Реферат: Компьюторныые вирусы
сы, заражающие исполнимые файлы. Некоторые вирусы заражают
только EXE файлы, некоторые - только COM , а большинство - и те и
другие. На втором месте по распространенности загрузочные вирусы.
Некоторые вирусы заражают и файлы, и загрузочные области дисков.
Вирусы, заражающие драйверы устройств, встречаются крайне редко;
обычно такие вирусы умеют заражать и исполнимые файлы.
Вирусы, меняющие файловую систему.
В последнее время получили распространение вирусы нового типа -
вирусы, меняющие файловую систему на диске. Эти вирусы обычно на-
зываются DIR. Такие вирусы прячут свое тело в некоторый участок
диска ( обычно - в последний кластер диска ) и помечают его в таб-
лице размещения файлов (FAT) как конец файла. Для всех COM- и
EXE-файлов содержащиеся в соответствующих элементах каталога ука-
затели на первый участок файла заменяются ссылкой на участок дис-
ка, содержащий вирус, а правильный указатель в закодированном ви-
де прячется в неиспользуемой части элемента каталога. Поэтому при
запуске любой программы в память загружается вирус, после чего он
остается в памяти резидентно, подключается к программам DOS для
обработки файлов на диске и при всех обращениях к элементам ката-
лога выдает правильные ссылки.
Таким образом, при работающем вирусе файловая система на диске
кажется совершенно нормальной. При поверхностном просмотре зара-
женного диска на "чистом" компьютере также ничего странного не
наблюдается. Разве лишь при попытке прочесть или скопировать с за-
раженной дискеты программные файлы из них будут прочтены или ско-
пированы только 512 или 1024 байта, даже если файл гораздо длин-
нее. А при запуске любой исполнимой программы с зараженного таким
вирусом диска этот диск, как по волшебству, начинает казаться ис-
правным (неудивительно, ведь компьютер при этом становится зара-
женным).
При анализе на "чистом" компьютере с помощью программ ChkDsk или
NDD файловая система зараженного DIR-вирусом диска кажется совер-
шенно испорченной. Так, программа ChkDsk выдает кучу сообщений о
пересечениях файлов ( "... cross linked on cluster..." ) и о це-
почках потерянных кластеров ("... lost clusters found in...
chains"). Не следует исправлять эти ошибки программами ChkDsk или
NDD - при этом диск окажется совершенно испорченным. Для исправле-
ния зараженных этими вирусами дисков надо использовать только спе-
циальные антивирусные программы ( например, последние версии
Aidstest).
"Невидимые" и самомодифицирующиеся вирусы.
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют
довольно хитрые приемы маскировки. Я расскажу о двух из них: "не-
видимых" (Stealth) и самомодифицирующихся вирусах:
"Невидимые" вирусы.
Многие резидентные вирусы (и файловые, и загрузочные) предотвра-
щают свое обнаружение тем, что перехватывают обращения DOS (и тем
самым прикладных программ) к зараженным файлам и областям диска и
выдают их в исходном виде. Разумеется, этот эффект наблюдается
только на зараженном компьютере - на "чистом" компьютере измене-
ния в загрузочных областях диска можно легко обнаружить.
Замечу, что некоторые антивирусные программы могут все же обнару-
живать "невидимые" вирусы даже на зараженном компьютере. Такие
программы для этого выполняют чтение диска, не пользуясь услугами
DOS (например, ADinf ).
Некоторые антивирусные программы (например, AVSP) используют для
борьбы с вирусами свойство "невидимых" файловых вирусов "вылечи-
вать" зараженные файлы. Они считывают (при работающем вирусе) ин-
формацию из зараженных файлов и записывают их на диск в файл или
файлы, где эта информация хранится в неискаженном виде. Затем, уже
после загрузки с "чистой" дискеты, исполнимые файлы восстанавли-
ваются в исходном виде.
Самомодифицирующиеся вирусы.
Другой способ, применяемый вирусами для того, чтобы укрыться от
обнаружения, - модификация своего тела. Многие вирусы хранят
большую часть своего тела в закодированном виде, чтобы с помощью
дизассемблеров нельзя было разобраться в механизме их работы. Са-
момодифицирующиеся вирусы используют этот прием и часто меняют па-
раметры этой кодировки, а кроме того, изменяют и свою стартовую
часть, которая служит для раскодировки остальных команд вируса.
Таким образом, в теле подобного вируса не имеется ни одной пос-
тоянной цепочки байтов, по которой можно было бы идентифицировать
вирус. Это, естественно, затрудняет нахождение таких вирусов прог-
раммами-детекторами.
Однако программы-детекторы все же научились ловить "простые" са-
момодифицирующиеся вирусы. В этих вирусах вариации механизма рас-
шифровки закодированной части вируса касаются только использова-
ния тех или иных регистров компьютера, констант шифрования, добав-
ления "незначащих" команд и т.д. И программы-детекторы приспособи-
лись обнаруживать команды в стартовой части вируса, несмотря на
маскирующие изменения в них. Но в последнее время появились виру-
сы с чрезвычайно сложными механизмами самомодификации. В них стар-
товая часть вируса генерируется автоматически по весьма сложным
алгоритмам: каждая значащая инструкция расшифровщика передается
одним из сотен тысяч возможных вариантов, при этом используется
более половины всех команд Intel-8088. Проблема распознования та-
ких вирусов надежного решения пока не получила.
Что могут и чего не могут компьютерные вирусы.
У многих пользователей ЭВМ из-за незнания механизма работы ком-
пьютерных вирусов, а также под влиянием различных слухов и неком-
петентных публикаций в печати создается своеобразный комплекс
боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления:
1. Склонность приписывать любое повреждение данных или необычное
явление действию вирусов. Например, если у "вирусофоба" не форма-
тируется дискета, то он объясняет это не дефектами дискеты или
дисковода, а действием вирусов. Если на жестком диске появляется
сбойный блок, то в этом тоже, разумеется, виноваты вирусы. На са-
мом деле необычные явления на компьютере чаще вызваны ошибками
пользователя, программ или дефектами оборудования, чем действием
вирусов.
2. Преувеличенные представления о возможностях вирусов. Некото-
рые пользователи думают, например, что достаточно вставить в дис-
ковод зараженную дискету, чтобы компьютер заразился вирусом. Рас-
пространено также мнение, что для компьютеров просто стоящих в од-
ной комнате, заражение одного компьютера обязательно тут же приво-
дит к заражению остальных.
Лучшим "лекарством" от вирусофобии является знание того, как ра-
ботают вирусы, что они могут и чего не могут. Вирусы являются
обычными программами, и они не могут совершать никаких сверхъес-
тественных действий.
Для того чтобы компьютер заразился вирусом, необходимо, чтобы на
нем хотя бы один раз была выполнена программа, содержащая вирус.
Поэтому первичное заражение компьютера вирусом может произойти в
одном из следующих случаев:
_ на компьютере была выполнена зараженная программа типа COM или
EXE или зараженный модуль оверлейной программы (типа OVR или OVL);
_ компьютер загружался с дискеты, содержащей зараженный загрузоч-
ный сектор;
_ на компьютере была установлена зараженная операционная система
или зараженный драйвер устройства.
Отсюда следует, что нет никаких оснований бояться заражения ком-
пьютера вирусом, если:
_ на незараженном компьютере производится копирование файлов с
одной дискеты на другую. Если компьютер "здоров", то ни он сам, ни
копируемые дискеты не будут заражены вирусом. Единственный ва-
риант передачи вируса в этой ситуации - это копирование зараженно-
го файла: при этом его копия, разумеется, тоже будет "заражена",
но ни компьютер, ни какие-то другие файлы заражены не будут;
Основные методы защиты от компьютерных вирусов.
Для защиты от вирусов можно использовать:
_ общие средства защиты информации, которые полезны также и как
страховка от физической порчи дисков, неправильно работающих прог-
рамм или ошибочных действий пользователей; профилактические меры,
позволяющие уменьшить вероятность заражения вирусом;
_ специализированные программы для защиты от вирусов.
Общие средства защиты информации полезны не только для защиты от