Классификация компьютерных вирусов.
Классификация компьютерных вирусов.
ИНСТИТУТ УПРАВЛЕНИЯ И ЭКОНОМИКИ
(САНКТ-ПЕТЕРБУРГ)
МУРМАНСКИЙ ФИЛИАЛ
ЗАОЧНОЕ ОТДЕЛЕНИЕ
СПЕЦИАЛЬНОСТЬ «ГОСУДАРСТВЕННОЕ И МУНИЦИПАЛЬНОЕ УПРАВЛЕНИЕ»
1 КОНТРОЛЬНАЯ РАБОТА
по дисциплине: Информатика
на тему: Классификация компьютерных вирусов.
ВЫПОЛНИЛ:
Студент Митичев Руслан Сергеевич
Группа Г 2-
22
Курс 1
№ зачетной книжки 06375
дом.телефон 43-75-11
ПРОВЕРИЛ:
Преподаватель
1
2
3
4 Мурманск
2003
Содержание
Введение ………………………………………………………… 1 стр.
Классификация компьютерных вирусов …………………… 2-5 стр.
Загрузочные вирусы ………………………………………….. 6-7 стр.
Макро-вирусы …………………………………………………. 8 стр.
Файловые вирусы ……………………………………………… 9-12 стр.
1 Overwriting………………………………………………………. 9 стр.
2 Parasitic …………………………………………………………. 10 стр.
3 Вирусы без точки входа ……………………………………….. 10 стр.
4 Компаньон – вирусы …………………………………………... 10 стр.
5 Файловые черви ……………………………………………….. 11 стр.
6 Link-вирусы ……………………………………………………. 11 стр.
7 OBJ-, LIB-вирусы и вирусы в исходных текстах ……………. 12 стр.
Резидентные вирусы …………………………………………13-14 стр.
1 DOS-вирусы …………………………………………………… 13 стр.
2 Загрузочные вирусы ………………………………………….. 14 стр.
3 Windows-вирусы ……………………………………………… 14 стр.
Стелс-вирусы …………………………………………………. 15-16 стр.
1 Загрузочные вирусы ………………………………………….. 15 стр.
2 Файловые вирусы …………………………………………….. 15 стр.
3 Макро-вирусы ………………………………………………… 16 стр.
Полиморфик-вирусы ……………………………………….. 17-18 стр.
1 Полиморфные расшифровщики …………………………….. 17 стр.
IRC-черви ……………………………………………………. 19-21 стр.
1 IRC-клиенты ………………………………………………….. 19 стр.
2 Скрипт-черви …………………………………………………. 19 стр.
3 mIRC.Acoragil и mIRC.Simpsalapim ………………………… 21 стр.
4 Win95.Fono …………………………………………………… 21 стр.
Сетевые вирусы ……………………………………………… 22-23 стр.
Прочие "вредные программы" …………………………… 24-26 стр.
10.1 Троянские кони (логические бомбы) ……………………….. 24 стр.
10.2 Утилиты скрытого администрирования (backdoor) ………... 24 стр.
10.3 Intended-вирусы ……………………………………………… 25 стр.
10.4 Конструкторы вирусов ……………………………………… 25 стр.
10.5 Полиморфные генераторы ………………………………….. 26 стр.
Заключение …………………………………………………... 27 стр.
Список литературы ……………………………………………….. 28 стр.
Литература
1. Ю.А.Шафрин Информационные технологии. – М.: Лаборатория базовых знаний,
1999 В.В. Качала, Н.М. Качала Основы информатики. – Мурманск:
Издательство МГТУ, 1998.
2. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в
компьютерных системах и сетях. - М.: Радио и связь, 1999.
3. С.В. Симонович, Г.А. Евсеев Практическая информатика. – М.: АСТ-Пресс:
Инфорком-Пресс, 1998.
4. Ю.И. Рыжиков Информатика. – СПб.: Корона принт, 2000.
5. Н.В. Макарова, Л.А. Матвеев, В.Л. Бройдо Информатика: Учебник для
экономических специальностей вузов. – М.: Финансы и статистика, 1999.
1
2 Введение
Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему
написаны десятки книг и сотни статей, борьбой с компьютерными вирусами
профессионально занимаются сотни (или тысячи) специалистов в десятках (а
может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и
актуальна, чтобы быть объектом такого пристального внимания. Однако это не
так. Компьютерные вирусы были и остаются одной из наиболее распространенных
причин потери информации. Известны случаи, когда вирусы блокировали работу
организаций и предприятий. Более того, несколько лет назад был зафиксирован
случай, когда компьютерный вирус стал причиной гибели человека - в одном из
госпиталей Нидерландов пациент получил летальную дозу морфия по той
причине, что компьютер был заражен вирусом и выдавал неверную информацию.
Несмотря на огромные усилия конкурирующих между собой антивирусных
фирм, убытки, приносимые компьютерными вирусами, не падают и достигают
астрономических величин в сотни миллионов долларов ежегодно. Эти оценки
явно занижены, поскольку известно становится лишь о части подобных
инцидентов.
При этом следует иметь в виду, что антивирусные программы и «железо» не
дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела
на другой стороне тандема «человек-компьютер». Как пользователи, так и
профессионалы-программисты часто не имеют даже навыков «самообороны», а их
представления о вирусе порой являются настолько поверхностными, что лучше
бы их (представлений) и не было.
Классификация компьютерных вирусов.
Вирусы можно разделить на классы по следующим основным признакам: .
1. среда обитания;
1. операционная система (OC);
2. особенности алгоритма работы;
3. деструктивные возможности.
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:
1. файловые;
2. загрузочные;
3. макро;
4. сетевые.
Файловые вирусы либо различными способами внедряются в выполняемые
файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники
(компаньон-вирусы), либо используют особенности организации файловой
системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска
(boot-сектор), либо в сектор, содержащий системный загрузчик винчестера
(Master Boot Record), либо меняют указатель на активный boot-сектор.
Макро-вирусы заражают файлы-документы и электронные таблицы нескольких
популярных редакторов.
Сетевые вирусы используют для своего распространения протоколы или
команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний - например, файлово-
загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков.
Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто
применяют оригинальные методы проникновения в систему, используют стелс и
полиморфик-технологии. Другой пример такого сочетания - сетевой макро-
вирус, который не только заражает редактируемые документы, но и рассылает
свои копии по электронной почте.
Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены
заражению) является вторым уровнем деления вирусов на классы. Каждый
файловый или сетевой вирус заражает файлы какой-либо одной или нескольких
OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы
форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на
конкретные форматы расположения системных данных в загрузочных секторах
дисков.
Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:
1. резидентность;
2. использование стелс-алгоритмов;
3. самошифрование и полиморфичность;
4. использование нестандартных приемов.
РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной
памяти свою резидентную часть, которая затем перехватывает обращения
операционной системы к объектам заражения и внедряется в них. Резидентные
вирусы находятся в памяти и являются активными вплоть до выключения
компьютера или перезагрузки операционной системы. Нерезидентные вирусы не
заражают память компьютера и сохраняют активность ограниченное время.
Некоторые вирусы оставляют в оперативной памяти небольшие резидентные
программы, которые не распространяют вирус. Такие вирусы считаются
нерезидентными.
Резидентными можно считать макро-вирусы, поскольку они постоянно
присутствуют в памяти компьютера на все время работы зараженного редактора.
При этом роль операционной системы берет на себя редактор, а понятие
«перезагрузка операционной системы» трактуется как выход из редактора.
В многозадачных операционных системах время «жизни» резидентного DOS-
вируса также может быть ограничено моментом закрытия зараженного DOS-окна,
а активность загрузочных вирусов в некоторых операционных системах
ограничивается моментом инсталляции дисковых драйверов OC.
Использование стелс-алгоритмов позволяет вирусам полностью или частично
скрыть себя в системе. Наиболее распространенным стелс-алгоритмов является
перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при
этом либо временно лечат их, либо «подставляют» вместо себя незараженные
участки информации. В случае макро-вирусов наиболее популярный способ —
запрет вызовов меню просмотра макросов. Один из первых файловых стелс-
вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».
САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами
вирусов для того, чтобы максимально усложнить процедуру детектирования
вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые
вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного
участка кода. В большинстве случаев два образца одного и того же полиморфик-
вируса не будут иметь ни одного совпадения. Это достигается шифрованием
основного тела вируса и модификациями программы-расшифровщика.
Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того,
чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус
«3APA3A»), защитить от обнаружения свою резидентную копию (вирусы «TPVO»,
«Trout2»), затруднить лечение от вируса (например, поместив свою копию в
Flash-BIOS) и т.д.
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:
1. безвредные, т.е. никак не влияющие на работу компьютера (кроме
уменьшения свободной памяти на диске в результате своего распространения);
2. неопасные, влияние которых ограничивается уменьшением свободной памяти
на диске и графическими, звуковыми и пр. эффектами;
3. опасные вирусы, которые могут привести к серьезным сбоям в работе
компьютера;
4. очень опасные, в алгоритм работы которых заведомо заложены процедуры,
которые могут привести к потере программ, уничтожить данные, стереть
необходимую для работы компьютера информацию, записанную в системных
областях памяти, и даже, как гласит одна из непроверенных компьютерных
легенд, способствовать быстрому износу движущихся частей механизмов -
вводить в резонанс и разрушать головки некоторых типов винчестеров.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб
системе, этот вирус нельзя с полной уверенностью назвать безвредным, так
как проникновение его в компьютер может вызвать непредсказуемые и порой
катастрофические последствия. Ведь вирус, как и всякая программа, имеет
ошибки, в результате которых могут быть испорчены как файлы, так и сектора
дисков (например, вполне безобидный на первый взгляд вирус «DenZuk»
довольно корректно работает с 360K дискетами, но может уничтожить
информацию на дискетах большего объема). До сих пор попадаются вирусы,
определяющие «COM или EXE» не по внутреннему формату файла, а по его
расширению. Естественно, что при несовпадении формата и расширения имени
файл после заражения оказывается неработоспособным. Возможно также
«заклинивание» резидентного вируса и системы при использовании новых версий
DOS, при работе в Windows или с другими мощными программными системами. И
так далее.Конец формы
2. Загрузочные вирусы
Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и
boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия
загрузочных вирусов основан на алгоритмах запуска операционной системы при
включении или перезагрузке компьютера - после необходимых тестов
установленного оборудования (памяти, дисков и т.д.) программа системной
загрузки считывает первый физический сектор загрузочного диска (A:, C: или
CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает
на него управление.
В случае дискеты или компакт-диска управление получает boot-сектор,
который анализирует таблицу параметров диска (BPB - BIOS Parameter Block)
высчитывает адреса системных файлов операционной системы, считывает их в
память и запускает на выполнение.
При заражении дисков загрузочные вирусы «подставляют» свой код вместо
какой-либо программы, получающей управление при загрузке системы. Принцип
заражения, таким образом, одинаков во всех описанных выше способах: вирус
"заставляет" систему при ее перезапуске считать в память и отдать
управление не оригинальному коду загрузчика, а коду вируса.
Заражение дискет производится единственным известным способом — вирус
записывает свой код вместо оригинального кода boot-сектора дискеты.
Винчестер заражается тремя возможными способами - вирус записывается либо
вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно
диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition
Table, расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве случаев переносит
оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска
(например, в первый свободный). Если длина вируса больше длины сектора, то
в заражаемый сектор помещается первая часть вируса, остальные части
размещаются в других секторах (например, в первых свободных).
Существует несколько вариантов размещения на диске первоначального
загрузочного сектора и продолжения вируса: в сектора свободных кластеров
логического диска, в неиспользуемые или редко используемые системные
сектора, в сектора, расположенные за пределами диска.
Если продолжение вируса размещается в секторах, которые принадлежат
свободным кластерам диска (при поиске этих секторов вирусу приходится
анализировать таблицу размещения файлов - FAT), то, как правило, вирус
помечает в FAT эти кластеры как сбойные (так называемые псевдосбойные
кластеры). Этот способ используется вирусами «Brain», «Ping-Pong» и
некоторыми другими.
В вирусах семейства «Stoned» задействован другой метод. Эти вирусы
размещают первоначальный загрузочный сектор в неиспользуемом или редко
используемом секторе — в одном из секторов винчестера (если такие есть),
расположенных между MBR и первым boot-сектором, а на дискете такой сектор
выбирается из последних секторов корневого каталога.
Конечно, существуют и другие методы размещения вируса на диске,
например, вирусы семейства «Azusa» содержат в своем теле стандартный
загрузчик MBR и при заражении записываются поверх оригинального MBR без его
сохранения.
Пользователям новых операционных систем (Novell, Win95, OS/2)
загрузочные вирусы также могут доставить неприятности. Несмотря на то, что
перечисленные выше системы работают с дисками напрямую (минуя вызовы BIOS),
что блокирует вирус и делает невозможным дальнейшее его распространение,
код вируса все-таки, хоть и очень редко, получает управление при
перезагрузке системы. Поэтому вирус «March6», например, может годами «жить»
в MBR сервера и никак не влиять при этом на его (сервера) работу и
производительность. Однако при случайной перезагрузке 6-го марта этот вирус
полностью уничтожит все данные на диске.
Макро-вирусы
Макро-вирусы (macro viruses) являются программами на языках (макро-
языках), встроенных в некоторые системы обработки данных (текстовые
редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы
используют возможности макро-языков и при их помощи переносят себя из
одного зараженного файла (документа или таблицы) в другие. Наибольшее
распространение получили макро-вирусы для Microsoft Word, Excel и Office97.
Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных
Microsoft Access.
Для существования вирусов в конкретной системе (редакторе) необходимо
наличие встроенного в систему макро-языка с возможностями:
1. привязки программы на макро-языке к конкретному файлу;
2. копирования макро-программ из одного файла в другой;
3. возможность получения управления макро-программой без вмешательства
пользователя (автоматические или стандартные макросы).
Данным условиям удовлетворяют редакторы Microsoft Word, Office97 и
AmiPro, а также электронная таблица Excel и база данных Microsoft Access.
Эти системы содержат в себе макро-языки: Word - Word Basic, Excel, Office97
(включая Word97, Excel97 и Access) - Visual Basic for Applications.
На сегодняшний день известны четыре системы, для которых существуют
вирусы — Microsoft Word, Excel, Office97 и AmiPro. В этих системах вирусы
получают управление при открытии или закрытии зараженного файла,
перехватывают стандартные файловые функции и затем заражают файлы, к
которым каким-либо образом идет обращение. По аналогии с MS-DOS можно
сказать, что большинство макро-вирусов являются резидентными: они активны
не только в момент открытия/закрытия файла, но до тех пор, пока активен сам
редактор.
Файловые вирусы
К данной группе относятся вирусы, которые при своем размножении тем или
иным способом используют файловую систему какой-либо (или каких-либо) ОС.
Внедрение файлового вируса возможно практически во все исполняемые
файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие
все типы выполняемых объектов стандартной DOS: командные файлы (BAT),
загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и
MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM).
Страницы: 1, 2
|