Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты.
Что происходит, когда вы включаете компьютер? Первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ) т.е. ПНЗ ПЗУ.
Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А:
Всякая дискета размечена на т.н. секторы и дорожки. Секторы объединяются в кластеры, но это для нас несущественно.
Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас интересует сектор начальной загрузки (boot-sector).
В секторе начальной загрузки хранится информация о дискете — количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.
Я скачал вирус на свой пк
Таким образом, нормальная схема начальной загрузки следующая:
ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА
Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части: голову и т.н. хвост. Хвост может быть пустым.
Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва — в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:
• выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)
• копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор
• замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой
• организует цепочку передачи управления согласно схеме.
Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке
ПНЗ (ПЗУ) — ПНЗ (диск) — СИСТЕМА
появляется новое звено:
ПНЗ (ПЗУ) — ВИРУС — ПНЗ (диск) — СИСТЕМА
Топ антивирусов против «загрузочных» угроз
Вирусы, заражающие MBR, существуют давно: они появились уже во времена MS-DOS, когда мы с тобой играли в Doom 2 и были молодыми и красивыми. В последние несколько лет они снова подняли голову — теперь все их боятся и называют модным словом «буткиты». А что говорят по этому поводу товарищи антивирусы? Могут ли они бороться с такими угрозами? Вот это-то мы и проверим!
Тотальное УНИЧТОЖЕНИЕ ВИРУСОВ на ВАШЕМ ПК
Другие статьи в выпуске:
Хакер #156. Взлом XML Encryption
- Содержание выпуска
- Подписка на «Хакер» -60%
С угрозами в MBR’е и Boot-секторе у нас сегодня будут сражаться пять продуктов:
- BitDefender Internet Security 2012 — в последнее время этот антивирус здорово набрал обороты, к тому же движок BitDef покупают несколько сторонних компаний. Интересно посмотреть, что он из себя представляет.
- ESET NOD32 Smart Security 5 — тут и комментировать нечего, это второй по популярности антивирус в России после «Каспера».
- F-Secure Internet Security 2012 — достаточно известный продукт финской секьюрити-компании.
- Outpost Security Suite Pro 7.5 — продукт от компании Agnutim, которая делает классный файервол. Между прочим, халявный файервол от Outpost в свое время пользовался в нашей стране огромной популярностью. Пожалуй, сейчас его место в наших сердцах занял тоже халявный и всесторонне могучий Comodo.
- Rising Internet Security — антивирус от китайской компании Rising. Посмотрим, на что способны китайцы.
Let the contest begin
Первым делом я заразил Windows XP SP3 на VmWare буткитом Sinowal, который известен, обрати внимание, аж с 2009 года. Затем я с помощью Hiew убедился, что MBR действительно изменен, и стал поочерёдно устанавливать все продукты и сканировать (или пытаться сканировать) систему.
Тестирование я начал с BitDefender’а. Для меня стало неожиданностью, что этот антивирус вообще не смог установиться! На середине установки он предложил мне перезагрузить компьютер, а после перезагрузки открылось окно установщика (и по совместительству downloader’а), прогресс-бар в котором показывал 55 %. По прошествии некоторого времени эта цифра так и не изменилось. По-видимому, установленный Sinowal помешал BitDefender’у, что весьма грустно.
Ну а следующий испытуемый — NOD32 — не подвёл. Он успешно обнаружил не только сам дроппер в temp’е, но ещё и выявил заражение MBR’а. Очень радует, что этот популярный в России антивирус способен справляться с достаточно серьёзными угрозами.
Антивирус F-Secure Internet Security также успешно разобрался с буткитом и обозвал его Win32/Mebroot, как и NOD32. Любопытно, что в столбце «Объект» в GUI указано просто «Заражение системы». По-видимому, разработчики решили не пугать пользователей страшными названиями вроде MBR и «загрузочный сектор». А вот Outpost несколько разочаровал: он обнаружил только файловые компоненты Sinowal’а, а заражённый MBR пропустил. Пожалуй, продукт от Agnitum — это все-таки в первую очередь файервол, а не антивирус.
Rising вообще не удалось привести в работоспособное состояние. Я несколько раз пытался установить и нормально запустить китайское изделие, но потерпел неудачу. Сначала я было подумал, что проблема в VmWare, но оказалось, что это не так (подробнее читай дальше). По-видимому, именно Sinowal не дал антивирусу инсталлироваться.
Еще один буткит: Ghodow
После того, как все пять антивирусов были протестированы на системе, заражённой Sinowal’ом, я решил откатиться к чистому снэпшоту и запустить дроппер другого буткита. Хотя второй буткит не так широко известен, как Sinowal, антивирусы всё равно должны его детектировать, поскольку это злой вирус, который делает в системе много чего нехорошего. Называется он Win32/Ghodow.NAD (по данным ESET). В дальнейшем я буду называть его просто Ghodow.
Антивирус BitDefender снова постиг провал: на этот раз он не прошёл даже первый этап установки — «Сканировать системные файлы на наличие вирусов». Мастер установки предлагал мне несколько раз перезагрузить компьютер, загрузиться в BitDefender Rescue Mode, который представляет собой *nix-систему с антивирусным сканером, и выполнить многие другие действия. Однако в конечном итоге установщик выдал примерно такое лаконичное сообщение: «Установить BitDefender не удалось».
Ну а NOD32 и здесь не подкачал: он успешно обнаружил второй буткит в «MBR-секторе физического диска 0».
Но того, что произошло дальше, я совсем не ожидал. Ни один из трёх оставшихся антивирусов не смог обнаружить заразу в MBR’е, хотя каждый из них корректно установился и обновился. Более того, я пробовал различные варианты сканирования — от quick/поверхностного до руткит-сканирования системы. Однако ни один из них не привел к положительному результату, были обнаружены только компоненты буткита в файловой системе, что, конечно, не радует.
Попробуем по-своему
Однако руки мои продолжали чесаться, и я решил не останавливаться на достигнутом и сделать нестандартный MBR. Я написал в Hiew небольшой код, который копировал область памяти размером 0x200 с адреса 0x200 на адрес 0x1000 и передавал туда управление. Код, конечно, безвредный, но мне было любопытно, как отреагируют антивирусы на нестандартный MBR. Стоит отметить, что в этом случае и BitDefender, и Rising успешно установились, обновились и заработали. Таким образом, моё предположение о том, что установленные буткиты могут мешать инсталляции антивирусов, подтвердилось.
Оказалось, что измененный MBR совершенно не трогает железные сердца антивирусов. Таким образом, я предположил, что буткиты детектируются обычными сигнатурами и сделать вредоносный MBR, который бы не обнаруживался, совсем не проблема. Для проверки я проделал аналогичную операцию с кодом NTFS-загрузчика (по сути, с кодом бут-сектора) и получил тот же результат.
Заключение
Какие можно сделать выводы по результатам теста? Антивирусы недостаточно хорошо детектируют буткиты. На компьютер, инфицированный буткитом, встанет не каждый антивирусный продукт. Так что держись и, главное, не забывай перед выключением компьютера в дисководе А: сомнительные дискеты ;).
Источник: xakep.ru
Презентация, доклад Загрузочные вирусы
Вы можете изучить и скачать доклад-презентацию на тему Загрузочные вирусы. Презентация на заданную тему содержит 8 слайдов. Для просмотра воспользуйтесь проигрывателем, если материал оказался полезным для Вас — поделитесь им с друзьями с помощью социальных кнопок и добавьте наш сайт презентаций в закладки!
Презентации » Информатика » Загрузочные вирусы
Слайды и текст этой презентации
Слайд 1
Описание слайда:
Загрузочные вирусы.
Слайд 2
Описание слайда:
Что такое загрузочный вирус? Загрузочный вирус — такой вирус, который записывает свой код в главную загрузочную запись Master BootRecord диска или загрузочную запись Boot Record диска и дискет. Загрузочный вирус активизируется после загрузки компьютера.
Слайд 3
Описание слайда:
Пояснение. На первом шаге загрузки операционной системы (ОС) программа загрузки считывает содержимое специальных областей диска, называемых загрузочными записями. Эти записи обычно расположены в самом начале диска (или дискеты), и содержат программный код, необходимый для выполнения следующих шагов загрузки ОС.
Главная загрузочная запись, находящаяся на жестком диске, называется Master Boot Record (MBR). Аналогичная запись на дискете носит название Boot Record (BR). При заражении дискеты или жесткого диска компьютера загрузочный вирус заменяет загрузочную запись или главную загрузочную запись. В результате загрузочный вирус получает управление до программы загрузки ОС, в результате чего процедура управления выполняется под контролем вируса. Название загрузочный вирус подчеркивает тот факт, что вирус данного типа использует для своего распространения загрузочные записи дисков и дискет.
Слайд 4
Описание слайда:
Использование. 1)Удаление и искажение файлов. 2)Изменение(порча) таблицы размещения файлов на диске,которая отвечает за целостность данных. 3)Засорение оперативной памяти и памяти диска пустой инфой. 4)Замедление работы компа или его полная остановка.
Слайд 5
Описание слайда:
Признаки заражения. 1)программы перестают работать или начинают работать неправильно (например, «виснуть», производить неправильные расчеты, терять данные и т.д.); 2)на экран выводятся посторонние сообщения, символы, рисунки и т.д.; 3)работа на компьютере существенно замедляется или компьютер зависает; 4)происходит внезапная потеря данных на диске; 5)некоторые файлы оказываются испорченными, или они полностью удаляются т. д.
Слайд 6
Описание слайда:
Каким образом происходит заражение? Для того чтобы компьютер заразился вирусом, необходимо, чтобы этот вирус проник в компьютер.
Вирус может проникнуть с помощью переносных устройств, которые используются для передачи данных между компьютерами, через локальную вычислительную сеть организации, через другие вычислительные сети (например, через Интернет).Однако помимо проникновения вируса на компьютер существует еще одно условие заражение компьютера. Это условие заключается в том, чтобы на компьютере хотя бы один раз была выполнена программа, содержащая вирус. Поэтому непосредственное заражение компьютера вирусом может произойти в одном из следующих случаев:. 1)на компьютере была выполнена зараженная программа; 2)компьютер загружался с дискеты, содержащей зараженный загрузочный сектор; 3)на компьютере была установлена зараженная операционная система; 4)на компьютере обрабатывались файлы, содержащие в своем теле зараженны.
Слайд 7
Описание слайда:
Чтобы удалить вирус. Чтобы удалить вирус нужно просто напросто проверить комп антивирусом или в крайнем случае переустановить винду.
Слайд 8
Источник: myslide.ru