омп'ютерн≥ науки > ўо таке комп'ютерн≥ в≥руси, ¤к про¤вл¤ють себе комп'ютерн≥ в≥руси

ўо таке комп'ютерн≥ в≥руси, ¤к про¤вл¤ють себе комп'ютерн≥ в≥руси

≤з загальноњ точки зору комп'ютерн≥ в≥руси ¤вл¤ють собою програми, ¤к≥ мають здатн≥сть до прихованого розмноженн¤ у середовищ≥ операц≥йноњ системи за допомогою включенн¤ у код, що виконуЇтьс¤, (програми, компоненти операц≥йноњ системи, пакетн≥ файли, текст, що комп≥люЇтьс¤, тощо) своЇњ, можливо модиф≥кованоњ коп≥њ, ¤ка збер≥гаЇ здатн≥сть до подальшого розмноженн¤.  р≥м функц≥њ розмноженн¤ (зараженн¤ ≥нших файл≥в) комп'ютерн≥ в≥руси виконують, ¤к правило, т≥ чи ≥нш≥ деструктивн≥ д≥њ, про ¤к≥ мова бути йти дал≥.

÷ей вар≥ант належить ћ.Ѕезрукову ≥ базуЇтьс¤ на означенн≥, даному у 1989 р. ‘. оуеном (F.Cohen) п≥онером першого серйозного досл≥дженн¤ комп'ютерних в≥рус≥в.

«а способом зараженн¤ б≥льш≥сть комп'ютерних в≥рус≥в можна п≥дрозд≥лити на два класи: файлов≥ та бутов≥ в≥руси. –озгл¤немо коротко механ≥зми њх д≥њ.

Ќайпоширен≥шим засобом зараженн¤ файлу в≥русом Ї дописуванн¤ його т≥ла у к≥нець файлу (див. рис. 1). ѕри цьому, щоб при запуску зараженого файлу одразу одержати управл≥нн¤, в≥рус зам≥сть початку файлу, ¤кий приховуЇ у своЇму т≥л≥, ставить команду переходу на себе. ѕ≥сл¤ того, ¤к в≥рус в≥дпрацював, в≥н передаЇ управл≥нн¤ файлу-жертв≥. ¬ де¤ких випадках, ¤кщо в силу тих чи ≥нших причин початок файлу, що ≥нф≥куЇтьс¤, не збер≥гаЇтьс¤, або Ї ще ¤к≥сь "помилки" у в≥рус≥, файл буде з≥псований ≥ його подальше л≥куванн¤ буде неможливим.

ќстанн≥м часом поширились в≥руси, що перезаписують початок файлу-жертви (File Overwriters), не зм≥нюючи його довжину. «розум≥ло, що ≥нф≥кована таким чином програма зам≥сть свого д≥йсного початку м≥стить в≥рус ≥ буде безповоротно з≥псована, залишаючись в змоз≥ лише заражати ≥нш≥ програми. як правило, вказан≥ в≥руси п≥д час своЇњ д≥њ ≥нф≥кують ¤комога б≥льше файл≥в ≥, в залежност≥ в≥д р≥зних умов, виконують т≥ чи ≥нш≥ додатков≥ руйн≥вн≥ д≥њ. ѕрикладами цих в≥рус≥в Ї: Abraxas-3, Banana, Burger, Bloodlust, Bk Monday, Cossiga, Clint, Druid та багато ≥нших.

«ауважимо, що в≥руси можуть записувати своЇ т≥ло також у к≥нець або середину файлу-жертви. ќстанн≥м часом з'¤вились в≥руси, ¤к≥ впроваджують себе до файлу, що заражаЇтьс¤ окремими "пл¤мами". ѕри запису у середину файлу в≥рус ≥нколи знаходить "порожн≥" м≥сц¤ ≥ прим≥щуЇ туди своЇ т≥ло, не зм≥нюючи довжину жертви. ” б≥льшост≥ випадк≥в довжина ≥нф≥кованого файлу зб≥льшуЇтьс¤ на де¤ку величину, що, ¤к правило, Ї пост≥йною дл¤ в≥русу, ¤кий заразив його. ÷¤ величина зветьс¤ довжиною в≥русу ≥ вим≥рюЇтьс¤ звичайно у байтах. ” б≥льшост≥ випадк≥в в≥руси пишутьс¤ на мов≥ јсемблера, ≥нколи на мовах високого р≥вн¤ (Pascal, C тощо). ” першому випадку довжина в≥рус≥в пор≥вн¤но невелика (SillyCR.76 мабуть, св≥товий рекордсмен малих резидентних в≥рус≥в, що збер≥гаЇ працездатн≥сть ≥нф≥кованоњ програми, маЇ довжину у 76 байт), у другому може бути у дек≥лька дес¤тк≥в  байт (MiniMax 31125 байт). ÷≥каво, що ≥снують в≥руси (DICHOTOMY), ¤к≥ при зараженн≥ записують частини свого т≥ла у два р≥зних файли (296 + 567 байт).

–ис. 1. —хема д≥њ файлового в≥русу

¬ажливою характеристикою в≥рус≥в Ї здатн≥сть багатьох з них залишатись у пам'¤т≥ комп'ютера п≥сл¤ запуску ≥нф≥кованого файлу. “ак≥ в≥руси називають резидентними. «розум≥ло, що резидентн≥ в≥руси уражають файли набагато част≥ше н≥ж нерезидентн≥.

Ѕутов≥ в≥руси заражають Boot-сектор в≥нчестера або дискет. ћехан≥зм зараженн¤ цими в≥русами представлений на рис. 2. ¬≥рус записуЇ початок свого т≥ла до Boot-сектора, а решту у в≥льн≥ (≥нколи зайн¤т≥) кластери, пом≥чаючи њх ¤к поган≥. “уди ж в≥рус прим≥щуЇ також ≥ справжн≥й запис Boot-сектора, щоб пот≥м передати йому управл≥нн¤. «а своЇю природою бутов≥ в≥руси завжди резидентн≥.

–ис. 2. —хема д≥њ бутового в≥русу

ќстанн≥м часом з'¤вились окрем≥ в≥руси, ¤к≥ заражають ≥ Boot-сектори (або Master Boot записи) ≥ файли. “ак≥ в≥руси звутьс¤ файлово-бутовими (Multi-Partite Viruses). ѕрикладом таких, поки що дуже р≥дких в≥рус≥в, Ї в≥рус One_Half, що розгл¤даЇтьс¤ дал≥.

 р≥м того Ї в≥руси, механ≥зм зараженн¤ ¤ких суттЇво в≥др≥зн¤Їтьс¤ в≥д розгл¤нутих вище механ≥зм≥в. ѕершим таким в≥русом був в≥рус DIR. ÷ей в≥рус не заражував виконуван≥ файли, а лише зм≥нював у каталогах посиланн¤ на початок файлу-жертви, так щоб воно тепер вказувало на т≥ло в≥русу, ¤кий м≥стивс¤ в Їдиному екземпл¤р≥ на всьому диску. “аким чином при запусканн≥ будь-¤коњ зараженоњ програми в≥рус одержував управл≥нн¤ першим, а п≥сл¤ в≥дпрацюванн¤ передавав управл≥нн¤ запущен≥й програм≥. —хема д≥њ в≥русу DIR приводитьс¤ на рис. 3.

–ис. 3. —хема д≥њ в≥русу DIR

—учасн≥ в≥руси застосовують найр≥зноман≥тн≥ш≥ засоби, з метою утруднити роботу по њх ви¤вленню, розшифруванню та знешкодженню.

¬ пол≥морфн≥ в≥руси (Self-Encrypting Polymorphic Viruses) встроюютьс¤ так зван≥ пол≥морфн≥ генератори в≥русних шифрувальник≥в та розшифрувальник≥в (MtE MuTation Engine механ≥зми утворенн¤ пол≥морфних коп≥й), ¤к≥ зм≥нюють њх коди з часом.

«начна частина сучасних в≥рус≥в використовуЇ так звану Stelh-технолог≥ю (за аналог≥Їю ≥з назвою в≥домого л≥така). ÷≥ в≥руси-невидимки самол≥кв≥дуютьс¤ при спроб≥ досл≥дженн¤ њх за допомогою в≥дпов≥дних засоб≥в (в≥длагоджувач≥ та трасувальники), видають ≥нформац≥ю, начебто уражений комп'ютер не маЇ ≥нфекц≥њ ≥ т.п. “ак, вже один ≥з перших в≥рус≥в BRAIN при спроб≥ прогл¤данн¤ зараженого Boot-сектора виводив не своЇ т≥ло, що знаходилось там, а справжн≥й не ≥нф≥кований запис. ¬≥рус DARK AVENGER "п≥дправл¤в" д≥ю команди DIR операц≥йноњ системи так, щоб довжина зараженого ним файлу виводилась без урахуванн¤ довжини в≥русу, тобто справл¤лось враженн¤, що файл не ≥нф≥кований.

¬≥руси-супутники (Companion Viruses) зам≥сть зараженн¤ ≥снуючого EXE-файлу, утворюють новий файл, ¤кий маЇ теж саме ≥м'¤, але ≥нше розширенн¤ (COM). —ам в≥рус буде знаходитись у знов утвореному файл≥. Ќапpиклад, дл¤ файлу EDIT.EXE буде утворений файл EDIT.COM ≥ сам в≥рус буде знаходитись в останньому файл≥. ѕpи спроб≥ запуску EXE-пpогpами з командного р¤дка, зам≥сть потр≥бноњ програми буде запущена знов утворена, з в≥русом. ѕ≥сл¤ њњ в≥дпрацюванн¤ буде запущена потр≥бна програма (EXE).

Ќа ранн≥х етапах розвитку в≥руси заражали лише виконуван≥ файли типу COM та EXE. «араз спектр файл≥в, що можуть зазнавати атаки з боку в≥рус≥в значно розширивс¤. ¬≥дм≥тимо, що ≥снують в≥руси, ¤к≥ можуть заражати файли в арх≥вах (типу ARJ, ZIP тощо), файли-документи (типу DOC), що утворен≥ в≥домим текстовим процесором WinWord (6 верс≥¤ та вище) ф≥рми MicroSoft.

ƒе¤к≥ в≥руси залишаютьс¤ у пам'¤т≥ ѕ  п≥сл¤ теплого перезавантаженн¤ (Ctrl+Alt+Del). Ѕ≥льше того, при спроб≥ завантажити чисту операц≥йну систему з пристрою A: п≥сл¤ холодного запуску, тобто п≥сл¤ натисканн¤ кнопки Reset або вимкненн¤/ув≥мкненн¤ комп'ютера, ви можете неспод≥вано ви¤вити, що у його пам'¤т≥ вже знаходитьс¤ в≥рус. —аме так≥ можливост≥ мають в≥руси EXEBUG та MAMMOTH, ¤к≥ в≥дключають у CMOS'≥ на¤вн≥сть дисководу A:, що призводить до завантаженн¤ зараженоњ системи з диску C:. ѕри цьому в≥рус ≥м≥туЇ, начебто завантаженн¤ в≥дбуваЇтьс¤ саме з гнучкого диска. якщо ж на заражен≥й машин≥ ви звернетесь до дисководу A:, то в≥н буде тимчасово включений. ” пор≥вн¤нн≥ з такими монстрами зм≥нюванн¤ системного часу в CMOS'≥ де¤кими в≥русами вигл¤даЇ ¤к безневинна забава.

≤ останн≥й приклад "швидкого реагуванн¤" в≥рус≥в на нов≥ дос¤гненн¤ комп'ютерноњ техн≥ки. “≥льки-но з'¤вивс¤ так званий Flash-BIOS, ¤к в≥рус VLAD став записувати св≥й код до нього.

як про¤вл¤ють себе комп'ютерн≥ в≥руси?

Ќа тепер≥шн≥й час ≥снуЇ близько 6000 в≥рус≥в та њх вар≥ац≥й, ¤к≥ у медичн≥й та комп'ютерн≥й в≥русолог≥њ звутьс¤ штамами. ѕ≥драховано, що кожного дн¤ зараз з'¤вл¤Їтьс¤ у середньому 57 нових в≥рус≥в. «ауважимо також, що приблизно з 1990р. сумн≥вна пальма першост≥ у написанн≥ та розповсюдженн≥ в≥рус≥в перейшла до горе-програм≥ст≥в колишнього —–—–, а в наш час до крањн, що утворилис¤ на його територ≥њ.

—л≥д ще раз п≥дкреслити, що вс≥ без виключенн¤ в≥руси Ї шк≥дливим продуктом. ¬ першу чергу це пов'¤зано з тим, що вони працюють таЇмно, несанкц≥оновано, незалежно в≥д вашоњ вол≥. ѕо-друге, вс≥ вони займають ¤кесь м≥сце, зменшуючи доступний вам дисковий прост≥р. ѕо-третЇ, ≥ це, мабуть, найголовн≥ше, б≥льш≥сть з них або псуЇ ≥нформац≥ю, або утруднюЇ роботу з комп'ютером. –озгл¤немо загальн≥ приклади про¤вленн¤ в≥рус≥в.

ƒе¤к≥ з в≥рус≥в повод¤ть себе ¤к "≥люз≥он≥сти", видаючи на екран р≥зноман≥тн≥ пов≥домленн¤, граф≥чн≥ зображенн¤ тощо, ≥нколи програють ¤к≥сь мелод≥њ. ѕ≥д час таких д≥й нормальна робота комп'ютера звичайно призупин¤Їтьс¤, блокуЇтьс¤. —пектр пов≥домлень, що видають в≥руси, зм≥нюЇтьс¤ в≥д, так би мовити, "нормальних", системних типу "Out of stack", "Insufficient memory", "Bad command or file name", до гасл≥в типу "ƒолой  узьмичей" та нецензурноњ лайки. —еред граф≥чних зображень це прапори, зокрема, Ѕ≥лорус≥, –ос≥њ, ѕольщ≥, ”крањни, —Ўј, рисунки паровоза, вертольота, мухи, черепа, крокуючоњ людини тощо. ƒе¤к≥ в≥руси викликають в≥деоефекти типу перевертанн¤ зображенн¤ на екран≥, мерехт≥нн¤ картинки ≥ т.п.

«начна к≥льк≥сть в≥рус≥в знищуЇ окрем≥ файли, форматуЇ диски або пошкоджуЇ системн≥ област≥ диска таким чином, що п≥сл¤ цього не можна д≥статис¤ до ≥нформац≥њ, ¤ка записана на ньому. ƒе¤к≥ в≥руси спотворюють ≥нформац≥ю, що записана у файлах баз даних. Ќаприклад, в≥рус EMMIE зм≥нюЇ цифри при виведенн≥ њх на екран або принтер. «розум≥ло, що коли ведетьс¤ реальна, серйозна база даних, це може призвести до жахливих насл≥дк≥в. ƒо реч≥, в одн≥й з голландських л≥карень, на щаст¤ своЇчасно, було ви¤влено под≥бного вандала. ¬≥рус VORONEZH при друкуванн≥ на принтер зм≥нюЇ де¤к≥ слова на нецензурн≥. ÷ей перел≥к можна продовжувати ще досить довго. «в≥дки т≥льки воно беретьс¤?

1	2

Ќазва: ўо таке комп'ютерн≥ в≥руси, ¤к про¤вл¤ють себе комп'ютерн≥ в≥руси
ƒата публ≥кац≥њ: 2005-02-22 (1910 прочитано)