В. Столлингс - Операционные системы (1114679), страница 151
Текст из файла (страница 151)
Подобно своему биологическому прототипу компьютерный вирус содержит в своем коде рецепт того, как точно копировать самого себя. Попав в компьютер, типичный вирус временно берет на себя управление операционной системой компьютера. Затем при любом контакте зараженного компьютера с незараженным Фрагментом программного обеспечения в новую программу внедряется новоиспеченная копия вируса. Таким образом, ничего не подозревающие пользователи могут передавать заражение от одного компьютера другому в процессе переписывания программ с одного диска на другой или их пере- Глаиа 15. Ьюопасиодть ,ки по сети.
Сетевая среда, предоставляющая возможность получать доступ к ложениям и системным сервисам, которые находятся на других компьюте, создает идеальные условия для распространения вирусов. Палее в этом разделе вирусы изучаются подробнее. Черви Сетевые программы-черви используют сетевые соединения, чтобы перехоь из одной системы в другую. Однажды активизировавшись в системе, сете- ~ червь может вести себя как компьютерный вирус, порождать троянских ко- ~ или выполнять любые другие разрушительные или деструктивные действия.
Для самовоспроизведения сетевой червь использует некоторое транспортное дства. В качестве примеров можно привести следующие. Электронная почта. Червь рассылает свою копию другим системам по электронной почте. Возможности удаленного запуска программ. Червь запускает свою копию на другой системе. Возможность удаленной регистрации. Червь входит в удаленную систему под видом пользователя, а затем с помощью стандартных команд копирует себя из одной системы в другую. Затем новая копия программы-червя запускается на удаленной системе, где пия продолжает распространяться таким же образом. Сетевой червь обладает такими же характеристиками, что и компьютерный рус: Фаза покоя, Фаза размножения и Фаза выполнения. В Фазе размножения ычно выполняются такие функции.
1. Поиск других систем для заражения путем проверки списков узлов или других хранилищ адресов удаленных систем. Е. Установление связи с удаленной системой. 3. Копирование самого себя в удаленную систему и запуск новой копии. Перед тем как копировать себя на какую-то систему, сетевой червь может кже попытаться определить, инфицирована ли эта система. Кроме того, в мно-, задачной системе он может маскироваться, присваивая своим копиям имена :стемных процессов или какие-то другие имена, которые будет трудно заметить стемному оператору. Сетевым червям так же трудно противостоять, как и вирусам. Однако про- ' ~манные и правильно реализованные меры безопасности, предусматривающие ° ~к безопасность сетей, так и безопасность отдельных систем, сводят угрозу .
эоникновения червей к минимуму. 1 Зомби — это программа, которая скрытно соединяется с другим подклю-'нным в 1пФегпе1 компьютером, а затем использует этот компьютер для запуска гак, что усложняет отслеживание пути к создателю программы-зомби. Зомби '. спользуются при атаках с отказом в обслуживании, которые обычно направлеы против выбранных в качестве мишени Ч~еЬ-узлов. Зомби распространяются ас отни компьютеров, принадлежащих ничего не подозревающим третьим ли- м используются для поражения вы м шени е~эузла при помощи огромного увеличения сетевого трафика.
Природа вирусов Вирус может делать все то, что делает обычная программа. Единственное отличие состоит в том, что он прикрепляется к другой программе и скрытно вы полняется во время работы программы-хозяина. Будучи запущенным, вирус может выполнять любые Функции, например удалять Файлы и программы. За время своего существования типичный вирус проходит четыре ст стадии. ° Фаза покоя. Вирус бездействует. Рано или поздно он будет активизирован некоторым событием. Таким событием может служить наступление опре пределенно даты, наличие другой программы или файла или превышение некоторой гра ничной емкости диска. Не все вирусы придерживаются этой стратегии. ° Фаза размножения. Вирус помещает свою точную копию в другие программы или в определенные системные области на диске. После этого этого каждая зараженная программа содержит клон вируса, который тоже когда-нибудь вступит в Фазу размножения.
Фаза запуска. Вирус активизируется, чтобы получить возможность выпол нять Функции, для которых он был создан. Как и выход из Фазы покоя, пе реход в фазу запуска может быть спровоцирован различными системными событиями, в их числе — превышение некоторого предельного количества новых копий вируса. ° Фаза выполнения. В этой фазе вирус выполняет свои Функции. Эти Функции могут быть безобидными (например, вывод на экран сообщения) или причинять вред (например, удаление Файлов с программами и данными). Большинство вирусов делают свое дело, приспосабливаясь к определенной операционной системе, а в некоторых случаях — к определенной аппаратной платформе.
Таким образом. они задуманы так, чтобы воспользоваться особенностями и слабостями определенных систем, Виды вирусов С момента появления вирусов между теми, кто пишет вирусы, и теми, кто пишет антивирусные программы, ведется непрерывная борьба. Как только разр атываются эффективные меры противодействия вирусам имеющихся типов, абатыв тут же появляются новые типы вирусов.
В ~БТЕР931 приводятся такие категории, в которые сгруппированы наиболее значительные виды вирусов. Вирус-паразит. Традиционная и наиболее распространенная форма вируса- Вирус-паразит прикрепляется к исполняемым файлам и размножается в процессе работы зараженной программы, отыскивая и заражая другие исполняемые Файлы. е Резидентный вирус. Проникает в основную память вместе с резидентной системной программой и заражает все запускаемые программы.
° Вирус в загрузочном секторе. Этот тип вирусов заражает главную загрузочную запись или загрузочную запись диска, а затем распространяется при условии, что система загружается с диска, который содержит этот вирус. Часть 7. Вевопасность Глава 15. Безопасиость е Вирус-невидимка. Разновидность вирусов, специально разработанная так, чтобы скрываться от антивирусных программ. Полиморфиый вирус. Вирус, который может видоизменяться при каждом новом заражении, в связи с чем выявить вирус с использованием некоторой последовательности байтов его кода ~сигнатуры) невозможно. Один из видов вирусов-невидимок использует сжатие, при котором зара- кенная пр программа имеет точно такой же размер, как и ее незараженная вер- ;ия, Возможно также применение намного более сложных методов.
Например, вирус мо жет поместить в программы, выполняющие ввод-вывод на диск, фрагмент кода, работающего на перехват. Тогда при попытке прочитать с по- иощью этой программы подозрительную часть диска вирус представит перво- начальную, незараженную программу. Таким образом, термин невидимка ско- рее применим не к самому вирусу, а к технологии, используемой вирусом, чтобы его нельзя было обнаружить.
Полиморфиый вирус в процессе размножения создает копии, которые Функционально эквивалентны, но заметно отличаются битовыми комбина- циями. Как и в случае с вирусом-невидимкой, цель данного подхода состоит в том чтобы сбить с толку программы, ведущие поиск вирусов.
При этом ж~, каждая копия вируса будет отличаться от предыдущей. Чтобы этого достичь, вирус может случайным образом помещать в свои копии избыточные инст- рукции или изменять порядок независимых инструкций. Более эффективный подход состоит в использовании шифрования. Часть вируса, которую обычно называют мутациоиным устройством ~пшФа11оп епа1пе), создает случайный ключ шифрования, с помощью которого кодируется остальная часть вируса; ключ при этом сохраняется в вирусе.
Когда вызывается зараженная про- грамма, вирус дешифруется с помощью хранящегося в нем ключа. При раз- множении выбирается другой случайный ключ. Существуют наборы инструментов, предназначенных для создания вирусов. Хотя такие вирусы являются менее сложными, чем те, которые созданы вруч- ную, рост количества новых сравнительно легко создаваемых вирусов является проблемой для антивирусной защиты. Еще одним инструментом создателей вирусов являются электронные доски объявлений, с помощью которых ведется обмен вирусами. Такие доски объявле-; ний стали появляться в Соединенных Штатах и других странах ~А1)АМ92) .а М92 На: них предлагаются копии вирусов, которые можно загрузить на свой компьютер, ' а также советы по созданию вирусов.
Макровирусы В последние годы резко возросло количество вирусов на корпоративных уз-:.' лах. Это связано преимущественно с распространением одного из новейших ти- ': пов вирусов — макровирусов. В конце 1999 года количество макровирусов со- ': ставляло две трети от общего числа компьютерных вирусов ~КАВА993. Эти вирусы являются особенно опасными по нескольким причинам. 1. Макровирусы являются независимыми от платформы. Почти все макровирусы заражают документы. созданные в редакторе М1сгозоГ$ Жогж.
Все аппаратные платформы и операционные системы, поддерживающие Жогж, подвержены заражению. 2. МакРовиРУсы заРажают не исполнЯемУю часть кода, а докУменты, Воль шинство информации, содержащейся в компьютерной системе, находится в форме документов, а не в форме программ. 3. Макровирусы легко распространяются. Очень часто для этого применяется электронная почта. Макровирусы используют возможность применения макросов в М1сгово~~ %Чоган и других офисных приложениях, таких, как М1сгозоХ1 Ехсе).
Макрос яв ляется исполняемой программой, вставленной в электронный документ или файл другого типа. Обычно пользователи применяют макросы для автоматиза ции повторяющихся задач и сохранения времени, которое пришлось бы затратить на ввод текста и команд. Как правило, основой макроязыка служит разно видность языка программирования Вав1с. Пользователь может определить в макросе последовательность нажатий клавиш и настроить макрос так„чтобы он вызывался при нажатии Функциональной клавиши или некоторой специальной комбинации клавиш на клавиатуре. Возможность создания макровируса определяется наличием самозапускающихся макросов, т.е.
таких макросов, которые вызываются сами по себе, без каких-либо явных действий со стороны пользователя. Обычно запуск таких макросов происходит при открытии Файла, его закрытии или при запуске приложения. Макрос в процессе работы может копировать себя в другие документы, удалять Файлы, а также причинять другой вред пользователям системы. В приложении М~сговоЯг. ЪЧогй существуют самозапускающиеся макросы трех видов. е Автоматически выполняющийся (аиФоехесШе). Если макрос в шаблоне "псгжа1.бас" или в глобальном шаблоне, который хранится в каталоге инициализации (в1аг~ир Й1гес1огу) приложения Жогж, имеет имя йптсЕхес„ он всегда запускается при запуске %'огй.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
