Студентам > Курсовые > Классификация компьютерных вирусов
Классификация компьютерных вирусовСтраница: 2/4
В случае дискеты или компакт-диска управление
получает boot-сектор, который анализирует таблицу параметров диска (BPB - BIOS
Parameter Block) высчитывает адреса системных файлов операционной системы,
считывает их в память и запускает на выполнение.
При заражении дисков загрузочные вирусы
«подставляют» свой код вместо какой-либо программы, получающей управление при
загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных
выше способах: вирус "заставляет" систему при ее перезапуске считать
в память и отдать управление не оригинальному коду загрузчика, а коду вируса.
Заражение дискет производится единственным
известным способом — вирус записывает свой код вместо оригинального кода
boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус
записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного
диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk
Partition Table, расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве
случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор
диска (например, в первый свободный). Если длина вируса больше длины сектора,
то в заражаемый сектор помещается первая часть вируса, остальные части
размещаются в других секторах (например, в первых свободных).
Существует несколько вариантов размещения на
диске первоначального загрузочного сектора и продолжения вируса: в сектора
свободных кластеров логического диска, в неиспользуемые или редко используемые
системные сектора, в сектора, расположенные за пределами диска.
Если продолжение вируса размещается в
секторах, которые принадлежат свободным кластерам диска (при поиске этих
секторов вирусу приходится анализировать таблицу размещения файлов - FAT), то,
как правило, вирус помечает в FAT эти кластеры как сбойные (так называемые
псевдосбойные кластеры). Этот способ используется вирусами «Brain», «Ping-Pong»
и некоторыми другими.
В вирусах семейства «Stoned» задействован
другой метод. Эти вирусы размещают первоначальный загрузочный сектор в
неиспользуемом или редко используемом секторе — в одном из секторов винчестера
(если такие есть), расположенных между MBR и первым boot-сектором, а на дискете
такой сектор выбирается из последних секторов корневого каталога.
Конечно, существуют и другие методы
размещения вируса на диске, например, вирусы семейства «Azusa» содержат в своем
теле стандартный загрузчик MBR и при заражении записываются поверх
оригинального MBR без его сохранения.
Пользователям новых операционных систем
(Novell, Win95, OS/2) загрузочные вирусы также могут доставить неприятности.
Несмотря на то, что перечисленные выше системы работают с дисками напрямую
(минуя вызовы BIOS), что блокирует вирус и делает невозможным дальнейшее его
распространение, код вируса все-таки, хоть и очень редко, получает управление
при перезагрузке системы. Поэтому вирус «March6», например, может годами «жить»
в MBR сервера и никак не влиять при этом на его (сервера) работу и
производительность. Однако при случайной перезагрузке 6-го марта этот вирус
полностью уничтожит все данные на диске.
3. Макро-вирусы
Макро-вирусы (macro
viruses) являются программами на языках (макро-языках), встроенных в некоторые
системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для
своего размножения такие вирусы используют возможности макро-языков и при их
помощи переносят себя из одного зараженного файла (документа или таблицы) в
другие. Наибольшее распространение получили макро-вирусы для Microsoft Word,
Excel и Office97. Существуют также макро-вирусы, заражающие документы Ami Pro и
базы данных Microsoft Access.
Для существования вирусов в конкретной системе
(редакторе) необходимо наличие встроенного в систему макро-языка с
возможностями:
1. привязки программы на макро-языке к конкретному файлу;
2. копирования макро-программ из одного файла в другой;
3. возможность получения управления макро-программой без
вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют редакторы Microsoft Word,
Office97 и AmiPro, а также электронная таблица Excel и база данных Microsoft
Access. Эти системы содержат в себе макро-языки: Word - Word Basic,
Excel, Office97 (включая Word97, Excel97 и Access) - Visual Basic for
Applications.
На сегодняшний день
известны четыре системы, для которых существуют вирусы — Microsoft Word, Excel,
Office97 и AmiPro. В этих системах вирусы получают управление при открытии или
закрытии зараженного файла, перехватывают стандартные файловые функции и затем
заражают файлы, к которым каким-либо образом идет обращение. По аналогии с
MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они
активны не только в момент открытия/закрытия файла, но до тех пор, пока активен
сам редактор.
4. Файловые вирусы
К данной группе относятся вирусы,
которые при своем размножении тем или иным способом используют файловую систему
какой-либо (или каких-либо) ОС.
Внедрение файлового вируса
возможно практически во все исполняемые файлы всех популярных ОС. На
сегодняшний день известны вирусы, поражающие все типы выполняемых объектов
стандартной DOS: командные файлы (BAT), загружаемые драйверы (SYS, в том числе
специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM).
Существуют вирусы, поражающие
исполняемые файлы других операционных систем - Windows 3.x, Windows95/NT, OS/2,
Macintosh, UNIX, включая VxD-драйвера Windows 3.x и Windows95.
Существуют вирусы, заражающие
файлы, которые содержат исходные тексты программ, библиотечные или объектные
модули. Возможна запись вируса и в файлы данных, но это случается либо в
результате ошибки вируса, либо при проявлении его агрессивных свойств.
Макро-вирусы также записывают свой код в файлы данных - документы или
электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в
отдельную группу.
По способу заражения файлов
вирусы делятся на «overwriting», паразитические («parasitic»), компаньон-вирусы
(«companion»), «link»-вирусы, вирусы-черви и вирусы, заражающие объектные
модули (OBJ), библиотеки компиляторов (LIB) и исходные тексты программ.
4.1Overwriting
Данный метод заражения является
наиболее простым: вирус записывает свой код вместо кода заражаемого файла,
уничтожая его содержимое. Естественно, что при этом файл перестает работать и
не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как
операционная система и приложения довольно быстро перестают работать.
4.2 Parasitic
К паразитическим относятся все
файловые вирусы, которые при распространении своих копий обязательно изменяют
содержимое файлов, оставляя сими файлы при этом полностью или частично
работоспособными. Основными типами таких вирусов являются вирусы,
записывающиеся в начало файлов («prepending»), в конец файлов («appending») и в
середину файлов («inserting»). В свою очередь, внедрение вирусов в середину
файлов происходит различными методами - путем переноса части файла в его конец
или копирования своего кода в заведомо неиспользуемые данные файла
(«cavity»-вирусы).
4.3 Вирусы без точки входа
Отдельно следует отметить
довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы -
Entry Point Obscuring viruses). К ним относятся вирусы, не записывающие команд
передачи управления в заголовок COM-файлов (JMP) и не изменяющие адрес точки
старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой
код в какое-либо место в середину файла и получают управление не
непосредственно при запуске зараженного файла, а при вызове процедуры,
содержащей код передачи управления на тело вируса. Причем выполняться эта
процедура может крайне редко (например, при выводе сообщения о какой-либо
специфической ошибке).
В результате вирус может долгие годы
«спать» внутри файла и выскочить на свободу только при некоторых ограниченных
условиях.
4.4 Компаньон – вирусы
К категории «компаньон» относятся
вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в
том, что для заражаемого файла создается файл-двойник, причем при запуске
зараженного файла управление получает именно этот двойник, т.е. вирус.
Наиболее распространены
компаньон-вирусы, использующие особенность DOS первым выполнять .COM-файл, если
в одном каталоге присутствуют два файла с одним и тем же именем, но различными
расшинениями имени - .COM и .EXE. Такие вирусы создают для EXE-файлов
файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для
файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак
не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит
COM-файл, т.е. вирус, который затем запустит и EXE-файл. Некоторые вирусы
используют не только вариант COM-EXE, но также и BAT-COM-EXE.
Возможно существование и других
типов компаньон-вирусов, использующих иные оригинальные идеи или особенности
других операционных систем.
4.5 Файловые черви
Файловые черви (worms) являются,
в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим
образом не связывают свое присутствие с каким-либо выполняемым файлом. При
размножении они всего лишь копируют свой код в какие-либо каталоги дисков в
надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда
эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть
пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.
Существуют вирусы-черви,
использующие довольно необычные приемы, например, записывающие свои копии в
архивы (ARJ, ZIP и прочие). К таким вирусам относятся «ArjVirus» и «Winstart».
Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы
(например, «Worm.Info»).
4.6 Link-вирусы
Link-вирусы, как и
компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске
зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают
модификацией необходимых полей файловой системы.
На сегодняшний день известен
единственный тип Link-вирусов - вирусы семейства «Dir_II». При заражении
системы они записывают свое тело в последний кластер логического диска. При
заражении файла вирусы корректируют лишь номер первого кластера файла,
расположенный в соответствующем секторе каталога. Новый начальный кластер файла
будет указывать на кластер, содержащий тело вируса. Таким образом, при
заражении файлов их длины и содержимое кластеров диска, содержащих эти файлы,
не изменяется, а на все зараженные файлы на одном логическом диске будет
приходиться только одна копия вируса.
4.7 OBJ-, LIB-вирусы и вирусы в исходных текстах
Вирусы, заражающие библиотеки
компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны
и практически не распространены. Всего их около десятка. Вирусы, заражающие
OBJ- и LIB-файлы, записывают в них свой код в формате объектного модуля или
библиотеки. Зараженный файл, таким образом, не является выполняемым и
неспособен на дальнейшее распространение вируса в своем текущем состоянии.
Носителем же «живого» вируса становится COM- или EXE-файл, получаемый в
процессе линковки зараженного OBJ/LIB-файла с другими объектными модулями и
библиотеками. Таким образом, вирус распространяется в два этапа: на первом
заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный
вирус.
5. Резидентные вирусы
Под термином
"резидентность" (DOS'овский термин TSR - Terminate and Stay Resident)
понимается способность вирусов оставлять свои копии в системной памяти,
перехватывать некоторые события (например, обращения к файлам или дискам) и
вызывать при этом процедуры заражения обнаруженных объектов (файлов и
секторов). Таким образом, резидентные вирусы активны не только в момент работы
зараженной программы, но и после того, как программа закончила свою работу.
Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной
перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от
таких вирусов невозможно избавиться восстановлением всех копий файлов с
дистрибутивных дисков или backup-копий. Резидентная копия вируса остается
активной и заражает вновь создаваемые файлы. То же верно и для загрузочных
вирусов — форматирование диска при наличии в памяти резидентного вируса не
всегда вылечивает диск, поскольку многие резидентные вирусы заражает диск
повторно после того, как он отформатирован.
Нерезидентные вирусы, напротив,
активны довольно непродолжительное время — только в момент запуска зараженной
программы. Для своего распространения они ищут на диске незараженные файлы и
записываются в них. После того, как код вируса передает управление программе-носителю,
влияние вируса на работу операционной системы сводится к нулю вплоть до
очередного запуска какой-либо зараженной программы.
5.1 DOS-вирусы
DOS предусматривает два легальных
способа создания резидентных модулей: драйверами, указываемыми в CONFIG.SYS, и
при помощи функции KEEP (INT 21h, AH=31h или INT 27h). Многие файловые вирусы
для маскировки своего распространения используют другой способ - обработку
системных областей, управляющих распределением памяти (MCB). Они выделяют для
себя свободный участок памяти (включая UMB), помечают его как занятый и
переписывают туда свою копию.
5.2 Загрузочные
вирусы
Подавляющее большинство
резидентных загрузочных вирусов для выделения системной памяти для своей
резидентной копии использует один и тот же прием: они уменьшают объем
DOS-памяти (слово по адресу 0040:0013) и копируют свой код в
"отрезанный" блок памяти. Объем DOS-памяти обычно уменьшается на
единицу (один килобайт) в случае коротких загрузочных вирусов, код которых
занимает один сектор дискового пространства (512 байт). Вторая половина
килобайта используется такими вирусами как буфер чтения/записи при заражении
дисков. Если же размер вируса больше одного килобайта или он использует
нестандартные методы заражения, требующие большего объема буфера чтения/записи,
объем памяти уменьшается на несколько килобайт (среди известных вирусов
максимальное значение у вируса RDA.Fighter - 30K).
5.3 Windows-вирусы
Для того, чтобы оставить
выполняемый код в памяти Windows, существует три способа, причем все три
способа (за исключением Windows NT) уже применялись различными вирусами.
Самый простой способ -
зарегистрировать программу как одно из приложений, работающих в данный момент.
Для этого программа регистрирует свою задачу, окно которой может быть скрытым,
регистрирует свой обработчик системных событий и т.д. Второй способ - выделить
блок системной памяти при помощи DPMI-вызовов и скопировать в него свой код
(вирус h33r). Третий способ — остаться резидентно как VxD-драйвер (Wnidows 3.xx
и Windows95) или как драйвер Windows NT.
6. Стелс-вирусы
Стелс-вирусы теми или иными
способами скрывают факт своего присутствия в системе. Известные стелс-вирусы
всех типов, за исключением Windows-вирусов — загрузочные вирусы, файловые
DOS-вирусы и даже макро-вирусы. Появление стелс-вирусов, заражающих файлы
Windows, является скорее всего делом времени.
6.1 Загрузочные вирусы
Загрузочные стелс-вирусы для
скрытия своего кода используют два основных способа. Первый из них заключается
в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и
подставляет вместо него незараженный оригинал. Этот способ делает вирус
невидимым для любой DOS-программы, включая антивирусы, неспособные
"лечить" оперативную память компьютера. Возможен перехват команд чтения
секторов на уровне более низком, чем INT 13h.
Второй способ направлен против
антивирусов, поддерживающих команды прямого чтения секторов через порты
контроллера диска. Такие вирусы при запуске любой программы (включая антивирус)
восстанавливают зараженные сектора, а после окончания ее работы снова заражают
диск. Поскольку для этого вирусу приходится перехватывать запуск и окончание
работы программ, то он должен перехватывать также DOS-прерывание INT 21h.
С некоторыми оговорками
стелс-вирусами можно назвать вирусы, которые вносят минимальные изменения в
заражаемый сектор (например, при заражении MBR правят только активный адрес
загрузочного сектора - изменению подлежат только 3 байта), либо маскируются под
код стандартного загрузчика.
| 
Главная
Документация
Файлы
Информация
