Компьютерные вирусы

С того момента как были созданы первые персональные компьютеры, доступные широкому слою народонаселения, появились первые компьютерные вирусы. Доподлинно известно, что компьютер и программное обеспечение, которое распространялось на дисках, представляли собой благоприятную среду для формирования и развития вирусных программ. Разные неофициальные данные, которые распространялись весьма широко, окутывали эти вредные создания непонятным и неизвестным туманом. В настоящий момент, даже профессиональные эксперты в сфере администрирования не всегда могут точно представить себе, что представляют собой вирусы, как они оказываются в компьютерах и компьютерных сетях, и сколько вреда они могут причинить. Помимо всего прочего, не понимая функционального механизма популяризации вирусов, практически нереально защитить свой компьютер на 100 процентов. Даже самые лучшие антивирусные программы могут оказаться бессильными, если они будут использоваться безграмотно.

Что представляет собой компьютерный вирус?

Опуская всякие подробности, компьютерный вирус – это самопроизвольно распространяющийся в информативной компьютерной среде код. Написанный злоумышленниками вредоносный код может быть внедрен в реализовываемые командные файлы программного обеспечения. Кроме того, он может быть распространен через логические секторы дисков, офисную документацию, письма, сайты и так далее. Оказавшись в компьютерной информационной среде, вирусный код может нарушить визуальные или звуковые эффекты, инициировать потерю важной информации, а также удалить личные и конфиденциальные данные. В самой плохой ситуации, компьютер, пораженный вирусом, может перейти под полный контроль мошенника. В настоящее время, мы доверяем компьютерам решение разных проблем. В результате выхода компьютера из строя мы можем оказаться в весьма плачевной ситуации, вплоть до летального исхода. Об этой информации должны помнить разработчики компьютерных административных систем. В настоящий момент компьютерных вирусов насчитывается более миллиона. Невзирая на огромное их количество, есть весьма ограниченное число типовых вирусов, которые отличаются между собой механизмом популяризации и действием. Существуют вирусы комбинированного типа, которые относятся к разным видам. Далее мы познакомим вас с различными типами вирусом, в хронологическом порядке.

Вирусы файловой системы

Доподлинно известным фактом является то, что вирусы файловой системы появились раньше, чем вирусы иных типов. Изначально они распространялись через операционную систему «MS-DOS». Их главной целью было внедриться в программные файлы «COM» и «EXE». Вирусный код, попадая в благоприятную среду, изменял её так, что при инициализации, управление передавалось не программе, а вирусу. Вирус, как правило, записывает вредоносный код в конечную, начальную или среднюю часть файла (рис. 1). Вирусный код может быть разделен на несколько блоков, которые будут находиться в разных местах зараженного программного обеспечения.

MOUSE.COM

Рис. 1. Вирусный код «MOUSE.COM».

Приобретя управление, вирусный код начнет заражать другие программы, внедряясь в интегрированную память компьютера и выполняя там негативные функции. Затем вирусный код может передать управление зараженному программному обеспечению, которое будет исполняться стандартным образом. Вследствие всего этого, пользователи, запустившие программное обеспечение, даже не подозревают о наличии вируса. Следует заметить, что такие вирусные коды могут заразить не просто программное обеспечение «COM» и «EXE», но и другие типовые файлы, например «OVL», «OVI», «OVR». Часто вирусы поражают системные драйверы «SYS», динамические библиотечные файлы «DLL» и так далее. На данный момент, существуют вирусы, поражающие не просто «MS-DOS», но и другие операционные системы, например, «Microsoft Windows», «Linux», «IBM OS/2». Преимущественное количество этих вирусов живет в среде операционной системы «MS-DOS» и «Microsoft Windows». Когда операционная система «MS-DOS» была на пике своей популярности, вирусы жили в благоприятной среде за счет свободного обмена программным обеспечением. В то время, программные файлы были небольшого размера и содержались на дисках. Зачастую, пользователи, загружали вирусную программу случайным образом, через электронную доску объявлений «BBS» или из сети интернет. Не сложно догадаться, что вместе с такими программами шли вирусы. Современное программное обеспечение занимает немало места и распространяется, зачастую, на дисках «CD». Обмен вируса на малых дисках остался далеко в прошлом. Устанавливая программное обеспечение с лицензированного диска «CD», вы, не подвергаете свой компьютер вирусной опасности. А вот имея дело с пиратскими программами, у вас могут возникнуть серьезные проблемы с вирусной активностью. На сегодняшний день, файловые вирусы уже неактуальны, им на смену пришли более современные вирусные коды.

Вирусы загрузочного типа

Вирусный код загрузочного типа позволяет взять управление компьютером на этапе инициализации, еще до запуска самой системы. Для понимания их функциональности, вспомните последовательные действия запуска персонального компьютера и загрузки ОС. После того, как вы нажали на клавишу инициализации питания компьютера, запускается проверка «POST», прописанная в системе «BIOS». В процессе данной проверки определяется конфигурирование компьютера и функциональность его дополнительных систем. Далее процесс «POST» осуществляет проверку вставленных дисков «A» в дисковод. Если в ходе проверки был обнаружен вставленный диск «A», то в дальнейшем загрузка ОС будет происходить с этого диска. В иной ситуации загрузка операционной системы происходит с жесткого диска. В начале загрузки с диска «А» процесс «POST» начинает считывание загрузочной записи «Boot Record» в оперативную память. Данная запись находится в первичном секторе диска «А» и является мини программой. Помимо программы, эта запись включает в себя структурированные данные, определяющие формат диска и некоторые иные характеристики. Далее процесс «POST» отправляет управление «BR». Этот процесс начинает загружать операционную систему. При запуске системы с жесткого диска процесс «POST» считывает основополагающую загрузочную запись «Master Boot» «Record», «MBR» и делать запись в оперативной памяти. Данная запись включает в себя программу начальной инициализации и таблицу разделов, в которой записаны все ветви жесткого диска. Она находится в первичном секторе винчестера. После прочтения «MBR» управление переходит к запущенной с диска программе начальной загрузки, которая осуществляет анализ содержимого таблицы разделов, выбирая нужный раздел и считывая активную запись «BR».

Принцип работы загрузочного вируса

Во время заражения диска вирус загрузочного типа изменяет запись «BR» или основную запись загрузки «MBR» (рис. 2). Начальные записи «BR» или «MBR» при этом, как правило, не теряются. Вирусный код копирует их в любой свободный дисковый сектор.

MBR

В результате этого, вирусный код начинает управлять процессом «POST» сразу после запуска. Далее вирус, чаще всего, работает по типовому алгоритму. Он создает несколько своих копий, в конце встроенной памяти, снижая ее основной объем. После этих действий он берет под свой контроль некоторые функции «BIOS», соответственно и обращение к ним передается в вирусное управление. В заключение процесса заражения вирусный код загружает в интегрированную память целый загрузочный сектор и берет на себя управление. Затем ПК инициализируется как обычно, но вирусный код уже сидит в памяти и контролирует работу программного обеспечения.

Вирусы комбинированного типа

Помимо всего вышеописанного, существуют вирусы комбинированного типа, которые объединяют в себе свойства разных типов вирусов, например, файлового и загрузочного. В виде примера приведем популярный в минувшие годы файловый загрузочный вирус под названием «OneHalf». Этот вирусный код, оказавшись в компьютерной среде операционной системы «MS-DOS» заражал основную запись загрузки. В процессе инициализации компьютера он шифровал секторы основного диска, начиная с конечных. Когда вирус оказывается в памяти, он начинает контролировать любые обращения к шифровальным секторам и может расшифровать их таким образом, что все программы будут работать в штатном режиме. Если вирус «OneHalf» просто стереть из памяти и сектора загрузки, то информация, записанная в шифровальном секторе диска, станет недоступной. Когда вирус зашифровывает часть диска, он предупреждает об этом следующей надписью: «Dis is one half, Press any key to continue…». После этих действий он ждет, когда вы нажмете на любую кнопку и продолжите работать. В вирусе «OneHalf» использованы разные маскировочные механизмы. Он считается невидимым вирусом и выполняет полиморфные алгоритмические функции. Обнаружить и удалить вирусный код «OneHalf» весьма проблематично, потому что, его могут увидеть не все антивирусные программы.

Вирусы спутники

Доподлинно известно, что в операционной системе «MS-DOS» или «Microsoft Windows» разных модификаций есть 3 типа файлов, которые вы можете запустить на исполнение. Это командный или пакетный файл «BAT», а также, уже знакомые нам файлы «COM» и «EXE». Стоит заметить, что один каталог, может содержать несколько файлов, с одинаковым именем, но разным расширением. Когда вы осуществляете запуск программы, вводя её имя в системное приглашение ОС, то вы, чаще всего, не указываете расширение. Какой файл вы запустите, если ваш каталог включает в себя несколько программ с аналогичным названием, но с различным расширением? Как оказалось, в данной ситуации будет запущен файл «COM». Если в настоящем каталоге есть файлы «EXE» и «BAT», то запуститься файл с расширением «EXE». Когда происходит заражение файла «EXE» или «BAT», вирус спутник создает в данном каталоге второй файл с аналогичным именем, но с расширением «COM». Вирусный код копируется в данный «COM» файл. То есть, при инициализации программного обеспечения первым возьмет управление на себя вирус спутник, который в дальнейшем может осуществить запуск программы, но под личным контролем.

Вирусы, содержащиеся в пакетах «BAT»

Есть множество вирусов, которые заражают пакеты «BAT». Для этого они используют весьма оригинальный метод. Давайте разберем его по примеру вируса «BAT.Batman». Во время заражения пакета в его начальный код вставляется следующий текст:

Код

@ECHO OFF

REM […]

copy %0 b.com>nul

b.com

del b.com

rem […]

Квадратные скобки, в данном случае […] показывают местоположение байт. Они представляю собой процессорные инструкции или вирусные данные. Директива «@ECHO OFF» не позволяет выполнимым командам выводиться на дисплей. Строчка, которая начинается с директивы «REM» – это комментарий без интерпретаций. Директива «copy %0 b.com>nul» создает копии зараженного командного файла «B.COM». Далее этот файл инициализируется и стирается с диска, с помощью команды «del b.com». Самым интересным моментом является то, что файл «B.COM», который был создан вирусом, до каждого байта является аналогией зараженного командного файла. То есть, если истолковывать первые 2 строчки зараженного файла «BAT» как программы, такая программа будет включать в себя основные процессорные команды, которые по факту ничего не производят. Основной процессор запускает данные команды и выполняет подлинный вирусный код, который был записан после комментария «REM». Приняв управление на себя, вирусный код перехватывает прерывание операционной системы и инициализируется. Во время популяризации, вирус отслеживает запись файловых данных. Если 1-я строчка, которая записывается в файл, включает в себя директиву «@ECHO», в этом случае вирус полагает, что происходит запись командного файла и заражает её.

Шифровальные и полиморфные вирусы

Для того чтобы ухудшить обнаружение, некоторые вирусы имеют зашифрованный код. Всякий раз, когда вирусный код поражает программное обеспечение, происходит шифрование собственного кода, с помощью нового ключа. Вследствие этого, 2 экземпляра вирусного кода могут в значительной степени отличаться друг от друга, и даже быть разной длины. Кодовое шифрование вируса усложняет время его обнаружения. Стандартное программное обеспечение не может дизассемблировать данный вирусный код. Разумеется, вирус работает только в той ситуации, когда выполняемый код является незашифрованным. Когда вы осуществляете запуск зараженного программного обеспечения, и вирус берет на себя управление, он расшифровывает собственный код. Для затруднения нахождения вируса, для шифрования используются не просто различные ключи, но и разнообразные шифровальные процессы. Такие вирусы, как правило, не имеют совпадающей кодовой последовательности. Эти вирусы, которые полностью видоизменяют собственный код, называются полиморфными вирусами.

Вирусы невидимки

Как вы понимаете из названия, вирусы невидимки скрывают свое существование на персональном компьютере. Они включают в себя модуль резидентного типа, который постоянно находится в интегрированной памяти. Данный модуль устанавливается в процессе инициализации зараженного программного обеспечения или при дисковой загрузке. Вирусные модули, как правило, перехватывают обращения к дисковой системе персонального компьютера. Если программное обеспечение считывает зараженный файл, то вирус заменяет подлинный, не инфицированный программный файл. Для этой цели вирусный модуль резидентного типа может временно удалить вирус из инфицированного файла. После того как работа с файлом будет закончена вирус восстановит своё существование. Загрузочные вирусы невидимки работают по аналогичной схеме. Когда программное обеспечение считывает информацию из сектора загрузки, вместо инфицированного сектора подставляется подлинный сектор загрузки. Маскирование таких вирусов работает только в той ситуации, если в интегрированной памяти компьютера есть вирусный модуль. Если запуск компьютера происходит с нормального диска, вирус не имеет шансов на получение управления и поэтому невидимый механизм не функционирует.

Макро командные вирусы

Выше мы говорили о вирусах, которые обитают в реализовываемых файлах программного обеспечения и загрузочных дисковых секторов. Весьма значительную популярность офисного программного пакета «Microsoft Office» инициировало лавинное появление вирусов нового поколения, которые распространяются не с программным обеспечением, а с файлами документации. С теоретической точки зрения реализовать это практически невозможно. Однако в реальном понимании, файлы документации «Microsoft Office» могут включать в себя мини программы для обработки документации, написанные на программном языке «Visual Basic for Applications». Это имеет отношение к документам «Word», «Excel», «Access» и даже «Power Point». Эти программы делаются с применением макро команд, поэтому вирусные коды, которые живут в офисной документации, называются макро командными.

Распространение макро командных вирусов

Макро командные вирусы распространяются вместе с файлами документации. Пользователи меняются файлами через диски, сетевые подкаталоги, серверные файлы корпоративной внутренней сети, через сервера электронной почты и так далее. Для того чтобы компьютер был заражен таким вирусом, надо открыть файл документации в программном приложении. Сегодня макро командные вирусы являются очень популярными, чему в значительной степени способствует приложения «Microsoft Office». Такие вирусы приносят значительно меньший вред, но иногда, могут быть очень опасными. Основной их опасностью является то, что они могут видоизменять зараженные документации и быть незамеченными.

Вредоносное программное обеспечение другого типа.

На сегодняшний день, нормальную работу компьютера нарушают не просто вирусы. Мы расскажем вам о трех типах вредоносного программного обеспечения. К ним можно отнести: троянское программное обеспечение, бомбы логических секторов и черви. Четкого деления между этими вирусами не существует, троянское программное обеспечение может включать в себя вирусы со встроенными логическими бомбами или червями.

Троянское программное обеспечение

Все знают миф о завоевании неприступной Трои. Греческие войны построили троянского коня, оставив его у ворот Трои, внутри которого находились бойцы. Когда жители Трои, в порыве своего любопытства, привезли троянского коня в город, бойцы вылезли наружу и захватили Трою. Троянское программное обеспечение действует аналогично. Их основополагающее значение абсолютно безобидно или даже полезно. Но когда вы записываете троянскую программу в свой ПК и запускаете ее, она может невидимо для вас выполнить негативные функции. Как правило, такие программы применяются для популяризации вирусов. С помощью троянских программ злоумышленники получают удаленный доступ к компьютеру через сеть интернет, с целью завладеть личной информацией пользователя. После выполнения троянской программой вредоносных скрытых функций, она самоуничтожается, затрудняя свое нахождение.

Логические бомбы

Логическая бомба – это программный модуль, который при благоприятных условиях выполняет негативные действия. Такая бомба срабатывает по времени, когда в информационной базе появляется или исчезает запись. Условие запуска логической бомбы определяется программистом, который её создает. Чаще всего, такие бомбы встраивают в вирусы, Трояны, или в обычные программы.

Вирусные черви

Вирусные черви делаются с целью выполнения конкретной функции. Чаще всего, их делают для того чтобы модифицировать определенные данные. Злоумышленник создает червя, который подсматривает пароль доступа к лицевому банковскому счету и изменяет информационную базу так, чтобы на счет мошенника была зачислена сумма денежных средств. Получившая широкое распространение программа червь была создана студентом университета Корнели по имени Роберт Моррис. Червь был отправлен в сеть 2-го ноября 1988-го года. За несколько часов вредоносный код проник на 6 тысяч персональных компьютеров, которые были подключены в международной сети. Весьма проблематично понять, является ли программное обеспечение троянским и заложена ли в нём бомба логического типа. Программист обладает властью над своим творением. Чтобы изучить сомнительную программу или систему может потребоваться немало времени и весьма немалых материальных затрат. Поэтому, обменивайтесь программами только со своими знакомыми и не покупайте нелицензионные копии программ. В любой нелицензионной программе может быть встроен дополнительный вредоносный код. Их запуск может нарушить работу системы.

Сложность создания компьютерного вируса

В сфере программистов существует мнение относительно того, что для того чтобы написать компьютерный вирус необходимо иметь непревзойденный талант и профессиональные навыки. Может быть, написание шифровального полиморфного вируса «с нуля» действительно очень сложное, но гением криптографии быть не обязательно. Преимущественное количество вирусов пишутся программистами, которым, попросту нечем заняться. Современное антивирусное программное обеспечение без особых проблем справляется с вирусной активностью. Кроме того, можно писать вирусы, не вдаваясь в детали их устроения и даже не зная основ криптографии. Есть множество специализированных программ, которые представляют собой целые лаборатории по написанию вирусных кодов. Такие программы, как правило, обладают простым и понятным интерфейсом. Злоумышленники, умея пользоваться этими программами, легко пишут вирусные вредоносные коды. При правильном подходе, программа в автоматическом режиме сгенерирует инфицированный файл, подготовленный к популяризации.

virus_generator

Вследствие этого, ежедневно в сети появляются новые вирусы, некоторые из которых представляют огромную опасность компьютерам. Следует отметить, что даже простенькие вирусные коды, написанные непрофессионалами или автоматизированными вирусными генераторами, могут в значительной степени навредить вашему компьютеру. Поэтому ни в коем случае, не следует пренебрегать защитным программным обеспечением.

Каналы популяризации вирусов

Для разработки эффективной системы антивирусной компьютерной защиты и корпоративных внутренних сетей, необходимо понимать реальную угрозу ситуации. Для своей популяризации вирусы выбирают самые разнообразные каналы. Стоит отметить, что к уже устаревшим методам популяризации вирусов каждый день добавляются новые.

Стандартные методы популяризации вирусов

Как уже было сказано выше, первые в мире, вирусы файловой системы распространялись вместе с программными файлами вследствие обмена дисками, запуска программного обеспечения из каталогов сетей, сайтов и так далее. Сегодня можно обрести вирус на обычном диске с пиратским программным обеспечением, взяв его вместе с игровой программой у своего знакомого. Вирусы загрузочного типа проникают на персональный компьютер, когда пользователь оставляет диск в дисководе, выполняя перезагрузку операционной системы. Следует отметить, что такие вирусы могут быть занесены на персональный компьютер с другими вирусами. Макро командные вирусы, чаще всего, распространяются в офисных документах, например, в файлах «Microsoft Word», «Microsoft Excel», «Microsoft Access» и так далее. Если инфицированный персональный компьютер имеет подключение к местной интрасети, вирус может с легкостью перескочить на файловый сервер, а оттуда с помощью каталогов, доступных для записи заразить другие компьютеры, находящиеся в сети. Таким образом, начинается эпидемия вирусов. Если вы работаете в должности системного администратора, вы должны помнить, что сетевой вирус обладает теми же правами, что и вы. В результате этого он может оказаться в любом пользовательском каталоге.

Почтовый вирус

На сегодняшний день, человеческую жизнедеятельность сложно представить без электронной почты. Доподлинно известно, что вместе с информационными электронными письмами может быть передан любой файл, внутри которого может находиться вирусный код. Мошенник может отправить вам троянскую программу, негативный программируемый сценарий «Visual Basic Script», зараженное программное обеспечение и так далее. Как вы знаете, электронная почта является своего рода каналом популяризации макро командных вирусов, так как вместе с информацией, зачастую, пересылаются документы офисного типа. Для шифрования вирусов, их создатели часто используют тот факт, что диалоговое окно «Microsoft Windows» не показывает расширение зарегистрированного файла. Например, файл, имеющий название «FreeCreditCard.txt.exe» будет показываться как «FreeCreditCard.txt». Если вы попытаетесь запустить этот файл с надеждой найти в нем интересующую вас информацию, будет инициализирован вредоносный код. Кроме того, в результате разных ошибок, которые присутствуют в почтовой программе, вложенный файл может быть запущен автоматически. Приведем небольшой пример! Не так давно в сети наблюдалась вирусная эпидемия, вызванная программой червем под названием «W32/Klez». Этот червь проникал на персональные компьютеры через ошибку в браузере «Microsoft Internet Explorer 5» без обновления «SP2». Данный вирусный код заменял заглавие «From» в информационном сообщении. Затем он деактивировал антивирусную программу, запущенную на персональном компьютере. Этот червь распространялся через локальную сеть общественного пользования, записывая в типовых архивах «RAR». Вирус червь «W32/Klez» также делал рассылку документов по сети интернет, вызывая тем самым утечку важных данных. Все вы знаете, что электронная почта может приходить в виде «HTML» документа. Заметим, что подобные документы включают в себя ссылки на управление «ActiveX», на приложения «Java» и иные компоненты. С помощью ошибок в программном клиенте, злоумышленники используют активные компоненты для занесения вирусов и Троянов на компьютер. При принятии информации в формате «HTML» почтовые клиенты, чаще всего, показывают содержимое в собственном окошке. Если информационное сообщение включает в себя вредоносный компонент, он моментально запускается и выполняет свои вредные функции. Зачастую, так распространяются троянское программное обеспечение и вирусы черви.

Троянские веб страницы

Даже занимаясь серфингом веб страниц в сети Интернет, вы подвергаете свой компьютер риску вирусного заражения. Так называемые «дыры» в браузерах могут привести к тому, что вредоносные троянские программы внедряться на ваш персональный компьютер. В этой ситуации используется аналогичный метод популяризации вирусов, что и при получении информационных сообщений по электронной почте в «HTML». Инфицирование компьютера происходит, как правило, незаметно — активные составляющие веб сайтов могут не обладать пользовательским интерфейсом и быть незаметными с внешней стороны. Вам может прийти приглашение на посещение троянского сайта в обыкновенном письме. Заинтересованные лица, нажав на ссылку, которая находится в электронном сообщении, могут оказаться в опасной среде.

Вирусы в системе документооборота

Документация, которая хранится в системной базе данных документооборота, например, «Lotus Notes» и «Microsoft Exchange», тоже может включать в себя вирусные коды и вредные макро команды. Они могут быть активированы при осуществлении определенных действий над документацией. Такие вирусы, как правило, содержаться не в файлах, а в информационных записях, поэтому для должной защиты от них лучше воспользоваться специальными антивирусными программами.

Новые уникальные вирусы

Мы живём в веке современных технологичных решений и компьютерных вирусов, которые легко приспосабливаются к любой сфере обитания. Одним из новых вирусов является — «W32/Perrun», который распространяется через графические файлы в формате «JPEG». После своей инициализации, вирус находит файлы «JPEG» и дополняет их своим кодом. После этих действий инфицированные графические файлы содержат в себе не просто фотографии, но и вирусный вредоносный код. Следует отметить, что этот уникальный вирус является не очень опасным, а для его распространения требуется специальное программное обеспечение. Отдельно стоит выделить современный вирус под названием «Palm.Phage», который инфицирует приложения компьютеров «PalmPilot», добавляя в файлы приложений свой вредоносный код. Возникновение вышеописанных вирусов еще раз доказывает то, что в любое время может появиться вирусный код, троянское программное обеспечение или червь, совершенно нового, уникального вида, ориентированный на новые компьютеры. Современные вредоносные программы и вирусы могут пользоваться неизвестными или несуществующими раньше каналами распространения, а также новыми технологичными решениями для внедрения в компьютеризированные и серверные системы.

Заключение

Какой бы способ защиты от вирусов вы для себя ни выбрали, даже установленное и хорошо настроенное программное обеспечение не даст полной гарантии защищённости ваших данных. Ежедневно появляются новые и новые изощрённые способы как навредить пользователю, поэтому нужно всерьёз отнестись к тому, что вы сейчас делаете чтобы обезопасить себя.