Классификация компьютерных вирусов.

Классификация компьютерных вирусов.

ИНСТИТУТ УПРАВЛЕНИЯ И ЭКОНОМИКИ

(САНКТ-ПЕТЕРБУРГ)

МУРМАНСКИЙ ФИЛИАЛ

ЗАОЧНОЕ ОТДЕЛЕНИЕ

СПЕЦИАЛЬНОСТЬ «ГОСУДАРСТВЕННОЕ И МУНИЦИПАЛЬНОЕ УПРАВЛЕНИЕ»

1 КОНТРОЛЬНАЯ РАБОТА

по дисциплине: Информатика

на тему: Классификация компьютерных вирусов.

ВЫПОЛНИЛ:

Студент Митичев Руслан Сергеевич

Группа Г 2-

22

Курс 1

№ зачетной книжки 06375

дом.телефон 43-75-11

ПРОВЕРИЛ:

Преподаватель

1

2

3

4 Мурманск

2003

Содержание

Введение ………………………………………………………… 1 стр.

Классификация компьютерных вирусов …………………… 2-5 стр.

Загрузочные вирусы ………………………………………….. 6-7 стр.

Макро-вирусы …………………………………………………. 8 стр.

Файловые вирусы ……………………………………………… 9-12 стр.

1 Overwriting………………………………………………………. 9 стр.

2 Parasitic …………………………………………………………. 10 стр.

3 Вирусы без точки входа ……………………………………….. 10 стр.

4 Компаньон – вирусы …………………………………………... 10 стр.

5 Файловые черви ……………………………………………….. 11 стр.

6 Link-вирусы ……………………………………………………. 11 стр.

7 OBJ-, LIB-вирусы и вирусы в исходных текстах ……………. 12 стр.

Резидентные вирусы …………………………………………13-14 стр.

1 DOS-вирусы …………………………………………………… 13 стр.

2 Загрузочные вирусы ………………………………………….. 14 стр.

3 Windows-вирусы ……………………………………………… 14 стр.

Стелс-вирусы …………………………………………………. 15-16 стр.

1 Загрузочные вирусы ………………………………………….. 15 стр.

2 Файловые вирусы …………………………………………….. 15 стр.

3 Макро-вирусы ………………………………………………… 16 стр.

Полиморфик-вирусы ……………………………………….. 17-18 стр.

1 Полиморфные расшифровщики …………………………….. 17 стр.

IRC-черви ……………………………………………………. 19-21 стр.

1 IRC-клиенты ………………………………………………….. 19 стр.

2 Скрипт-черви …………………………………………………. 19 стр.

3 mIRC.Acoragil и mIRC.Simpsalapim ………………………… 21 стр.

4 Win95.Fono …………………………………………………… 21 стр.

Сетевые вирусы ……………………………………………… 22-23 стр.

Прочие "вредные программы" …………………………… 24-26 стр.

10.1 Троянские кони (логические бомбы) ……………………….. 24 стр.

10.2 Утилиты скрытого администрирования (backdoor) ………... 24 стр.

10.3 Intended-вирусы ……………………………………………… 25 стр.

10.4 Конструкторы вирусов ……………………………………… 25 стр.

10.5 Полиморфные генераторы ………………………………….. 26 стр.

Заключение …………………………………………………... 27 стр.

Список литературы ……………………………………………….. 28 стр.

Литература

1. Ю.А.Шафрин Информационные технологии. – М.: Лаборатория базовых знаний,

1999 В.В. Качала, Н.М. Качала Основы информатики. – Мурманск:

Издательство МГТУ, 1998.

2. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита информации в

компьютерных системах и сетях. - М.: Радио и связь, 1999.

3. С.В. Симонович, Г.А. Евсеев Практическая информатика. – М.: АСТ-Пресс:

Инфорком-Пресс, 1998.

4. Ю.И. Рыжиков Информатика. – СПб.: Корона принт, 2000.

5. Н.В. Макарова, Л.А. Матвеев, В.Л. Бройдо Информатика: Учебник для

экономических специальностей вузов. – М.: Финансы и статистика, 1999.

1

2 Введение

Компьютерные вирусы. Что это такое и как с этим бороться? На эту тему

написаны десятки книг и сотни статей, борьбой с компьютерными вирусами

профессионально занимаются сотни (или тысячи) специалистов в десятках (а

может быть, сотнях) компаний. Казалось бы, тема эта не настолько сложна и

актуальна, чтобы быть объектом такого пристального внимания. Однако это не

так. Компьютерные вирусы были и остаются одной из наиболее распространенных

причин потери информации. Известны случаи, когда вирусы блокировали работу

организаций и предприятий. Более того, несколько лет назад был зафиксирован

случай, когда компьютерный вирус стал причиной гибели человека - в одном из

госпиталей Нидерландов пациент получил летальную дозу морфия по той

причине, что компьютер был заражен вирусом и выдавал неверную информацию.

Несмотря на огромные усилия конкурирующих между собой антивирусных

фирм, убытки, приносимые компьютерными вирусами, не падают и достигают

астрономических величин в сотни миллионов долларов ежегодно. Эти оценки

явно занижены, поскольку известно становится лишь о части подобных

инцидентов.

При этом следует иметь в виду, что антивирусные программы и «железо» не

дают полной гарантии защиты от вирусов. Примерно так же плохо обстоят дела

на другой стороне тандема «человек-компьютер». Как пользователи, так и

профессионалы-программисты часто не имеют даже навыков «самообороны», а их

представления о вирусе порой являются настолько поверхностными, что лучше

бы их (представлений) и не было.

Классификация компьютерных вирусов.

Вирусы можно разделить на классы по следующим основным признакам: .

1. среда обитания;

1. операционная система (OC);

2. особенности алгоритма работы;

3. деструктивные возможности.

По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:

1. файловые;

2. загрузочные;

3. макро;

4. сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые

файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники

(компаньон-вирусы), либо используют особенности организации файловой

системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска

(boot-сектор), либо в сектор, содержащий системный загрузчик винчестера

(Master Boot Record), либо меняют указатель на активный boot-сектор.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких

популярных редакторов.

Сетевые вирусы используют для своего распространения протоколы или

команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний - например, файлово-

загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков.

Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто

применяют оригинальные методы проникновения в систему, используют стелс и

полиморфик-технологии. Другой пример такого сочетания - сетевой макро-

вирус, который не только заражает редактируемые документы, но и рассылает

свои копии по электронной почте.

Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены

заражению) является вторым уровнем деления вирусов на классы. Каждый

файловый или сетевой вирус заражает файлы какой-либо одной или нескольких

OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы

форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на

конкретные форматы расположения системных данных в загрузочных секторах

дисков.

Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:

1. резидентность;

2. использование стелс-алгоритмов;

3. самошифрование и полиморфичность;

4. использование нестандартных приемов.

РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной

памяти свою резидентную часть, которая затем перехватывает обращения

операционной системы к объектам заражения и внедряется в них. Резидентные

вирусы находятся в памяти и являются активными вплоть до выключения

компьютера или перезагрузки операционной системы. Нерезидентные вирусы не

заражают память компьютера и сохраняют активность ограниченное время.

Некоторые вирусы оставляют в оперативной памяти небольшие резидентные

программы, которые не распространяют вирус. Такие вирусы считаются

нерезидентными.

Резидентными можно считать макро-вирусы, поскольку они постоянно

присутствуют в памяти компьютера на все время работы зараженного редактора.

При этом роль операционной системы берет на себя редактор, а понятие

«перезагрузка операционной системы» трактуется как выход из редактора.

В многозадачных операционных системах время «жизни» резидентного DOS-

вируса также может быть ограничено моментом закрытия зараженного DOS-окна,

а активность загрузочных вирусов в некоторых операционных системах

ограничивается моментом инсталляции дисковых драйверов OC.

Использование стелс-алгоритмов позволяет вирусам полностью или частично

скрыть себя в системе. Наиболее распространенным стелс-алгоритмов является

перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при

этом либо временно лечат их, либо «подставляют» вместо себя незараженные

участки информации. В случае макро-вирусов наиболее популярный способ —

запрет вызовов меню просмотра макросов. Один из первых файловых стелс-

вирусов — вирус «Frodo», первый загрузочный стелс-вирус — «Brain».

САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами

вирусов для того, чтобы максимально усложнить процедуру детектирования

вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые

вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного

участка кода. В большинстве случаев два образца одного и того же полиморфик-

вируса не будут иметь ни одного совпадения. Это достигается шифрованием

основного тела вируса и модификациями программы-расшифровщика.

Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того,

чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус

«3APA3A»), защитить от обнаружения свою резидентную копию (вирусы «TPVO»,

«Trout2»), затруднить лечение от вируса (например, поместив свою копию в

Flash-BIOS) и т.д.

По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

1. безвредные, т.е. никак не влияющие на работу компьютера (кроме

уменьшения свободной памяти на диске в результате своего распространения);

2. неопасные, влияние которых ограничивается уменьшением свободной памяти

на диске и графическими, звуковыми и пр. эффектами;

3. опасные вирусы, которые могут привести к серьезным сбоям в работе

компьютера;

4. очень опасные, в алгоритм работы которых заведомо заложены процедуры,

которые могут привести к потере программ, уничтожить данные, стереть

необходимую для работы компьютера информацию, записанную в системных

областях памяти, и даже, как гласит одна из непроверенных компьютерных

легенд, способствовать быстрому износу движущихся частей механизмов -

вводить в резонанс и разрушать головки некоторых типов винчестеров.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб

системе, этот вирус нельзя с полной уверенностью назвать безвредным, так

как проникновение его в компьютер может вызвать непредсказуемые и порой

катастрофические последствия. Ведь вирус, как и всякая программа, имеет

ошибки, в результате которых могут быть испорчены как файлы, так и сектора

дисков (например, вполне безобидный на первый взгляд вирус «DenZuk»

довольно корректно работает с 360K дискетами, но может уничтожить

информацию на дискетах большего объема). До сих пор попадаются вирусы,

определяющие «COM или EXE» не по внутреннему формату файла, а по его

расширению. Естественно, что при несовпадении формата и расширения имени

файл после заражения оказывается неработоспособным. Возможно также

«заклинивание» резидентного вируса и системы при использовании новых версий

DOS, при работе в Windows или с другими мощными программными системами. И

так далее.Конец формы

2. Загрузочные вирусы

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и

boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия

загрузочных вирусов основан на алгоритмах запуска операционной системы при

включении или перезагрузке компьютера - после необходимых тестов

установленного оборудования (памяти, дисков и т.д.) программа системной

загрузки считывает первый физический сектор загрузочного диска (A:, C: или

CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает

на него управление.

В случае дискеты или компакт-диска управление получает boot-сектор,

который анализирует таблицу параметров диска (BPB - BIOS Parameter Block)

высчитывает адреса системных файлов операционной системы, считывает их в

память и запускает на выполнение.

При заражении дисков загрузочные вирусы «подставляют» свой код вместо

какой-либо программы, получающей управление при загрузке системы. Принцип

заражения, таким образом, одинаков во всех описанных выше способах: вирус

"заставляет" систему при ее перезапуске считать в память и отдать

управление не оригинальному коду загрузчика, а коду вируса.

Заражение дискет производится единственным известным способом — вирус

записывает свой код вместо оригинального кода boot-сектора дискеты.

Винчестер заражается тремя возможными способами - вирус записывается либо

вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно

диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition

Table, расположенной в MBR винчестера.

При инфицировании диска вирус в большинстве случаев переносит

оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска

(например, в первый свободный). Если длина вируса больше длины сектора, то

в заражаемый сектор помещается первая часть вируса, остальные части

размещаются в других секторах (например, в первых свободных).

Существует несколько вариантов размещения на диске первоначального

загрузочного сектора и продолжения вируса: в сектора свободных кластеров

логического диска, в неиспользуемые или редко используемые системные

сектора, в сектора, расположенные за пределами диска.

Если продолжение вируса размещается в секторах, которые принадлежат

свободным кластерам диска (при поиске этих секторов вирусу приходится

анализировать таблицу размещения файлов - FAT), то, как правило, вирус

помечает в FAT эти кластеры как сбойные (так называемые псевдосбойные

кластеры). Этот способ используется вирусами «Brain», «Ping-Pong» и

некоторыми другими.

В вирусах семейства «Stoned» задействован другой метод. Эти вирусы

размещают первоначальный загрузочный сектор в неиспользуемом или редко

используемом секторе — в одном из секторов винчестера (если такие есть),

расположенных между MBR и первым boot-сектором, а на дискете такой сектор

выбирается из последних секторов корневого каталога.

Конечно, существуют и другие методы размещения вируса на диске,

например, вирусы семейства «Azusa» содержат в своем теле стандартный

загрузчик MBR и при заражении записываются поверх оригинального MBR без его

сохранения.

Пользователям новых операционных систем (Novell, Win95, OS/2)

загрузочные вирусы также могут доставить неприятности. Несмотря на то, что

перечисленные выше системы работают с дисками напрямую (минуя вызовы BIOS),

что блокирует вирус и делает невозможным дальнейшее его распространение,

код вируса все-таки, хоть и очень редко, получает управление при

перезагрузке системы. Поэтому вирус «March6», например, может годами «жить»

в MBR сервера и никак не влиять при этом на его (сервера) работу и

производительность. Однако при случайной перезагрузке 6-го марта этот вирус

полностью уничтожит все данные на диске.

Макро-вирусы

Макро-вирусы (macro viruses) являются программами на языках (макро-

языках), встроенных в некоторые системы обработки данных (текстовые

редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы

используют возможности макро-языков и при их помощи переносят себя из

одного зараженного файла (документа или таблицы) в другие. Наибольшее

распространение получили макро-вирусы для Microsoft Word, Excel и Office97.

Существуют также макро-вирусы, заражающие документы Ami Pro и базы данных

Microsoft Access.

Для существования вирусов в конкретной системе (редакторе) необходимо

наличие встроенного в систему макро-языка с возможностями:

1. привязки программы на макро-языке к конкретному файлу;

2. копирования макро-программ из одного файла в другой;

3. возможность получения управления макро-программой без вмешательства

пользователя (автоматические или стандартные макросы).

Данным условиям удовлетворяют редакторы Microsoft Word, Office97 и

AmiPro, а также электронная таблица Excel и база данных Microsoft Access.

Эти системы содержат в себе макро-языки: Word - Word Basic, Excel, Office97

(включая Word97, Excel97 и Access) - Visual Basic for Applications.

На сегодняшний день известны четыре системы, для которых существуют

вирусы — Microsoft Word, Excel, Office97 и AmiPro. В этих системах вирусы

получают управление при открытии или закрытии зараженного файла,

перехватывают стандартные файловые функции и затем заражают файлы, к

которым каким-либо образом идет обращение. По аналогии с MS-DOS можно

сказать, что большинство макро-вирусов являются резидентными: они активны

не только в момент открытия/закрытия файла, но до тех пор, пока активен сам

редактор.

Файловые вирусы

К данной группе относятся вирусы, которые при своем размножении тем или

иным способом используют файловую систему какой-либо (или каких-либо) ОС.

Внедрение файлового вируса возможно практически во все исполняемые

файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие

все типы выполняемых объектов стандартной DOS: командные файлы (BAT),

загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и

MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM).

Страницы: 1, 2