А.И. Куприянов - Основы защиты информации (1022813), страница 47
Текст из файла (страница 47)
1994 г. отмечен появлением первого вируса, заражающего объек':: тные модули. В августе 1995 г. появляется первый вирус, заражающий доку:: менты МБ%огс1 (макровирус Сопсер1). Эта вредоносная програм;: ма положила начало целой серии макровирусов, поражающих ;; файлы документов (не только текстового редактора Жогс1), име- ющие в своем составе макрорасширения на языке высокого уровня :: (У1зиа1 Ваяс, %оп1 Ваяс). Этот факт опроверг бытующее мнение, - будто заражение вирусом невозможно при открытии файла. В этом же году очень широкое распространение по всему миру получил , полиморфный шифрованный вирус ИеНап12 (БЖ4000).
В январе 1996 г, появился первый вирус для 'Ж1пдоча 95 (Ж1п95.Воуа). В июне того же года выходит в свет первый полно:; ценный вирус (ОБ2АЕР) для ОБ/2, поражающий ехе модули. В 1997 г. вирусы заняли еще одну нишу: был обнаружен вирус для 1лшх (Ь1пцх. В11зз). В июне этого же года отмечается появление -: первого самошифрующегося вируса для %1пс1оъ з 95 российского " происхождения. В октябре 1998 г.
отмечается появление первого вируса, заража' ющего файлы НТМ1 . В марте 1999 г. компьютерный мир потрясла настоящая эпиде: мия вируса Ме1Ьза, который распространялся гораздо быстрее и ;: шире, чем любой другой из появившихся когда-либо ранее. С помо", щью почтовой программы МБ Оц11ооЕ Ехргезз, из адресной кни: ги которого вирус получал адреса электронной почты коррес' пондентов, Ме11зза рассылал свои копии по сети.
Скорость рас: пространения вируса была действительно впечатляющей: одна ': из американских организаций сообщила, что вирус сгенериро' вал около полумиллиона сообщений электронной почты в тече: ние всего трех часов. Относясь к категории сетевых червей, МеИзза :; действительно может рассматриваться как опасность принципи:; ально нового типа. 4 мая 2000 г. началась новая эпидемия, вызванная сетевым ' червем «1 ЬОУЕ УО13/Ьоче1ецег/1 очеВЦ8».
Этот вирус, в отличие 219 от своего предшественника Ме1юа, рассылающего копии первым 50 абонентам из адресной книги МБ Ош1оо1с Ехргезз, не щадил никого, одинаково уничтожая файлы с расширениями: лЬз, .чЬе, 3а,,1зе, .саа, лзЬ, .зе1, .Ыа, 1ря, ~рек. Сообщалось, что в одной из компаний вирусом было уничтожено более 60 Гбайт графики в формате 1реа. Дополнительно червь пытался скачать из 1п1егпе1 троянского коня, похищающего все пароли %ин1оюз. Согласно данным исследовательской фирмы Сотри1ег Есопоппсз, через день после начала распространения этим вирусом было поражено 45 млн компьютеров.
Ущерб, причиненный им, оценивается в несколько миллиардов долларов. Таким образом, в настоящее время не существует ни одного программного компонента информационных систем, который не был бы подвержен опасности вредоносного воздействия вирусов.
Эксперты считают, что сегодня число существующих вирусов превышает 40 тыс., причем ежедневно появляется, по разным оценкам, от 6 до 15 новых. Однако положение вовсе не так трагично, как может показаться. Дело в том, что старые вирусы выходят из обращения. Кроме того, большинство вирусов никогда не покидают резерваций — тщательно охраняемых коллекций в исследовательских лабораториях, а многие настолько плохо сработаны, что просто не могут распространяться дальше машины своего создателя, да еще подпольных %еЬ-страниц и ВВБ, посвященных проблемам разработки вирусов.
Поэтому «диких» (реально циркулирующих) вирусов в настоящее время насчитывается около 400, что, впрочем, тоже немало. Традиционно вирусные программы подразделяют на семь видов 1281: 1. Программы-вандалы, которые маскируются (по имени) под видом широко используемых программ и выполняют несанкционированные действия (например, стирание информации с диска) при запуске. Способностью к самостоятельному размножению они не обладают. Распространяются при копировании программ пользователями, наиболее часто при этом рассылаются по ВВБ станциям и электронным конференциям.
По сравнению с иными вирусами вандалы не получили широкого распространения по достаточно простым причинам: они либо уничтожают себя вместе с остальными данными на диске, либо демаскируют свое присутствие и уничтожаются пострадавшим пользователем. 2. Бутовые (загрузочные) вирусы. Заражают диски (дискеты, логические диски, жесткие диски).
3. Файловые вирусы. Они заражают выполняемые модули с расширениями .ехе, .сом .Ь1п, .оч1, .сП1. 4. Файлово-бутовые. Редкая разновидность вирусов, заражающая как диски, так и файлы. 220 5. Макровирусы (макрокомандные вирусы). Заражают файлы до':," кументов, содержащие в своем составе программный код макро- ':расширений (документы М1сгоаой Жогж, Ехе1). 7. Сетевые вирусы (сетевые черви). Редкие и очень сложные по :: структуре и принципам работы программы, использующие для :;;:: своего распространения по сети ЭВМ ошибки (дыры) в коде или ;: особенности функционирования сетевого программного обеспе:; чения операционной системы.
Практически все виды вирусов бывают резидентными и нере::: зидентными. Резидентные вирусы способны оставлять свои копии : в оперативной памяти, перехватывать некоторые события (напри: мер, обращения к файлам или дискам) и инициировать при этом :,' процедуры заражения обнаруженных объектов (файлов и секто', ров). Поэтому резидентные вирусы опасны не только во время '' работы зараженной программы, но и после ее окончания. Рези:" дентные копии таких вирусов остаются жизнеспособными вплоть ::. до очередной перезагрузки, даже если на диске уничтожены все : зараженные файлы. Часто от таких вирусов невозможно избавить:, ся восстановлением всех копий файлов с дистрибутивных дисков ': или Ьас1сир-копий. Резидентная копия вируса остается активной и ;: заражает вновь создаваемые файлы.
Это характерно и для загрузочных вирусов. Форматирование диска при наличии в памяти рези: дентного вируса не всегда вылечивает диск, поскольку многие ре: зидентные вирусы заражают его повторно после форматирования. Нерезидентные вирусы, напротив, активны на довольно непродолжительных интервалах времени: только в момент запуска зараженной программы. По отношению к информации вирусы опасны по-разному. Безвредные вирусы не производят никаких действий, влияющих на работоспособность системы, кроме размножения собственных .; копий. Влияние неопасных вирусов на систему ограничивается по: дачей звуковых сигналов, выдачи визуальных сообщений, не име", ющих опасных последствий для системы.
В результате действий опасных вирусов нарушается нормаль': ное функционирование как отдельных программных комплексов, : так и всей операционной системы в целом. В алгоритме очень опас' ных вирусов заложены процедуры и механизмы, результатом вы': полнения которых могут быть уничтожение информации, разру::: шение отдельных областей операционной системы. Такие проце:: дуры и механизмы имеют фатальные последствия для программ;: ной и информационной среды пользователя. После появления специализированных антивирусных программных комплексов возникли вирусы, использующие для скрытия :: своего присутствия в системе специальные приемы (СТЕЛС виру' сы). Эти приемы обычно сводятся к перехвату и контролю некото:. рых системных ресурсов.
Процесс лечения системы, зараженной 221 СТЕЛС вирусами, усложняется еще и тем, что появились вирусы „ меняющие свой код, а иногда и способы заражения, в процессе функционирования. Даже сегодня бороться с такими вирусами достаточно сложно. В антивирусной базе Иог1оп Ал6%гцз имеется информация о 1016 полиморфных и 942 СТЕЛС вирусах. 7.2.2. Принципы Функционирования основных разновидностей вирусов Упрощенно процесс заражения вирусом программных файлов (ехе, 1сот, оч1, сП1 модулей) можно представить следующим образом. Код зараженной программы обычно изменяется таким образом, чтобы вирус получил управление первым, до начала работы программы-носителя. При передаче управления вирусу он находит новую программу и выполняет вставку своей копии в нее.
Самый распространенный и часто встречающийся способ заражения файловым вирусом — вставка в конец программы. В этом случае вирус корректирует код заражаемой программы так, чтобы получить управление первым. Для этого обычно первые несколько байтов запоминаются в теле вируса, а на их место вставляется код перехода на начало вируса.
В случае сот модуля это обычно команда безусловного перехода ппр. В ехе модуле вирус изменяет заголовок программы (часто это первые 24 байт). При запуске программы вирус первым получает управление, отрабатывает свой код, после чего восстанавливает скрытые первые байты и передает управление программе-вирусоносителю. Код вируса может быть вставлен в начало зараженной программы. При вставке в начало файла вирус переписывает первые блоки (или все тело) зараженной программы в ее конец. Поэтому до передачи управления зараженному модулю, вирус должен предварительно переписать перемещенные блоки программы на первоначальное место, переместив часть своего кода таким образом, чтобы она не была затерта.
Вставка вируса в середину файла встречается редко. В этом случае вирус переписывает замещаемые блоки программы в конец модуля. Реже всего такой способ используется для заражения (обычно специализированными вирусами, в том числе и макровирусами) модулей, особенности структуры которых заранее известны (файлы сопппапд.сот, документы МБ %огд и т.п.).
При заражении вирусом, вставленным в конец или середину программы, как правило, не производится перенос замещаемых блоков. В этом случае длина зараженной программы не изменяется, а исходный выполняемый модуль безвозвратно разрушается, что маскируется вирусом при его запуске выдачей одного из сообщений операционной системы. 222- Нерезидентный файловый вирус ищет программы обычно с помощью переменных среды РОБ.
Резидентный вирус при инициализации перехватывает и кон.'': тролирует некоторые прерывания БОБ в соответствии с механизмом поиска программ (при запуске, открытии, чтении, записи) , :обычно перехватываются 21Ь и 13Ь прерывания РОЯ. Заражение ':: «.соуп и *.ехе файлов производится по схемам, различающимся ::: лишь числом байт, изменяемых в начале выполняемого модуля, и :-' связанным с различной структурой файлов данного типа. Распознавание типа модулей вирусом обычно производится по расши::: рению файла и по идентификатору (в '.ехе модуле первые 2 байта .
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
