1.1. Основы функций вирусных программ

    Нужно знать, что вирус представляет собой обычную программу, и не может совершать никаких сверхъестественных действий.
    В общем случае, компьютерный вирус - это программа, которая приписывает себя в разные места файлов или «поселяющаяся» в загрузочных секторах дисков.

    При активации зараженных программ (к которым уже успел приписаться вирус) вначале происходит выполнение самого вируса, а потом управление передается программе.
    Если же вирус «поселился» в загрузочном секторе, то он стартует в момент загрузки ОС с такого диска.

    Как только вирус стартует, начинают выполняться процедуры необходимые для его «жизни и работы», которые в нем запрограммировал «специалист».
    После своей «работы» вирус передает управление самой зараженной программе, которая, как правило, выполняется «как ни в чем не бывало», скрывая, тем самым, наличие в ней вируса.
[К началу страницы][ Оглавление]

    Часто именно по этой причине в большинстве случаев вирус обнаруживается слишком поздно, когда многие файлы уже заражены.

    Первичное заражение компьютера происходит в следующих случаях:

• выполнена зараженная программа стандартного типа;
• выполнена начальная загрузка с временного (съемного) диска, содержащего зараженный сектор;
• на компьютер установлена зараженная операционная система или зараженный драйвер резидентного запуска;
• открыт зараженный документ в приложении Windows.
  [К началу страницы][ Оглавление]

  ---

1.2. Кто пишет вирусы? Симптомы заражения

    Одной из первопричин появления проблемы, связанной с существованием вирусов, чаще всего называют отсутствие эффективных нормативных актов по защите информации на магнитных носителях и технологических процессов в использовании компьютеров и сетей как отдельными пользователями, организациями так и странами всего мира в целом.

    «Специалисты» в области создания вирусов всячески стремятся, чтобы их «детище» не только было создано, но «жило и действовало», как можно дольше и в большем количестве компьютеров и сетей.
    Поэтому придумано великое множество алгоритмов самостоятельной их транспортировки, маскировки, заражения самых различных объектов компьютеров и сетей.
[К началу страницы][ Оглавление]

    К побудительным мотивам у таких «специалистов» относят следующее:

• озорство и одновременно недопонимание всех последствий распространения вирусов;
• стремление «насолить» кому-либо;
• неестественная потребность в совершении преступлений;
• желание самоутвердиться;
• невозможность использовать свои знания в конструктивном русле;
• попытка защитить собственные программные изделия;
• провоцирование, исходящее от общественных или политических объединений, на совершение «наказания противника»;
• уверенность в безнаказанности.

    Различные вирусы ведут себя по-разному. Некоторые только размножаются, не выполняя ни каких вредных процедур, другие же сразу после заражения совершают множество неприятных действий.
    Есть вирусы, которые ведут себя абсолютно незаметно, но в определенный момент, когда совпадают какие-то события, стартуют и разрушают данные.
    Действие вируса может быть обнаружено пользователем по самым разным признакам, которые называют симптомами.
[К началу страницы][ Оглавление]

    К симптомам вирусного заражения можно отнести следующее:

• сильное замедление работы некоторых программ;
• появление не существовавших ранее «странных» файлов;
• уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы);
• на одном из дисков рушится файловая система; неожиданно файловая система перестает видеть винчестер;
• вывод на экран различных фраз и т.п.;
• произвольно изменяется длина отдельных файлов;
• форматируется диск без команды пользователя;
• зависает операционная система по непонятным причинам;
• необычно функционирует клавиатура;
• неожиданно возникают разночтения в данных, подготовленных в нескольких копиях на магнитных носителях;
• зажигается лампочка съемного дисковода в то время, когда к нему нет запланированного обращения;
• внезапно возникающие разнообразные видео и звуковые эффекты.

    При всех перечисленных выше ситуациях, а также при других «странных» проявлениях в работе системы (неустойчивая работа, частые «самостоятельные» перезагрузки и прочее) необходимо провести немедленно проверку системы на наличие вирусов с помощью АВП.
[К началу страницы][ Оглавление]

1.3. Классификация вирусов

1.3.1. Типы вирусов и их деструктивные возможности

    В разные периоды развития вычислительной техники и уровня знаний о вирусах существовало большое число различных классификаций.
    Вирусы в основном отличаются по способу распространения, заражения и своей маскировке.

    Обычно вирусы делят в настоящее время по следующим признакам:

• по деструктивным возможностям;
• по среде обитания вируса;
• по способу заражения среды обитания;
• по особенностям алгоритма вируса;
• по способу маскировки.
  [К началу страницы][ Оглавление]

    По деструктивным возможностям вирусы могут быть:

• мало опасные вирусы, влияние которых ограничивается уменьшением свободной памяти, графическими, звуковыми и прочими эффектами;
• опасные вирусы, которые приводят к серьезным сбоям в работе;
• очень опасные вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
  [К началу страницы][ Оглавление]

  ---

1.3.2. Среда обитания и способы заражения

    По среде обитания вирусы делят на сетевые, файловые и загрузочные.
    Сетевые вирусы распространяются по компьютерной сети, файловые - внедряются в файлы, загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик диска.
    Существуют сочетания - например, файлово - загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему.
[К началу страницы][ Оглавление]

    Компьютерные вирусы для своего размножения и нанесения вреда обычно внедряются в полезные программные файлы.
    Тело файлового вируса, в основном, может размещаться: в конце файлов; в начале файлов; в середине файлов; в таблице файлов; в свободном конце части кластера, занимаемого файлом.

    Способы заражения делят на резидентный и нерезидентный. Когда компьютер заражен, резидентный вирус оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к инфицированным объектам и внедряется в них.

    Резидентные вирусы находятся в памяти и являются активными всегда до выключения или перезагрузки компьютера.
    Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
    Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
[К началу страницы][ Оглавление]

1.3.3. Особенности алгоритмов

    По особенностям алгоритма выделяют следующие группы вирусов:

1. «Компаньоны - спутники» - вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE файлов файлы спутники, имеющие то же самое имя, но с расширением .Com или Bat. Вирус записывается в Com или Bat-файл и никак не изменяет EXE-файл. При активации такого файла операционная система первым обнаружит и выполнит Bat-файл или COM-файл, т.е. вирус, который затем уже запустит и EXE-файл.
2. «Черви - репликаторы» - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают файлы, но могут вообще не обращаться к ресурсам компьютеров (кроме оперативной памяти).
3. «Паразитические» - все вирусы, которые при распространении своих копий изменяют содержимое дисковых секторов или файлов. В эту группу относятся вирусы, которые не являются «червями» и «спутниками».
4. «Студенческие» - крайне примитивные вирусы, часто нерезидентные и содержащие большое число ошибок, именно по этой причине они могут быть любой степени опасности, если их быстро не удалить из компьютера.
   [К началу страницы][ Оглавление]
5. «Стелс невидимки» вирусы, представляющие собой совершенные программы, которые перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Такие вирусы используют оригинальные алгоритмы, позволяющие «обманывать» резидентные АВП.
6. «Полиморфик - призраки -  мутанты» вирусы (само шифрующиеся) достаточно трудно обнаруживаемые вирусы, не имеющие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик вируса не имеют ни одного совпадения.
7. «Троянские кони» -  вирусы, которые могут маскироваться под полезную программу и выполнять разрушительные действия при каждой активации. Они могут размножаться без внедрения в другие файлы, а более совершенные из них, активируются при определенных ситуациях или событиях в ЭВМ или сети.
8. «Макро» вирусы этого семейства используют возможности макроязыков в системах обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро вирусы заражающие документы редакторов Microsoft Word, Excel, Access.
   [К началу страницы][ Оглавление]

   ---

ДВГУПС  Кучма В.Н.