу тільки за деяких обмежених умовах.

    4.4 Компаньон - віруси

    До категорії «компаньйон" відносяться віруси, що не змінюють заражаємофайлів. Алгоритм роботи цих вірусів полягає в тому, що для заражаємофайла створюється файл-двійник, причому при запуску зараженого файлукерування одержує саме цей двійник, тобто вірус.

    Найбільш поширені компаньйон-віруси, які використовують особливість DOSперший виконувати. COM-файл, якщо в одному каталозі присутні два файли зодним і тим же ім'ям, але різними расшіненіямі імені -. COM і. EXE.
    Такі віруси створюють для EXE-файлів файли-супутники, що мають те ж самеім'я, але з розширенням. COM, наприклад, для файлу XCOPY.EXE створюється файл
    XCOPY.COM. Вірус записується в COM-файл і ніяк не змінює EXE-файл. Призапуску такого файлу DOS перша виявить і виконає COM-файл, тобто вірус,який потім запустить і EXE-файл. Деякі віруси використовують не тількиваріант COM-EXE, але також і BAT-COM-EXE.

    Можливо існування та інших типів компаньйон-вірусів, що використовуютьінші оригінальні ідеї або особливості інших операційних систем.

    4.5 Файлові хробаки

    Файлові хробаки (worms) є, в деякому розумінні, різновидомкомпаньйон-вірусів, але при цьому жодним чином не пов'язують свою присутністьз яким-небудь виконуваним файлом. При розмноженні вони всього лише копіюютьсвій код в будь-які каталоги дисків в надії, що ці нові копії будутьколи-небудь запущені користувачем. Іноді ці віруси дають своїм копій
    «Спеціальні» імена, щоб підштовхнути користувача на запуск своєї копії --наприклад, INSTALL.EXE або WINSTART.BAT.

    Існують віруси-хробаки, які використовують досить незвичайні прийоми,наприклад, що записують свої копії в архіви (ARJ, ZIP та інші). До такихвірусів відносяться «ArjVirus» і «Winstart». Деякі віруси записуютькоманду запуску зараженого файлу в BAT-файли (наприклад, «Worm.Info »).

    4.6 Link-віруси

    Link-віруси, як і компаньйон-віруси не змінюють фізичного вмістуфайлів, однак при запуску зараженого файлу «змушують» ОС виконати свійкод. Цієї мети вони досягають модифікацією необхідних полів файловоїсистеми.

    На сьогоднішній день відомий єдиний тип Link-вірусів - вірусисімейства «Dir_II». При зараженні системи вони записують своє тіло востанній кластер логічного диска. При зараженні файлу вірусикоригують лише номер першого кластера файла, розташований ввідповідному секторі каталогу. Новий початковий кластер файлу будевказувати на кластер, що містить тіло вірусу. Таким чином, при зараженніфайлів їх довжини і вміст кластерів диска, що містять ці файли, незмінюється, а на всі заражені файли на одному логічному диску будедоводитися тільки одна копія вірусу.

    4.7 OBJ-, LIB-віруси та віруси у вихідних текстах

    Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихіднітексти програм, досить екзотичні і практично не поширені.
    Всього їх близько десятка. Віруси, що заражають OBJ-і LIB-файли, записують уних свій код у форматі об'єктного модуля або бібліотеки. Заражений файл,таким чином, не є виконуваним і нездатний на подальшепоширення вірусу в своєму поточному стані. Носієм «живого»вірусу стає COM-або EXE-файл, що отримується в процесі лінковкізараженого OBJ/LIB-файла з іншими об'єктними модулями і бібліотеками.
    Таким чином, вірус поширюється в два етапи: на першому заражаються
    OBJ/LIB-файли, на другому етапі (лінковка) виходить працездатний вірус.

    Резидентні віруси

    Під терміном "резидентність" (DOS'овскій термін TSR - Terminate and
    Stay Resident) розуміється спроможність вірусів залишати свої копії всистемної пам'яті, перехоплювати деякі події (наприклад, звернення дофайлів або дисків) і викликати при цьому процедури зараження виявленихоб'єктів (файлів і секторів). Таким чином, резидентні віруси активні нетільки в момент роботи інфікованої програми, але й після того, як програмазакінчила свою роботу. Резидентні копії таких вірусів залишаютьсяжиттєздатними аж до чергового перезавантаження, навіть якщо на дискузнищені всі заражені файли. Часто від таких вірусів неможливопозбутися відновленням усіх копій файлів з дистрибутивних дисків абоbackup-копій. Резидентна копія вірусу залишається активною і заражає зновустворювані файли. Те ж вірно і для завантажувальних вірусів - форматуваннядиска при наявності в пам'яті резидентного вірусу не завжди виліковує диск,оскільки багато резидентні віруси заражає диск повторно після того, яквін відформатований.
    Нерезидентні віруси, навпаки, активні досить нетривалий час --тільки в момент запуску інфікованої програми. Для свого поширеннявони шукають на диску незаражені файли і записуються в них. Після того, яккод вірусу передає керування програмі-носію, вплив вірусу на роботуопераційної системи зводиться до нуля аж до чергового запуску якоїсьабо зараженої програми.

    1 DOS-віруси

    DOS передбачає два легальних способи створення резидентних модулів:драйверами, згаданих в CONFIG.SYS, і за допомогою функції KEEP (INT 21h,
    AH = 31h або INT 27h). Багато файлові віруси для маскування свогорозповсюдження використовують інший спосіб - оброблення системних областей,керуючих розподілом пам'яті (MCB). Вони виділяють для себе вільнийділянку пам'яті (включаючи UMB), позначають його як зайнятий і переписують тудисвою копію.

    2 Завантажувальні віруси

    Переважна більшість резидентних завантажувальних вірусів для виділеннясистемної пам'яті для своєї резидентного копії використовує один і той жеприйом: вони зменшують обсяг DOS-пам'яті (слово за адресою 0040:0013) такопіюють свій код у "відрізаний" блок пам'яті. Обсяг DOS-пам'яті звичайнозменшується на одиницю (один кілобайт) у разі коротких завантажувальнихвірусів, код яких займає один сектор дискового простору (512байт). Друга половина кілобайт використовується такими вірусами як буферчитання/запису при зараженні дисків. Якщо ж розмір вірусу більше одногокілобайти або він використовує нестандартні методи зараження, що вимагаютьбільшого обсягу буфера читання/запису, обсяг пам'яті зменшується на кількакілобайт (серед відомих вірусів максимальне значення у вірусу
    RDA.Fighter - 30K).

    3 Windows-віруси

    Для того, щоб залишити виконуваний код у пам'яті Windows, існуєтри способи, причому всі три способи (за винятком Windows NT) вжезастосовувалися різними вірусами.

    Найпростіший спосіб - зареєструвати програму як одне здодатків, що працюють в даний момент. Для цього програма реєструєсвою задачу, вікно якої може бути прихованим, реєструє свій оброблювачсистемних подій і т.д. Другий спосіб - виділити блок системної пам'яті задопомоги DPMI-викликів і скопіювати в нього свій код (вірус h33r). Третійспосіб - залишитися резидентної як VxD-драйвер (Wnidows 3.xx і Windows95) абояк драйвер Windows NT.

    6. Стелс-віруси

    Стелс-віруси тими або іншими засобами приховують факт своєї присутностів системі. Відомі стелс-віруси всіх типів, за винятком Windows -вірусів - завантажувальні віруси, файлові DOS-віруси і навіть макро-віруси.
    Поява стелс-вірусів, що заражають файли Windows, є швидше за всесправою часу.

    6.1 Завантажувальні віруси

    Завантажувальні стелс-віруси, щоб приховати свого коду використовують дваосновні способи. Перший з них полягає в тому, що вірус перехоплюєкоманди читання зараженого сектора (INT 13h) і підставляє замість ньогонезаражений оригінал. Цей спосіб робить вірус невидимим для будь-якої DOS -програми, включаючи антивіруси, недієздатні "лікувати" оперативну пам'ятькомп'ютера. Можливий перехоплення команд читання секторів на рівні більшенизькому, ніж INT 13h.
    Другий спосіб спрямований проти антивірусів, що підтримують команди прямогочитання секторів через порти контролера диску. Такі віруси при запускубудь-якої програми (включаючи антивірус) відновлюють заражені сектора, апісля закінчення її роботи знову заражають диск. Оскільки для цього вірусудоводиться перехоплювати запуск і закінчення роботи програм, то він повиненперехоплювати також DOS-переривання INT 21h.
    З деякими застереженнями стелс-вірусами можна назвати віруси, які вносятьмінімальні зміни до заражаємо сектор (наприклад, при зараженні MBRправлять тільки активна адреса завантажувального сектора - зміни підлягаютьтільки 3 байти), або маскуються під код стандартного завантажувача.

    6.2 Файлові віруси

    Більшість файлових стелс-вірусів використовує ті ж прийоми, щонаведені вище: вони або перехоплюють DOS-виклики звернення до файлів (INT
    21h) або тимчасово лікують файл при його відкритті і заражають при закритті.
    Також як і для завантажувальних вірусів, існують файлові віруси,використовують для своїх стелс-перехоплення функцій переривань більш низькогорівня - виклики драйверів DOS, INT 25h і навіть INT 13h.

    Повноцінні файлові стелс-віруси, які використовують перший спосіб приховуваннясвого коду, в більшості своїй досить громіздкі, оскільки їмприходиться перехоплювати велика кількість DOS-функцій роботи з файлами:відкриття/закриття, читання/запис, пошук, запуск, перейменування і т.д.,причому необхідно підтримувати обидва варіанти деяких викликів (FCB/ASCII),а після появи Windows95/NT їм стало необхідно також оброблятитретій варіант - функції роботи з довгими іменами файлів.
    Деякі віруси використовують частину функцій повноцінного стелс-вірусу. Найчастішеза все вони перехоплюють функції DOS FindFirst і FindNext (INT 21h, AH = 11h,
    12h, 4Eh, 4Fh) і "зменшують" розмір заражених файлів. Такий віруснеможливо визначити по зміні розмірів файлів, якщо, звичайно, вінрезидентної знаходиться в пам'яті. Програми, які не використовують зазначеніфункції DOS (наприклад, "Нортоновських утиліти"), а безпосередньо використовуютьвміст секторів, що зберігають каталог, показують правильну довжинузаражених файлів.

    6.3 Макро-віруси

    Реалізація стелс-алгоритмів в макро-віруси є, напевно,найбільш простим завданням - досить усього лише заборонити виклик меню
    File/Templates або Tools/Macro. Досягається це або видаленням цих пунктівменю зі списку, або їх підміною на макроси FileTemplates і ToolsMacro.
    Частково стелс-вірусами можна назвати невелику групу макро-вірусів,які зберігають свій основний код не в самому макросі, а в інших областяхдокумента - в його змінних або в Auto-text.

    7. Полиморфик-віруси

    До поліморфік-вірусів відносяться ті з них, детектування якихнеможливо (або вкрай важко) здійснити за допомогою такзваних вірусних масок - ділянок постійного коду, специфічних дляконкретного вірусу. Досягається це двома основними способами - шифруваннямосновного коду вірусу з непостійним ключем і випадковим набором командрозшифровувача або зміною самого виконуваного коду вірусу. Існуютьтакож інші, досить екзотичні приклади поліморфізму - DOS-вірус
    "Bomber", наприклад, не зашифрований, однак послідовність команд,яка передає управління коду вірусу, є повністю поліморфної.

    Поліморфізм різного ступеня складності зустрічається у вірусах всіхтипів - від завантажувальних і файлових DOS-вірусів до Windows-вірусів і навітьмакро-вірусів.

    7.1 поліморфні розшифровувача

    Найпростішим прикладом частково поліморфного розшифровувача єнаступний набір команд, в результаті застосування якого жоден байт кодусамого вірусу і його розшифровувача не є постійним при зараженнірізних файлів:

    MOV reg_1, count; reg_1, reg_2, reg_3 вибираються з

    MOV reg_2, key;

    AX, BX, CX, DX, SI , DI, BP

    MOV reg_3, _offset; count, key, _offset також можуть змінюватися
    _LOOP: Xxx byte ptr [reg_3], reg_2; xor, add або sub

    DEC reg_1

    Jxx _loop; ja або jnc; далі йдуть зашифровані код і дані вірусу

    Більш складні поліморфік-віруси використовують значно складнішіалгоритми для генерації коду своїх розшифровувача: наведені вищеінструкції (або їх еквіваленти) переставляються місцями від зараження дозараження, розбавляються нічого не міняють командами типу NOP, STI, CLI,
    STC, CLC, DEC невикористовуваний регістр, XCHG невживані регістри і т.д.

    Повноцінні ж поліморфік-віруси використовують ще більш складніалгоритми, в результаті роботи яких у розшифровувача вірусу можутьзустрітися операції SUB, ADD, XOR, ROR, ROL і інші в довільномукількості й порядку. Завантаження і зміна ключів та інших параметрівшифровки проводиться також довільним набором операцій, в якому можутьзустрітися практично всі інструкції процесора Intel (ADD, SUB, TEST,
    XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP ...) з усіма можливимирежимами адресації.

    8. IRC-хробаки

    IRC (Internet Relay Chat) - це спеціальний протокол, розроблений длякомунікації користувачів Інтернет в реальному часі. Цей протоколнадаючи можливість Ітрернет-"розмови" за допомогою спеціальнорозробленого програмного забезпечення. Існує досить великакількість IRC-команд, за допомогою яких користувач може отриматиінформацію про інших користувачів і каналах, змінювати деякі установки
    IRC-клієнта та інше. Сущетсвует також можливість надсилати та отримуватифото - саме на цій можливості і базуються IRC-черв'яки.

    8.1 IRC-клієнти

    На комп'ютерах з MS Windows найпоширенішими клієнтами єmIRC і PIRCH. Це не дуже об'ємні, але досить складні програмніпродукти, які крім надання основних послуг IRC (підключення досерверів та каналів) мають ще й масу додаткових возможностей.К такимможливостям належать, наприклад, сценарії роботи (скрипти) і завданняавтоматичної реакції на різні події. Наприклад, при появі учас розмови певного слова IRC-клієнт передає повідомленнякористувачеві, що послав це слово. Також можливе відключення користувачавід каналу; посилка персональних повідомлень новим користувачам,підключаються до каналу, і багато іншого. У PIRCH-клієнта, наприклад,подій, на які пре?? угледівши реакція, більш 50.

    8.2 Скрипт-черв'яки

    Як виявилося, потужна і розгалужена система команд IRC-клієнтівдозволяє на основі їх скриптів створювати комп'ютерні віруси, що передаютьсвій код на комп'ютери користувачів мереж IRC, так звані "IRC-черв'яки".
    Перший інцидент з IRC-хробаком зафіксовано наприкінці 1997 року: користувачамиmIRC-клієнта був виявлений скрипт (файл SCRIPT.INI), переносила свій кодчерез канали IRC і заражає mIRC-клієнтів на комп'ютерах користувачів,підключаються до заражених каналах. Як виявилося, скрипт-черв'яки єдосить простими програмами, і через досить короткий час на основіперший mIRC-хробака були створені і "випущені" в мережі кілька десятківрізних скрипт-черв'яків.

    Принцип дії таких IRC-хробаків приблизно однаковий. За допомогою IRC -команд файл сценарію роботи (скрипт) або реакції на IRC-подіїавтоматично передається зараженого комп'ютера кожному зновуприєдналася до каналу користувачеві. Присланий файл-сценарій заміщаєстандартний і при наступному сеансі роботи вже знову заражений клієнт будерозсилати хробака.

    Черви при цьому використовують особливості конфігурації клієнта (всіх версійmIRC молодше 5.31 і всіх версій PIRCH до PIRCH98), завдяки якійприйняті файли всіх типів поміщаються в кореневий каталог клієнта. Цейкаталог також містить і основні скрипти клієнта, включаючи авто-файлиmIRC-скрипти SCRIPT.INI, MIRC.INI і PIRCH-скрипт EVENTS.INI. Дані скриптиавтоматично виконуються клієнтом при старті і надалі використовуютьсяяк основний сценарій його роботи.
    Деякі IRC-хробаки також містять троянський компонент: за заданимиключових словах роблять руйнівні дії на ураженихкомп'ютерах. Наприклад, хробак "pIRCH.Events" по певній команді стираєвсі файли на диску користувача.

    У скрипт-мовами клієнтів mIRC і PIRCH також існують оператори длязапуску звичайних команд операційної системи та виконуваних модулів
    (програм) DOS і Windows. Ця можливість IRC-скриптів послужила основоюдля появи скрипт-хробаків нового покоління, які окрім скриптівзаражали комп'ютери користувачів EXE-віруси, встановлювали "троянськихконей ", і т.п.

    3 mIRC.Acoragil і mIRC.Simpsalapim

    Перші відомі mIRC-черв'яки. Виявлено наприкінці листопада - початку грудня
    1997. Назви отримали по кодовою словами, які використовуються хробаками:якщо в тексті, переданому в канал яким-небудь користувачем присутнярядок "Acoragil", то всі користувачі, заражені хробаком "mIRC.Acoragil"автоматично відключаються від каналу. Те ж саме відбувається з хробаком
    "mIRC.Simpsalapim" - він аналогічно реагує на рядок "Simpsalapim".
    При розмноженні черв'яки командами mIRC пересилають свій код у файлі SCRIPT.INIкожному новому користувачеві, що підключається до каналу.
    Містять троянську частину. "mIRC.Simpsalapim" містить код захоплення каналу
    IRC: якщо mIRC власника каналу заражений, то по вводу кодового слова
    "ananas", зловмисник перехоплює управління каналом.
    "mIRC.Acoragil" з кодовою словами пересилає системні файли DOC, Windowsабо UNIX. Деякі кодові слова обрані таким чином, що не залучив

         
     
         
    Реферат Банк
     
    Рефераты
     
    Бесплатные рефераты
     

     

     

     

     

     

     

     
     
     
      Все права защищены. Reff.net.ua - українські реферати ! DMCA.com Protection Status