В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 50
Текст из файла (страница 50)
Вредительское воздействие таких вирусов сводится к выводу на экран монитора невинных текстов и картинок, исполнению музыкальных фрагментов и т.д. Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы рас- 224 ходуют ресурсы КС, в той или иной мере снижая эффективность ее функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы. К о п а с н ы м относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приволят к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах.
Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи, и т.д. О ч е и ь о п ас н ы м и следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств, вызывающие их неисправность и наносящие ущерб здоровью пользователям.
Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т.д. Одни авторы предполагают, что на резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя. Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы В(ОБ, что требует замены постоянных запоминающих устройств.
Возможны также воздействия на психику человека — оператора ЭВМ с помощью подбора видеоизображения, выдаваемого на экран монитора с определенной частотой (каждый 25-й кадр). Встроенные кадры этой видеоинформации воспринимаются человеком на подсознательном уровне. В результате такого воздействия возможно нанесение серьезного ущерба психике человека. По алгоршиму функциолироваиия компьютерные вирусы подразделяются на вирусы, не изменяющие среду обитания (файлы и 225 секторы) при распространении, и вирусы, изменяющие среду обитания при распространении.
В свою очередь, вирусы, не изменяющие среду обит а н и я, подразделяются на вирусы-«спутники» (сопзрап1оп) и вирусы-«черви» (юопп). Вирусы-«спутники» не изменяют файлы. Механизм их действия состоит в создании копий исполняемых файлов. Например, в МЯ РОВ такие вирусы создают копии для файлов, имеющих расширение .ЕХЕ. Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на .СОМ.
При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением .СОМ, который является программой-вирусом. Файл-вирус запускает затем и файл с расширением .ЕХЕ. Вирусы-«черви» попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие — размещаются только в оперативной памяти ЭВМ.
По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, подразделяются на студенческие, «стелс»-вирусы (вирусы-невидимки) и полиморфные. К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются. «Стелс»-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы„а также владеющими навыками работы с машиноориентированными системами программирования.
«Стелс»-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС„может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. «Стелс»-вирусы обладают способностью противодействовать резидентным антивирусным средствам.
Полиморфные вирусы не имеют постоянных опознавательных групп — сигнатур. Обычные вирусы для распознавания факта заражения среды обитания размещают в зараженном объекте спе- 226 циальную опознавательную двоичную последовательность или последовательность символов (сигнатуру), которая однозначно идентифицирует зараженность файла или сектора. Сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса. Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования.
За счет такого преобразования полиморфные вирусы не имеют совпадений кодов. Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных модуля: модуль заражения (распространения), модуль маскирования и модуль выполнения вредительских действий. Разделение на функциональные модули означает, что к определенному модулю относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки (например, осуществляется расшифрование тела вируса). Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.
Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС. Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки.
Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия. 5.3.2. Некоторые компьютерные вирусы Файловые вирусы размещаются в файлах КС и могут внедряться только в исполняемые файлы: командные файлы (файлы, состоящие из команд операционной системы), саморазархивирующиеся 227 файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды. Макрокоманды (макросы) представляют собой исполняемые программы для автоматизации работы с документами (таблицами).
Поэтому такие документы (таблицы) можно рассматривать как исполняемый файл. Для 1ВМ-совместимых ПЭВМ вирус может внедряться в файлы следующих типов; командные файлы (ВАТ), загружаемые драйверы (Я'т'Б), программы в машинных (двоичных) кодах (ЕХЕ, СОМ), документы %огд (РОС) с версии 6.0 и выше, таблицы ЕХСЕЕ (ХЕК). Макровирусы могут внедряться и в дру~ие файлы, содержащие макрокоманды.
Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла, но их заголовки размещаются, как правило, в начале файла. Таким образом, независимо от места расположения вируса в теле зараженного файла после передачи управления файлу первыми выполняются команды вируса. В начало файла вирус внедряется одним из трех способов. Первый из них заключается в переписывании начала файла в его конец, а на освободившееся место записывается вирус. Второй способ предполагает считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла.
При третьем способе заражения вирус записывается в начало файла без сохранения содержимого. В этом случае зараженный файл становится неработоспособным. В середину файла вирус может быть записан также различными способами. Файл может «раздвигаться», а в освободившееся место может быть записан вирус. Вирус может внедряться в середину файла без сохранения участка файла, на место которого помещается вирус. Есть и более экзотические способы внедрения вируса в середину файла. Например, вирус «Мцгапгь применяет метод сжатия отдельных участков файла„при этом длина файла после внедрения вируса может не измениться. Чаше всего вирус внедряется в конец файла.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
