К данной категории относятся программы, распространяющие свои копии по ресурсам локального компьютера с целью:
· последующего запуска своего кода при каких-либо действиях пользователя;
• дальнейшего внедрения в другие ресурсы компьютера.
В отличие от червей, вирусы не используют сетевых сервисов для проникновения на другие компьютеры. Копия вируса попадает на удалённые компьютеры только в том случае, если зараженный объект по каким-либо не зависящим от функционала вируса причинам оказывается активизированным на другом компьютере, например:
• при заражении доступных дисков вирус проник в файлы, расположенные на сетевом ресурсе;
• вирус скопировал себя на съёмный носитель или заразил файлы на нем;
· пользователь отослал электронное письмо с зараженным вложением.
Некоторые вирусы содержат в себе свойства других разновидностей вредоносного программного обеспечения, например бэкдор-процедуру или троянскую компоненту уничтожения информации на диске.
ЖУТКИЙ ВИРУС В JPG КАРТИНКЕ. ЭТО КАК? | Как его удалить? Как от этого защититься? | UnderMind
Классификация классических вирусов
Типы компьютерных вирусов различаются между собой по следующим основным признакам:
1. Среда обитания. Под ней понимаются системные области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса. По среде обитания вирусы можно разделить на:
Файловые вирусы при своем размножении тем или иным способом используют файловую систему какой-либо (или каких-либо) ОС. Они:
• различными способами внедряются в исполняемые файлы (наиболее распространенный тип вирусов);
• создают файлы-двойники (компаньон-вирусы);
· создают свои копии в различных каталогах;
· используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot- сектор) либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Данный тип вирусов был распространён в 1990-х, но практически исчез с переходом на 32-битные операционные системы и отказом от использования дискет как основного способа распространения информации. Теоретически возможно появление загрузочных вирусов, заражающих СD-диски и USВ-флешек, но на текущий момент такие вирусы не обнаружены.
Многие табличные и графические редакторы, системы проектирования, текстовые процессоры имеют свои макро-языки для автоматизации выполнения повторяющихся действий. Эти макро-языки часто имеют сложную структуру и развитой набор команд. Макровирусы являются программами на макро-языках, встроенные в такие системы обработки данных. Для своего размножения эти вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.
2. Способ заражения. Под «способом заражения» понимаются различные методы внедрения вирусого кода в заражаемые объекты. Способы заражения
Файловые вирусы По способу заражения файлов они делятся на:
Как создать вирус?
· перезаписывающие вирусы (overwriting);
· паразитические вирусы (parasitic);
· вирусы, заражающие объектные модули (ОВJ);
· вирусы, заражающие библиотеки компиляторов (LIВ);
· вирусы, з аражающие исходные тексты программ.
Overwriting — метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.
Parasitic – к паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending) в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).
Известны два способа внедрения паразитического файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого файла в его конец, а сам копируется в освободившееся место рис. 3.1. При заражении файла вторым способом вирус дописывает заражаемый файл к своему телу
родившееся., заражении файла вторым способом вир)
Рис. 3.1. Внедрение вируса в начало файла первым способом.
Рис. 3.2. Внедрение вируса в начало файла вторым способом.
Таким образом, при запуске зараженного файла первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).
Внедрение вируса в конец файла
Наиболее распространенным способом внедрения вируса в файл являете дописывание вируса в его конец рис. 3.3.
Рис. 3.3. Внедрение вируса в конец файла
При этом вирус изменяет начало файла таким образом, что первыми выполняемыми командами программы, содержащейся в файле, являются команды вируса.
Для того чтобы получить управление при старте файла, вирус корректирует стартовый адрес программы (адрес точки входа). Для этого вирус производит изменения в заголовке файла.
Внедрение вируса в середину файла
Существует несколько методов внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или «раздвигает» файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом сжимают переносимый блок файла так, что длина файла при заражении не изменяется.
Вторым является метод «саvity», при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в задействованные области заголовка ЕХЕ-файла, в «дыры» между секциями ЕХЕ-файла или в область текстовых сообщений популярных компиляторов. Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.
Кроме того, копирование вируса в середину файла может произойти в результате ошибки вируса, в этом случае файл может быть необратимо испорчен.
Вирусы без точки входа
Отдельно следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (ЕРО-вирусы – Entry Point Obscuring viruses). К ним относятся вирусы, не изменяющие адрес точки старта в заголовке ЕХЕ-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управление на тело вируса. Причем выполняться эта процедура, может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных условиях.
Перед тем, как записать в середину файла команду перехода на свой код, вирусу необходимо выбрать «правильный» адрес в файле — иначе зараженный файл может оказаться испорченным. Известны несколько способов, с помощью которые вирусы определяют такие адреса внутри файлов, например, поиск в файле последовательности стандартного кода заголовков процедур языком программирования (С/Паскаль), дизассемблирование кода файла или замена адресов импортируемых функций.
Companion. К этой категории относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник, т. е. вирус.
К вирусам данного типа относятся те из них, которые при заражении переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого файла. Например, файл МОТЕРАD.ЕХЕ переименовывается в МОТЕРАD.ЕXD), а вирус записывается под именем МОТЕРАD.ЕХЕ. При запуске управление получает код вируса, который затем запускает оригинальный МОТЕРАD.ЕХЕ.
Возможно существование и других типов вирусов-компаньонов использующих иные оригинальные идеи или особенности других операционных систем. Например, РАТН-компаньоны, которые размещают свои копии в основном каталоге, используя тот факт, что этот каталог является первым в списке РАТН, и файлы для запуска в первую очередь будет искать именно в нем. Данным способом самозапуска пользуются также многие компьютерные черви, троянские программы.
Прочие способы заражения
Существуют вирусы, которые никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копия: «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSТАLL.ЕХЕ или WINSТАRТ.ВАТ.
Некоторые вирусы записывают свои копии в архивы (АRJ, ZIР, RАR). Другие записывают команду запуска зараженного файла в ВАТ-файлы.
Linк-вирусы также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы.
Загрузочные вирусы
Известные на текущий момент загрузочные вирусы заражают загрузочный сектор гибкого диска и или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах, запуска системы при включении или перезагрузке компьютера – после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного или СD-RОМ в зависимости от параметров, установленных в ВIOS и передает на него управление. При заражении дисков загрузочные вирусы «подставляют» свой код вместо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.
Заражение дискет производится единственным известным способом – вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается 3 возможными способами — вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска С:), либо адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в МВR винчестера.
Рис. 3.4. Незараженный диск.
Рис. 3.5. Зараженный диск (подмена boot/МВR).
| I | |
| 4 | | |
| Модифицированная | модифицИроВаННаЯ |
3.6. Зараженный диск (подмена активного boot-сектора в Disk Partition Table)
При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или МВR) в какой-либо другой сектор диска (например, первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).
Макровирусы
Наибольшее распространение получили макровирусы для MS Office (Word, Ехсеl и PowerPoint), хранящих информацию в формате ОLE2 (Object Linking and Embedding). Вирусы в прочих приложениях достаточно редки.
Физическое расположение вируса внутри файла MS Office зависит от его формата, который в случае продуктов MS чрезвычайно сложен — каждые файл-документ или таблица Ехсеl представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных. По причине такой сложности форматов файлов представитm расположение макро-вируса в файле можно лишь схематично:
Рис. 3.7, Расположение макровируса в файле
При работе с документами и таблицами MS Office выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом MS Office, например, ищет и выполняет соответствующие «встроенные макросы» — при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs — FileSaveAs, при печати документов — File/Print и т.д., если, конечно, таковые макросы определены.
Существует также несколько «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии документа МS проверяет наличие макроса AutoOpen. Если такой макрос присутствует, то выполняет его. При закрытии документа выполняет макрос AutoClose, при запуске вызывается макрос AutoExec, при завершении работы — AutoExit, при создании нового документа — AutoNew.
Автоматически (т.е.- без участия пользователя) выполняются также макросы/функции ассоциированные с какой-либо клавишей либо моментом времени или датой, т.е. МS вызывает макрос/функцию при нажатии на какую-либо конкретную клавишу (или клавиш) либо при достижении какого-либо момента времени.
Макро-вирусы, поражающие файлы MS Office как правило, пользуются одним из перечисленных выше приемов — в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Получив управление макро-вирус переносит свой код в другие файлы, обычно в файлы, которые редактируются в данный момент. Реже макро вирусы самостоятельно ищут другие файлы на диске.
Скрипт-вирусы
Следует отметить также скрипт-вирусы, являющиеся подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, ВАТ, PHP). Они либо заражают другие скрипт-программы (командные и служебные файлы Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, html), если в них возможно выполнение скриптов.
Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:
Источник: studopedia.ru
Внедрение вируса в конец файла
Наиболее распространенный случай (до 95%) — внедрение вируса в файл дописыванием в конец этого файла (appending). При этом вирус обязательно изменяет начало файла таким образом, чтобы управление сразу передавалось на тело вируса.
У COM-файла вирус изменяет первые три байта (иногда больше)
а) либо на коды инструкции “Jmp адрес вируса” (это команда перехода на тело вируса);
б) либо на коды программы, передающей управление на тело вируса.
Оригинальные три байта начала файла вирус обязательно считывает и сохраняет.
У EXE-файла
а) модифицируется его заголовок. В заголовке изменяются
· значение стартового адреса
· значение длины выполняемого файла
· регистры — указатели на стек (редко)
· контрольная сумма файла (редко);
б) иногда EXE-файл переводится в формат COM и затем заражается как COM-файл.
Способ, при котором вирус дописывается в конец файла и изменяет у COM-файла первые несколько байт, а у EXE-файла — несколько полей заголовка, часто называется стандартным способом заражения файлов.
МАСКИРОВКА ВИРУСОВ
Основная задача вируса — распространение. И поэтому вирусу необходимо как можно дольше скрывать свое присутствие в системе, ведь чем дольше он будет оставаться незамеченным, тем дальше он сможет распространиться.
Вирусы скрывают свое присутствие по-разному.
Одни вирусы проявляются не сразу, а через некоторое время, давая возможность самому себе как можно больше размножиться. Поэтому многие вирусы ставят такие свои деструктивные действия в зависимость от каких-либо определенных условий. Например:
а) многие вирусы проявляются в один или некоторые определенные дни;
б) другие вирусы ставят свое проявление в зависимость от случайностей всевозможного рода. Например, только если значение минут таймера меньше N; или проверяет отсутствие ввода с клавиатуры в течение N минут; vмногие загрузочные вирусы любят уничтожать секторы дисков, вычисляя вероятность (1/8 или 1/16);
в) иногда авторы вирусов ставят счетчики на количество нажатий на клавиши, на количество зараженных файлов или секторов и в зависимости от их значений обнаруживают свои вирусы.
Иногда авторы вирусов заменяют некоторые компоненты операционной системы, например, прерывания, драйверы так, что программа-вирус становится невидимой для других программ. Такие вирусы называются вирусами-невидимками, или стелс-вирусами (Stealth — невидимка).
Stealth-вирусы всегда резидентны. Резидентный модуль перехватывает обращение операционной системы к пораженным файлам или секторам дисков и “подставляет” вместо них исходные объекты.
Так Stealth-вирусы скрываются от опытного пользователя и многих антивирусных средств, которые осуществляют ранний поиск вирусов по изменениям длин файлов контрольных сумм и содержимого загрузочных секторов.
Необходимо заметить, что Stealth-вирус невидим только тогда, когда его резидентный модуль находится в оперативной памяти компьютера.
Для того, чтобы затруднить обнаружение, некоторые вирусы шифруют свой код.
С понятием компьютерного вируса тесно связанодругое понятие — сигнатура.
Сигнатура — это фрагмент кода, встречающийся во всех копиях вируса и только в них. Сигнатура однозначно определяет наличие или отсутствие вируса.
Очевидно, что для поиска тела вирусов на дисках антивирусными средствами невозможно (не хватит памяти!) хранить полные коды программ-вирусов. Поэтому разработчики антивирусных средств поступают следующим образом: для поиска вирусов они хранят их сигнатуры. Такой поиск кодов вирусов называется сигнатурным поиском.
Простейшая техника шифрования выглядит следующим образом: каждый раз, когда вирус заражает новую программу, он зашифровывает свой собственный код, используя новый ключ. Ключ шифрования зависит от заражаемого файла (например, его имени или длины). В результате два экземпляра одного и того же вируса могут значительно отличаться друг от друга, и даже иметь различную длину! Это затрудняет обнаружение вируса с помощью сигнатурного поиска. Ведь зашифрованный код уже не имеет той же сигнатуры.
Шифрующиеся вирусы при получении управления первым делом расшифровывают свой код с помощью процедуры расшифровки, а затем выполняют все остальные действия.
Шифрующиеся вирусы называют иногда вирусами-”призраками”.
Итак, шифрующиеся вирусы скрывают сигнатуру своего кода
А полиморфные вирусы для шифрования используют не только разные ключи, но и разные процедуры шифрования. Два экземпляра такого вируса не имеют ни одной совпадающей последовательности кода.
Вирусы, которые благодаря использованию разных расшифровщиков, могут полностью изменять свой код, называются полиморфными вирусами (polymorphic).
Эти вирусы дополнены генераторами расшифровщиков. Такой генератор создает для каждой новой копии вируса свой собственный расшифровщик, отличный от всех остальных, но выполняющий ту же функцию. Это достаточно сложно. Такие задачи относятся уже к автоматизации программирования.
В последнее время авторы компьютерных вирусов “вывели” самые современные виды вирусов, в которых нет ни одного постоянного БИТА информации. Это достигается перестановкой команд расшифровщика, разбавлениями ничего не значащими командами типа NOP, STI, CLI, STC, CLC и т.д. и т.п. В результате в начале файла, зараженного подобным образом, идет набор бессмысленных на первый взгляд команд, и среди них изредка проскальзывают рабочие команды.
На настоящий момент известно огромное количество полиморфных вирусов.
В настоящее время создавать полиморфные вирусы могут не только специалисты с высокой квалификацией. Существуют специальные средства разработки полиморфных вирусов. Вот названия российских и зарубежных разработок полиморфных вирусов:
· Mutation Engine (MtE-вирусы),
· AWME (Anti WEB Mutation Engine).
· CLME (Crazy Lord Mutation Engine),
· DSCE (Dark Slayer Confusion Engine),
· GCAE (Golden Cicada Abnormal Engine),
· NED (NUKE Encription Device),
· SMEG (Simulated Metamorfic Encription Generator),
· TPE (Trident Polymorfic Engine),
· VICE (Virogen’s Irreguar Code Engine).
Макровирусы
Макровирусы используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.).
Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макроязыка со следующими возможностями:
1) привязка программы на макроязыке к конкретному файлу;
2) копирование макропрограмм (далее макросов) из одного файла в другой;
3) возможность получения управления макросом без вмешательства пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют редакторы Microsoft Word и AmiPro, а также редактор электронных таблиц Excel. Эти системы содержат в себе макроязыки (Word — Word Basic, Excel — Visual Basic). В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение.
Макровирусы активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.
Word/Excel-вирусы
При работе с документом текстовый редактор Word (либо Excel) выполняет различные действия — открывает документ, сохраняет, печатает, закрывает и т.д. При этом Word ищет и выполняет соответствующие макросы — при сохранении файла вызывается макрос FileSave, при сохранении по команде File/SaveAs — FileSaveAs, при печати документов — FilePrint и т.д. если, конечно, таковые макросы определены. При открытии документа Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его. При закрытии документа Word выполняет макрос AutoClose.
Вирусы семейства Macro.Word содержат в себе как минимум один из автоматических макросов (AutoOpen, AutoClose, AutoExec, AutoExit, AutoNew) или один из стандартных макросов (FileOpen, FileClose, FileSaveAs и т.д.). Если документ заражен, то при открытии документа Word вызывает зараженный автоматический макрос AutoOpen (или AutoClose при закрытии документа) и, таким образом, запускает код вируса, если это не запрещено системной переменной DisableAutoMacros. Если же вирус содержит макросы со стандартными именами, то они получают управление при вызове соответствующего пункта меню (File/Open, File/Close, File/SaveAs).
Во всех известных вирусах семейства Macro.Word макросы AutoOpen/AutoClose и (или) макросы со стандартными именами содержат команды переноса макросов вируса в область глобальных (общих) макросов Word, т.е. при запуске Auto-макроса или при вызове соответствующей стандартной функции вирус заражает область глобальных макросов. При выходе из Word глобальные макросы (включая макросы вируса) автоматически записываются в DOT-файл глобальных макросов (обычно таким файлом является NORMAL.DOT). Таким образом, при следующем запуске Word’а вирус активизируется в тот момент, когда Word грузит глобальные макросы, т.е. сразу.
Затем вирус переопределяет один или несколько стандартных макросов (например, FileOpen, FileSave, FileSaveAs, FilePrint) и перехватывает таким образом команды работы с файлами. При вызове этих команд вирус заражает файл, к которому идет обращение. Для этого вирус конвертирует файл в формат Template (что делает невозможной дальнейшие изменения формата файла, т.е. конвертирование в какой-либо не-Template формат) и записывает в файл свои макросы, включая Auto-макрос.
Таким образом, если вирус перехватывает макрос FileSaveAs, то заражается каждый DOC-файл, сохраняемый через перехваченный вирусом макрос. Если перехвачен макрос FileOpen, то вирус записывается в файл при его считывании с диска.
Следует отметить, что Word позволяет шифровать присутствующие в документе макросы. Таким образом, некоторые Macro.Word-вирусы присутствуют в зараженных документах в зашифрованном виде.
Характерными проявлениями вирусов семейства Macro.Word являются следующие.
1. Невозможность конвертирования зараженного документа Word в другой формат.
2. Невозможность записи документа командой «Save As».
3. Зараженные файлы имеют формат Template. При заражении вирусы WinWord конвертируют файлы из формата Word Document в Template.
Защита от макровирусов
Существует несколько приемов и встроенных в Word/Excel функций, направленных на предотвращение запуска вируса. Наиболее действенной из них является защита от вирусов, встроенная в Word и Excel (начиная с версий 7.0a). Эта защита при открытии файла, содержащего любой макрос, сообщает о его присутствии и предлагает запретить этот макрос. В результате макрос не только не выполняется, но и не виден средствами Word/Excel.
Такая защита является достаточно надежной, однако абсолютно бесполезна, если пользователь работает с макросами (любыми): она не отличает макросы вируса от не-вируса и выводит предупреждающее сообщение при открытии практически любого файла. По этой причине защита в большинстве случаев оказывается отключенной, что дает возможность вирусу проникнуть в систему. К тому же включение защиты от вирусов в уже зараженной системе не во всех случаях помогает — некоторые вирусы, однажды получив управление, при каждом запуске отключают защиту от вирусов и таким образом полностью блокируют ее.
Частично защититься от вирусов Macro.Word можно при помощи системного макроса DisableAutoMacros, который запрещает автоматический запуск Auto-макросов при работе с файлами. Однако при этом не запрещается макрос AutoExec и не запрещается запуск макросов со стандартными именами. И поэтому DisableAutoMacros блокирует только те вирусы, которые для своего распространения используют один из авто-макросов.
Запуск Word с опцией /M (или с нажатой клавишей Shift) отключает только один макрос AutoExec и таким образом также не может служить надежной защитой от вируса.
Java-вирусы
Написаны на языке программирования Java и являются стандартными Java-программами. Заражают приложения Java (Java applications). Размножаются, если зараженный файл запустить как дисковую Java-программу при помощи Java-машины.
Первый известный вирус, заражающий приложения Java, обнаружен в августе 1998 года.
Обычно эти вирусы не способны размножаться при запуске под известными браузерами (при стандартных настройках). Встроенные в браузеры системы защиты не позволяют вирусу получить доступ к файлам.
Java-вирус не в состоянии получить доступ к своему коду в системной памяти — в языке Java отсутствуют необходимые для этого функции. Поэтому перед тем, как перейти к поиску и заражению Java-апплетов, вирус определяет свой собственный файл (файл-носитель), разбирает его заголовок, внутренний формат и затем считывает из него свой код. Затем вирус ищет Java-файлы (файлы с расширением.class), разбирает их внутренний формат, вставляет в файл собственную процедуру и внедряет команду ее вызова в основной класс заражаемого файла.
Иногда при размножении Java-вирус записывает в поражаемые Java-файлы только небольшую часть своего кода (так называемый «стартер»), а основной код вируса при этом хранится на удаленном Web-сервере.
В таком случае инфицированный Java-файл при инициализации устанавливает соединение с удаленным Web-сервером, считывает основную часть вируса и передает ей управление. Код в основной части вируса ищет файлы с расширением.class и заражает их. При заражении Java-файлов вирус разбирает их внутренний формат, записывает в файл код стартера вируса в виде подпрограммы и добавляет в код конструктора файла ее вызов. В качестве параметра передается имя файла с основным кодом вируса.
Заметим, что разделение кода вируса на две части: «стартер – вирус» позволяет автору вируса «апгрейдить» его код и заражать удаленные компьютеры новыми версиями вируса.
Скрипт-вирусы
Скрипт-вирусы являются скрипт-программами на PHP. Они заражают файлы с расширением.php (иногда и.htm). Записываются в начало или в конец файлов (иногда записывают только ссылку на свой код).
Вирусы работоспособны только в системах с установленным PHP-нтерпретатором.
Первый известный вирус, заражающий скрипт-программы PHP, был обнаружен в октябре 2000 года.
Некоторые скрипт-вирусы используют интересный метод заражения: в заражаемый файл записывается не код вируса, а всего одна команда «include», которая подключает («вставляет») код вируса в файл при его обработке.
При открытии зараженного файла скрипт-машина PHP обрабатывает команду «include», считывает код вируса из указанного файла и выполняет его.
Таким образом, код вируса присутствует в системе в единственном экземпляре, а все зараженные файлы всего лишь подключают его. Заметим, что при таком способе заражения вирус не в состоянии самостоятельно распространяться за пределы зараженного компьютера.
Файловые черви
Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL.EXE или WINSTART.BAT.
Существуют вирусы-черви, использующие довольно необычные приемы, например, записывающие свои копии в архивы (ARJ, ZIP и прочие). Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы.
Не следует путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении пользуются сетевыми протоколами.
Вирусы — «черви» (worms), или Сетевые вирусы
Вирусы, которые распространяются в компьютерной сети и не изменяют файлы или секторы дисков. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается — сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.
Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы «Cristmas Tree» и «Wank Worm. Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени — вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а «задние двери» закрыты.
Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением вирусов «Macro.Word.ShareFun» и «Win.Homer». Первый из них использует возможности электронной почты Microsoft Mail — он создает новое письмо, содержащее зараженный файл-документ («ShareFun» является макро-вирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус «автоматически» внедряется в компьютер адресата зараженного письма.
Этот вирус иллюстрирует первый тип современных сетевых вирусов, которые объединяют возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции автозапуска, необходимые для распространения вируса.
Второй вирус («Homer») использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном сервере, этот вирус можно охарактеризовать как «полусетевой», однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.
Возможны, конечно же, и другие способы проникновения вирусов в современные сети.
МЕТОДЫ И СРЕДСТВА
Источник: megalektsii.ru
Актуальные способы внедрения компьютерных вирусов в информационные системы
Рудниченко, А. К. Актуальные способы внедрения компьютерных вирусов в информационные системы / А. К. Рудниченко, М. В. Шаханова. — Текст : непосредственный // Молодой ученый. — 2016. — № 11 (115). — С. 221-223. — URL: https://moluch.ru/archive/115/30348/ (дата обращения: 03.07.2023).
В статье рассматриваются два наиболее актуальных в настоящее время способа внедрения компьютерных вирусов на компьютеры пользователей. Описываются способы защиты от них. Данная статья носит ознакомительный характер и не является призывом к действию.
Ключевые слова: вирус, вредоносная программа, информационная система, компьютер, юникод, RLO, джойнер.
Современный Интернет состоит не только из полезной информации, поэтому используя его, следует учитывать, чем может обернуться незнание тонкостей внедрения компьютерных вирусов.
Стоит отметить, что в настоящее время, современные вирусы уже не такие, как раньше. Если тогда, вирус мог быть бесполезен и наводил страх на жертву, то сейчас вредоносные программы выполняют утилитарные функции и, чаще всего, в скрытом режиме. Это может быть создание огромной компьютерной сети с целью сетевых атак, сбор паролей, шпионаж.
С течением времени меняются не только вирусы, но и методы их внедрения и сложность их последующего удаления. Если раньше, вредоносная программа могла быть без иконки с расширением “.exe” и это было нормально, то сейчас современный пользователь уже подумает, перед тем, как его открыть. Поэтому злоумышленники, которые разрабатывают вирусы и распространяют их, пытаются обойти антивирусные защиты и возможность отслеживания вируса вручную.
На данный момент существует два актуальных способа внедрения компьютерных вирусов, о которых пользователи не догадываются, а антивирусы не имеют достаточного опыта для своевременного их отслеживания:
– Использование джойнера (joiner) файлов с последующим распространением под видом рядовой программы.
– Использование символов юникода в названии файлов вирусов.
Использование джойнера.
Джойнер (joiner) — программа, которая позволяет “склеивать” вредоносную программу с любым файлом в конечный формат “.exe”. Таким образом, взяв, к примеру, дистрибутив программы 2ГИС, становится возможным связать его с вирусом и отправить как обычный инсталлятор обычному пользователю.
Самым простым джойнером является любой архиватор (например, WinRAR). Архиваторы имеют функцию создания самораспаковывающихся архивов SFX, у которых на выходе расширение “.exe”. Таким образом, в архив добавляются два исполняемых файла и запаковываются. Далее, остаётся методом простого обмана заставить пользователя компьютера открыть данный архив и с этого момента процесс не обратим.
К слову, антивирусы никак не реагируют на данный метод склейки файлов, так как он считается легальным. SFX-архивы используются в повсеместном использовании, хоть и не так часто, как это было задумано. Разработчики антивирусов не берут во внимание тот факт, что данным способом также пользуются в корыстных целях.
Использование символов юникода.
Юникод — один из стандартов кодирования символов. Позволяет представить знаки почти всех письменных языков. Операционная система Windows поддерживает символы юникода в названиях файлов. А так как, Windows является самой распространённой системой на ПК, то значит и злоумышленник имеет некоторое преимущество перед жертвой.
Юникод в название файла добавить очень просто, достаточно вызвать контекстное меню и выбрать нужный символ (рис. 1). В нашем случае, это код RLO (Начать отмену справа налево).
Рис. 1. Демонстрация вставки символа юникода RLO
Суть данного кода — зеркалирование символов после вставленного кода. Например, файл имеет название “TESTgpj.exe”, вставив RLO после “TEST”, то получим: “TESTexe.jpg”. Смысл перестановки расширений файлов в том, что обычный пользователь в первую очередь посмотрит на расширение файла, чтобы не заразить свой компьютер. Жертва, руководствуясь своими базовыми знаниями, поймёт, что это изображение (формат “.jpg”) и отбросит всякие подозрения.
Антивирусные программы также бессильны в данном случае, так как просто-напросто не проверяют названия файлов на символы юникода в нём. Данная функция в операционной системе Windows является стандартной.
Способы защиты.
Использование профессионального джойнера никак нельзя отследить на готовом файле с расширением “.exe”. В таком случае лучше обезопасить себя, скачивая необходимые программы с официальных сайтов разработчиков. Что касается джойнера SFX-архивом, то его можно отследить, попробовав открыть готовый файл архивом. Если открывается архив без каких-либо ошибок, значит подозрения оправдываются.
В случае юникода в имени файла проверить подлинное расширение можно через меню “Свойства”. Графа “Тип файла”. Если там написано “Приложение (.exe)”, то стоит задуматься.
Данные способы внедрения существуют довольно давно и до сих пор являются проблемой для рядовых пользователей. Если человек не разбирается в компьютере также хорошо, как продвинутый пользователь, то он вряд ли заподозрит вредоносную программу в таких случаях, ведь с виду ничего необычного нет. К сожалению, антивирусные компании не берут во внимание данные аспекты в компьютерной вирусологии, что даёт возможность злоумышленникам использовать данные методы заражения всё снова и снова…
1. Климентьев К. Е. Компьютерные вирусы и антивирусы: взгляд программиста. М.: ДМК-Пресс, 2013. — 656 с.
2. Самораспаковывающийся архив // Википедия — URL: https://ru.wikipedia.org/wiki/ Самораспаковывающийся_архив
3. Юникод // Википедия — URL: https://ru.wikipedia.org/wiki/Юникод
4. Unicode Character ‘RIGHT-TO-LEFT OVERRIDE’ (U+202E) // FileFormat.info — URL: http://www.fileformat.info/info/unicode/char/202e/index.htm
Основные термины (генерируются автоматически): RLO, вредоносная программа, вирус, SFX, готовый файл, использование символов, обычный пользователь, операционная система, способ внедрения, способ защиты.
Источник: moluch.ru