комбіновані віруси

Дуже часто зустрічаються комбіновані віруси, які об'єднують властивості файлових і завантажувальних вірусів.

Як приклад можна привести широко поширений в минулому файлово-завантажувальний вірус OneHalf. Проникаючи в комп'ютер з операційною системою MS -DOS, цей вірус заражає головний завантажувальний запис. Під час завантаження комп'ютера вірус поступово шифрує сектори жорсткого диска, починаючи з найостанніших секторів. Коли резидентний модуль вірусу знаходиться в пам'яті, він контролює всі звернення до зашифрованих секторам і розшифровує їх, так що все програмне забезпечення комп'ютера працює нормально. Якщо OneHalf просто видалити з оперативної пам'яті і завантажувального сектора, то стане неможливо правильно прочитати інформацію, записану в зашифрованих секторах диска.

Коли вірус зашифрує половину жорсткого диска, він відображає на екрані напис:

Dis is one half.
Press any key to continue ...

Після цього вірус очікує, коли користувач натисне на якусь клавішу і продовжує свою роботу

Вірус OneHalf використовує різні механізми для своєї маскування. Він є стелс-вірусом і використовує при поширенні поліморфні алгоритми. Виявлення і видалення вірусу OneHalf - досить складне завдання, доступна далеко не всім антивірусних програм.

Віруси-супутники

Як відомо, в операційних системах MS-DOS, і Microsoft Windows різних версій існують три типи файлів, які користувач може запустити на виконання. Це командні або пакетні файли BAT, а також виконані файли COM і EXE. При цьому в одному каталозі можуть одночасно перебувати кілька здійсненних файлів, що мають однакове ім'я, але різне розширення імені.

Коли користувач запускає програму і то вводить її ім'я в системному запрошенні операційної системи, то він зазвичай не вказує розширення файлу. Який же файл буде виконаний, якщо в каталозі є кілька програм з однаковим ім'ям, але різними розширенням імені?

Виявляється, в цьому випадку запуститься файл COM. Якщо в поточному каталозі або в каталогах, зазначених у змінній середовища PATH, існують тільки файли EXE і BAT, то виконуватися буде файл EXE.

Коли вірус-супутник заражає файл EXE або BAT, він створює в цьому ж каталозі ще один файл з таким же ім'ям, але з розширенням імені COM. Вірус записує себе в цей COM-файл. Таким чином, при запуску програми першим отримає управління вірус-супутник, який потім може запустити цю програму, але вже під своїм контролем.

Віруси в пакетних файлах

Існує кілька вірусів, здатних заражати пакетні файли BAT. Для цього ними використовується дуже витончений спосіб. Ми розглянемо його на прикладі вірусу BAT.Batman. При зараженні пакетного файлу в його початок вставляється текст такого вигляду:

@ECHO OFF
REM [...]
copy% 0 b.com> nul
b.com
del b.com
rem [...]

У квадратних дужках [...] тут схематично показано розташування байт, які є процесорними інструкціями або даними вірусу. Команда @ECHO OFF відключає висновок на екран назв виконуваних команд. Рядок, що починається з команди REM, є коментарем і ніяк не інтерпретується.

Команда copy% 0 b.com> nul копіює заражений командний файл в файл B.COM. Потім цей файл запускається і видаляється з диска командою del b.com.

Найцікавіше, що файл B.COM, створений вірусом, до єдиного байта збігається з зараженим командним файлом. Виявляється, що якщо інтерпретувати перші два рядки зараженого BAT-файлу як програму, вона буде складатися з команд центрального процесора, які фактично нічого не роблять. Центральний процесор виконує ці команди, а потім починає виконувати справжній код вірусу, записаний після оператора коментаря REM. Отримавши управління, вірус перехоплює переривання ОС і активізується.

У процесі поширення вірус стежить за записом даних в файли. Якщо перший рядок, що записується в файл, містить команду @echo, тоді вірус вважає, що записується командний файл і заражає його.

Шифр і поліморфні віруси

Щоб утруднити виявлення, деякі віруси шифрують свій код. Кожен раз, коли вірус заражає нову програму, він зашифровує власний код, використовуючи новий ключ. В результаті два примірника такого вірусу можуть значно відрізнятися один від одного, навіть мати різну довжину. Шифрування коду вірусу значно ускладнює процес його дослідження. Звичайні програми не зможуть аналізувати код такий вірус.

Природно, вірус здатний працювати тільки в тому випадку, якщо виконуваний код розшифрований. Коли запускається заражена програма (або почнеться завантаження з зараженої завантажувального запису BR) і вірус отримує управління, він повинен розшифрувати свій код.

Для того щоб утруднити виявлення вірусу, для шифрування застосовуються не тільки різні ключі, але і різні процедури шифрування. Два примірники таких вірусів не мають жодної збігається послідовності коду. Такі віруси, які можуть повністю змінювати свій код, отримали назву поліморфних вірусів.

Стелс-віруси

Стелс-віруси намагаються приховати свою присутність в комп'ютері. Вони мають резидентний модуль, який постійно перебуває в оперативній пам'яті комп'ютера. Цей модуль встановлюється в момент запуску зараженої програми або при завантаженні з диска, зараженого завантажувальним вірусом.

Резидентний модуль вірусу перехоплює звернення до дискової підсистеми комп'ютера. Якщо операційна система або інша програма зчитують файл зараженої програми, то вірус підставляє справжній, незаражений, файл програми. Для цього резидентний модуль вірусу може тимчасово видаляти вірус з зараженого файлу. Після закінчення роботи з файлом він заражається знову.

Завантажувальні стелс-віруси діють за такою ж схемою. Коли будь-яка програма зчитує дані з завантажувального сектора, замість зараженого сектора підставляється справжній завантажувальний сектор.

Маскування стелс-вірусів спрацьовує тільки в тому випадку, якщо в оперативній пам'яті комп'ютера знаходиться резидентний модуль вірусу. Якщо комп'ютер завантажується з «чистою», що не зараженої системної дискети, у вірусу немає шансів отримати управління і тому стелс-механізм не працює.

Макрокомандние віруси

До сих пір ми розповідали про віруси, що мешкають в виконуваних файлах програм і завантажувальних секторах дисків. Широке поширення пакета офісних програм Microsoft Office викликало лавиноподібне поява вірусів нового типу, що поширюються ні з програмами, а з файлами документів.

На перший погляд це може здатися неможливим - справді, де сховатися вірусам в текстових документах Microsoft Word або в осередках електронних таблиць Microsoft Excel?

Однак насправді файли документів Microsoft Office можуть містити в собі невеликі програми для обробки цих документів, складені на мові програмування Visual Basic for Applications. Це відноситься не тільки до документів Word і Excel, а й до баз даних Access, а також файлів презентацій Power Point. Такі програми створюються з використанням макрокоманд, тому віруси, які живуть в офісних документах, називаються макрокоманднимі.

Як поширюються макрокомандние віруси?

Разом з файлами документів. Користувачі обмінюються файлами через дискети, мережеві каталоги файл-серверів корпоративної інтрамережі, через електронну пошту і по інших каналах. Щоб заразити комп'ютер макрокомандним вірусом, досить просто відкрити файл документа у відповідному офісному додатку - і справу зроблено!

Зараз макрокомандние віруси дуже поширені, чому в чималому ступені сприяє популярність Microsoft Office. Вони можуть принести шкоди не менше, а в деяких випадках навіть більше, ніж «звичайні» віруси, що заражають виконувані файли і завантажувальні сектори дисків і дискет. Найбільша небезпека макрокомандних вірусів, на наш погляд, полягає в тому, що вони можуть змінювати заражені документи, залишаючись непоміченими довгий час.

Шкідливі програми інших типів

На жаль, не тільки віруси заважають нормальній роботі комп'ютера і його програмному забезпеченню. Прийнято виділяти ще, принаймні, три види шкідливих програм. До них відносяться троянські програми, логічні бомби і програми-черв'яки. Чіткого поділу на ці види не існує, троянські програми можуть містити віруси, в віруси можуть бути вбудовані логічні бомби і так далі.

троянські програми

Відомий грецький міф про те, як була завойована неприступна Троя. Греки залишили вночі біля воріт Трої дерев'яного коня, всередині якого причаїлися солдати. Коли городяни, рухомі цікавістю, витягли коня за стіни міста, солдати вирвалися назовні і завоювали місто.

Троянські програми діють подібним чином. Їх основне призначення абсолютно невинне або навіть корисне. Але коли користувач запише програму в свій комп'ютер і запустить її, вона може непомітно виконувати інші, найчастіше, шкідливі функції.

Найчастіше троянські програми використовуються для початкового поширення вірусів, для одержання віддаленого доступу до комп'ютера через Інтернет, для крадіжки даних або їх знищення. Після того як троянська програма виконає свою приховану функцію, вона може самознищитися, щоб утруднити виявлення причини порушень в роботі системи.

Логічні бомби

Логічною бомбою назівається програма або ее ОКРЕМІ модулі, Які при питань комерційної торгівлі условиях віконують шкідливі Дії. Логічна бомба може спрацювати після досягнення певної дати, коли в базі даних з'явиться або зникне запис і так далі. Умова, при якому спрацьовує логічна бомба, визначається її творцем. Логічна бомба може бути вбудована в віруси, троянські програми, і навіть в звичайне програмне забезпечення.

Програми-черв'яки

Програми-черв'яки націлені їх авторами на виконання певної функції. Вони можуть бути орієнтовані, наприклад, на проникнення в систему і модифікацію деяких даних. Можна створити програму-хробак, підглядати пароль для доступу до банківської системи і змінює базу даних таким чином, щоб на рахунок програміста була переведена більша сума грошей.

Широко відома програма-черв'як була написана студентом Корнельського (Cornell) університету Робертом Морісом (Robert Morris). Черв'як був запущений в Інтернет другого листопада 1988 року. За п'ять годин черв'як Морріса зміг проникнути на більш ніж 6000 комп'ютерів, підключених до цієї мережі.

Дуже складно дізнатися, чи є програма троянської і закладена в неї логічна бомба. Програміст має повну владу над своїм дітищем. Вивчення сумнівною програми або системи може зайняти дуже багато часу і вимагати значних фінансових витрат. Тому ми не рекомендуємо обмінюватися програмним забезпеченням зі своїми знайомими і купувати незаконні копії фірмового програмного забезпечення. У будь-яку з цих програм можуть бути вбудовані додаткові шкідливі функції. Їх активація може привести до порушення роботи комп'ютерної системи.

Чи складно створити комп'ютерний вірус

У середовищі хакерів існує думка про те, що для створення комп'ютерного вірусу необхідно володіти якимись надзвичайними здібностями і талантами. Можливо, що створення «з нуля» шифр поліморфного вірусу і справді доступно не кожному, проте і для цього не треба бути генієм. Переважна більшість вірусів пишуть посередні програмісти, які, по всій видимості, не можуть знайти собі більш гідне заняття. Сучасні антивірусні програми без особливих зусиль розправляються з їх «шедеврами».

Більш того, можна створювати віруси, не вникаючи в деталі їх внутрішнього устрою і навіть без програмування. Існують десятки спеціальних програм, що представляють собою ні що інше, як справжні лабораторії комп'ютерних вірусів!

Володіючи дружнім (якщо це слово тут доречно) призначеним для користувача інтерфейсом (рис. 3), такі програми дозволяють зловмисникові за допомогою меню, списків і галочок поставити всі атрибути створюваного вірусу - його тип, спосіб поширення та маскування, а також шкідливий вплив. Далі програма автоматично генерує заражений файл, готовий до поширення!

Мал . 3. Генератор вірусів Virus Creation
Laboratory

В результаті кожен день з'являється значна кількість нових вірусів, деякі з яких можуть являти собою серйозну небезпеку. Треба, однак, зауважити, що навіть найпростіші віруси, написані дилетантами або створені автоматичними генераторами вірусів, можуть викликати втрату даних і доставити багато інших неприємностей. Тому ніколи не варто нехтувати засобами захисту від комп'ютерних вірусів.

Основні канали поширення вірусів

Для того щоб розробити ефективну систему антивірусного захисту комп'ютерів і корпоративних интрасетей, необхідно чітко уявляти собі, з якого боку загрожує небезпека. Для свого поширення віруси знаходять найрізноманітніші канали, причому до старих способів поширення постійно додаються все нові і нові.

Класичні способи поширення

Як ми вже говорили, перші файлові віруси поширюються разом з файлами програм в результаті обміну дискетами і програмами, завантаження програм з мережевих каталогів, Web - або FTP-серверів. Ви можете придбати вірус на компакт-диску з піратським ПЗ, взяти його разом з грою у свого друга або колеги по роботі.

Завантажувальні віруси потрапляють на комп'ютер, коли користувач забуває заражену дискету в дисководі, а потім перезавантажує ОС. Треба сказати, що завантажувальний вірус може також бути занесений на комп'ютер вірусами інших типів.

Макрокомандние віруси поширюються аналогічним чином в результаті обміну користувачів зараженими файлами офісних документів, таких як файли Microsoft Word, Microsoft Excel, Microsoft Access та інших.

Якщо заражений комп'ютер підключений до локальної мережі, вірус може легко «перестрибнути» на файл-сервер, а звідти через каталоги, доступні для запису, - на всі інші комп'ютери мережі. Так починається вірусна епідемія.

Системний адміністратор повинен пам'ятати, що вірус має в мережі такі ж права, що і користувач, на комп'ютер якого цей вірус пробрався. Тому він може потрапити в усі мережеві каталоги, доступні користувачеві. А якщо вірус завівся на робочої станції адміністратора мережі - треба чекати біди ...

Вірус поштою

Сьогодні електронна пошта проникла в усі сфери людської діяльності - від особистого листування до ділової кореспонденції. Як Ви знаєте, разом з повідомленням електронного листа може передаватися практично будь-який файл, а разом з файлом - і комп'ютерний вірус.

Зловмисник може надіслати Вам виконуваний файл вірусної або троянської програми, шкідливий програмний сценарій Visual Basic Script, заражену або троянську програму збереження екрану монітора - словом, будь-який небезпечний програмний код. Зрозуміло, електронна пошта служить і каналом поширення для макрокомандних вірусів, так як разом з повідомленнями часто відправляються офісні документи.

Для маскування розповсюджувачі вірусів часто користуються тим фактом, що за замовчуванням діалогова оболонка Microsoft Windows не відображує розширення зареєстрованих файлів. При цьому файл з ім'ям, наприклад, FreeCreditCard .txt .exe буде показаний користувачеві як FreeCreditCard .txt. Якщо користувач спробує відкрити такий файл в надії знайти в ньому цікаву інформацію, буде запущена на виконання шкідлива програма.

Більш того, через різних помилок, присутніх в програмному забезпеченні поштових клієнтів, іноді файл вкладення може запуститися автоматично!

Як приклад шкідливої ​​програми, що викликала недавно цілу епідемію, і розповсюджує поштою, можна привести вірус-черв'як W32 / Klez. Він може потрапити до електронної пошти завдяки помилці в браузері Microsoft Internet Explorer версії 5.01 або 5.5 без пакета оновлень SP2. Цей вірус замінює заголовок From в повідомленні знайденим на комп'ютері-жертві. Далі він намагається деактивувати антивірусні програми, запущені на комп'ютері. Цей вірус здатний поширюватися по локальній мережі через мережеві каталоги загального доступу, записувати себе в архіви типу RAR. Вірус-черв'як W32 / Klez розсилає по Інтернету документи, що зберігаються на дисках комп'ютера, і тому може викликати витік конфіденційної інформації.

Електронні листи часто приходять у вигляді документів HTML. Слід зауважити, що такі документи можуть включати в себе посилання на елементи управління ActiveX, аплети Java та інші активні компоненти. Через помилки в програмних клієнтів зловмисники можуть скористатися такими активними компонентами для впровадження вірусів і троянських програм на Ваш комп'ютер.

При отриманні повідомлення в форматі HTML поштовий клієнт показує його вміст в своєму вікні. Якщо повідомлення містить шкідливі активні компоненти, вони відразу ж запускаються і роблять свою чорну справу. Найчастіше таким способом поширюються троянські програми і черви.

Троянські Web-сайти

Навіть під час простого серфінгу сайтів Інтернету є ризик отримати вірусне зараження або «підчепити» троянську програму. Помилки в браузерах часто призводять до того, що шкідливі активні компоненти троянських Web-сайтів (елементи управління ActiveX або аплети Java) можуть впровадити на Ваш комп'ютер вірус або іншу шкідливу програму.

Тут використовується той же самий механізм поширення вірусів, що і при отриманні повідомлень електронної пошти в форматі HTML. Але зараження відбувається непомітно - активні компоненти Web-сторінок можуть не мати призначеного для користувача інтерфейсу і зовні ніяк себе не проявляти.

Ви можете отримати запрошення відвідати троянський сайт в звичайному електронному листі. Зацікавившись описом сайту і клацнувши посилання, розташовану в тілі електронного повідомлення, легко опинитися в небезпечному місці всесвітньої павутини.

Віруси в системах документообігу

Документи, що зберігаються в базах даних таких систем документообігу, як Lotus Notes і Microsoft Exchange, теж можуть містити віруси, а точніше кажучи, шкідливі дії. Вони можуть активізуватися при виконанні будь-яких дій над документом (наприклад, коли користувач клацає кнопку).

Так як ці віруси «живуть» не в файлах, а в записах баз даних, для захисту від них необхідно використовувати спеціалізовані антивірусні програми.

Нові та екзотичні віруси

У міру розвитку комп'ютерних технологій удосконалюються і комп'ютерні віруси, пристосовуючись до нових для себе сферах проживання. Новий вірус W32 / Perrun, повідомлення про який є на сайті компанії Network Associates (http://www.nai.com), здатний поширюватися ... через файли графічних зображень формату JPEG!

Відразу після запуску вірус W32 / Perrun шукає файли з розширенням імені JPG і дописує до них свій код. Після цього заражені файли JPEG будуть містити не тільки зображення, а й код вірусу. Треба сказати, що даний вірус не є небезпечним і вимагає для свого поширення окремої програми.

Серед нових «досягнень» творців шкідливих програм заслуговує на згадку вірус Palm.Phage. Він заражає додатки «наладонних» комп'ютерів PalmPilot, переписуючи файли цих додатків своїм кодом.

Поява таких вірусів, як W32 / Perrun і Palm.Phage, свідчить про те, що в будь-який момент може народитися комп'ютерний вірус, троянська програма або черв'як, нового, невідомого раніше типу, або відомого типу, але націленого на нове комп'ютерне обладнання. Нові віруси можуть використовувати невідомі або неіснуючі раніше канали поширення, а також нові технології впровадження в комп'ютерні системи.

У наступній нашій статті, присвяченій проблемам антивірусного захисту, ми розглянемо технології, методики і антивірусні засоби, за допомогою яких можна захиститися не тільки від відомих, але в ряді випадків і від нових, досі не досліджених шкідливих комп'ютерних програм.