В.П. Мельников и др. - Информационная безопасность и защита информации (1022816), страница 51
Текст из файла (страница 51)
При этом, как и в случае с внедрением вируса в середину файла, первые команды файла заменяются командами перехода на тело вируса. Обобщенный алгоритм заражения файла может быть представлен в следующем виде. 1. Резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их.
2. Выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т.д.). 3. Осуществляется вредительская функция вируса, и управление передается программе, в файле которой находится вирус. 228 При реализации конкретных вирусов последовательность и набор действий могут отличаться от приведенных в алгоритме. Особое место среди файловых вирусов занимают макровирусы.
)Иакровирусы представляют собой вредительские программы, написанные на макроязыках, встроенных в текстовые редакторы, электронные таблицы и др. Для существования вирусов в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел: ° привязку программы на макроязыке к конкретному файлу; ° копирование макропрограмм из одного файла в другой; ° получение управления макропрограммой без вмешательства пользователя. Таким условиям отвечают редакторы Мб %0КР, МБ ОЕНСЕ, АМ1 РКО, табличный процессор МЯ ЕХСЕ(..
В этих системах используются макроязыки %0КР ВАЯС и Н1ЯБА(. ВАЯ1С. При выполнении определенных действий над файлами, содержащими макропрограммы (открытие, сохранение, закрытие и т.д.), автоматически выполняются макропрограммы файлов. При этом управление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). Поэтому при работе с другим файлом в зараженном редакторе (процессоре) он также заражается. Механизм заражения аналогичен механизму заражения с резидентными вирусами.
Для получения управления в макровирусах заражающие файлы МЗ ОГНСЕ, как правило, используют некоторые приемы: ° в вирус помещается автомакрос (вирус включается автоматически, при открытии документа, таблицы); ° в вирус помещается один из стандартных макросов, который выполняется при выборе определенного пункта меню; ° макрос вируса автоматически вызывается на выполнение при нажатии определенной клавиши или комбинаций клавиш.
Один макровирус И'и И'опт. Солсер~, поражающий документы %0КР, появился летом 1995 г. Вредительская функция этого вируса заключается в изменении формата документов текстового редактора МОКР в формат файлов стилей. Другой макровирус И7л И ЬЫ Мис)еаг уже не столь безобиден. Он дописывает фразу с требованием запрещения ядерных испытаний, проводимых Францией в Тихом океане. Загрузочные вирусы заражают загрузочные сектора гибких дисков и Ьоо~-сектора или Мазгег Воог Кесогд (МВК) жестких дисков по тем же схемам, п.о и файловые вирусы. Загрузочные вирусы являются резидентными.
Заражение происходит при загрузке операционной системы с дисков. После включения ЭВМ осуществляется контроль ее работоспособности с помощью программы, записанной в постоянном запоминающем устройстве. Если проверка завершилась успешно, 229 то осуществляется считывание первого сектора с гибкого или жесткого диска. Порядок использования дисководов лля загрузки задается пользователем при помощи программы ЯЕТОР. Если диск, с которого производится загрузка ОС заражен загрузочным вирусом, то обычно реализация работы вируса осуществляется в следующей последовательности.
1. Считанный из первого сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной оперативной памяти и считывает с диска тело вируса. 2. Вирус переписывает сам себя в другую область оперативной памяти, чаше всего — в старшие адреса памяти. 3. Устанавливаются необходимые вектора прерываний, если вирус резидентный, и при выполнении определенных условий производятся вредительские действия.
4. Копируется Ьоог-сектор в оперативной памяти, и ему передается управление. Если вирус был активизирован с гибкого диска, то он записывается в загрузочный сектор жесткого диска. Активный вирус, постоянно находясь в оперативной памяти, заражает загрузочные сектора всех гибких дисков, а не только системные диски.
Заражение рабочих гибких дисков загрузочными вирусами выполняется в расчете на ошибочные действия пользователя ЭВМ в момент загрузки ОС. Если установлен порядок загрузки ОС сначала с гибкого диска, а затем — с жесткого, то при наличии гибкого диска в накопители будет считан первый сектор с гибкого диска. Если диск был заражен„то этого достаточно для заражения ЭВМ. Такая ситуация наиболее часто имеет место при перезагрузке ОС после «зависаний» или отказов ЭВМ. Программы-вирусы ОС создаются для ЭВМ определенного типа и ориентированы на конкретные ОС. В качестве примера можно привести ОС М5 005, устанавливаемую на !ВМ-совместимые персональные компьютеры. Для ОС !3МХ, ОБ/2, %1Ь!00%5 и некоторых других ОС известно незначительное число вирусов. Привлекательность ОС лля создателей вирусов определяется следующими факторами: ° относительная простота; ° распространенность ОС; ° отсутствие встроенных антивирусных механизмов; ° продолжительность эксплуатации.
Все приведенные факторы характерны для МЯ 005. Поэтому авторы вирусов при использовании %1Ь1 00%3.и ОЯ/2 часто прибегают для внедрения вирусов к использованию находящуюся в них хорошо знакомую М$ РОЯ. Главным недостатком М$ РОК является возможность полного и бесконтрольного доступа любой активной программы ко всем системным ресурсам ЭВМ, включая модули самой ОС. 230 Операционная система М1СК050ЕТ%1НР0%5 3.! и ее модификация М1СК050ГТ %1ХР0%5 РОК %0ККОК01!Р5 3.1 ! не являются самостоятельными ОС, а больше похожи на очень большие программы М5 Р05.
В этих ОС введены ограничения на доступ к оперативной памяти. Каждая программа получает доступ только к своему виртуальному пространству оперативной памяти. Доступы же к дискам, файлам и портам внешних устройств не ограничены. Сохраняют работоспособность и загрузочные вирусы, разработанные для М5 Р05, так как они получают управление еще до загрузки М!СК050ГТ%!МР0%5 ЗЛ и в этот период времени их действия ничем не ограничены. Слабость защитных функций ОС М1СК050ГТ%1! !Р0%5 95/98 также обьясняется совместимостью с М5 Р05. Эта ОС имеет такую же устойчивость к воздействию вирусов, как и М1СК050ГТ %!ЯРО%5 3.1.
Значительно лучше защищена от вирусов операционная система 1ВМ 05/2. Эта система полностью независима от М5 Р05. Все программы, выполняемые в 05/2, работают в отдельных адресных пространствах, что полностью исключает возможность взаимного влияния программ.
Существует возможность запретить рабочим программам !несистемным) иметь доступ к портам периферийных устройств. Если ЭВМ с М1СК050ЕТ 05/2 используется в качестве файлсервера !ВМ 1.А!х! 5ЕКЧЕК, то с помощью драйвера 38б НРР5 можно указывать права доступа к каталогам и файлам.
Можно также защитить каталоги от записи в файлы, содержащиеся в них. В этой системе существует возможность выполнения программ М5 Р05. Но в 05/2 для вирусов, созданных для М5 Р05, гораздо меньше возможностей. Хорошую защиту от вирусов имеют сетевые операционные системы М1СК050ГТ %1!х!Р0%5 !х!Т и !х!ОЧЕП. 1х!ЕТ %АКЕ, а также операционная система %1НР0%5 2000. 5.3.3. Методы и технологии борьбы с компьютериыми вирусами Массовое распространение вирусов и серьезность последствий их воздействия на ресурсы КС вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения. Антивирусные средства применяются для решения следующих задач: ° обнаружение вирусов в КС; ° блокирование работы программ-вирусов„ ° устранение последствий воздействия вирусов.
Обнаружение вирусов желательно осуществлять на стадии их внедрения или, по крайней мере, до начала осуществления деструктивных функций вирусов. Необходимо отметить, что не сущест- 23! вует антивирусных средств, гарантирующих обнаружение всех возможных вирусов. При обнаружении вируса необходимо сразу же прекратить работу программы-вируса, чтобы минимизировать ущерб от его воздействия на систему. Устранение послелствий воздействия вирусов ведется в двух направлениях: ° удаление вирусов; ° восстановление (при необходимости) файлов, областей памяти. Технология восстановления системы зависит от типа вируса, а также от момента времени обнаружения вируса по отношению к началу вредных действий. Восстановление информации без использования дублируюгцей информации может быть невыполнимым, если вирусы при внедрении не сохраняют информацию, на место которой они помещаются в память, а также если вредные действия уже начались и они предусматривают изменения информации.