- •Глава 8. Компьютерные вирусы и борьба с ними...........................................................65
- •Глава 9. Средства защиты сети .........................................................................................73
- •Глава 8. Компьютерные вирусы и борьба с ними
- •8.1. Общие сведения о компьютерных вирусах
- •8.2. Классификация вирусов
- •8.3. Файловые вирусы
- •8.4. Макровирусы
- •8.5. Сетевые черви
- •8.6. Загрузочные вирусы
- •8.7. Троянские кони
- •8.8. Технологии маскировки вирусов
- •8.9. Тенденции современных компьютерных вирусов
- •8.10. Борьба с вирусами
- •Глава 9. Средства защиты сети
- •9.1. Межсетевые экраны
- •9.2. Виртуальные частные сети (vpn)
- •9.3. Системы обнаружения вторжений (ids)
8.6. Загрузочные вирусы
Загрузочные вирусы заражают носители данных. Изначально заражению подверга-
лись дискеты и жесткие диски. Загрузочный вирус прописывает себя в первый (нулевой)
сектор раздела, где обычно находится программа-загрузчик. Сама эта программа переме-
щается в другое место, а при загрузке с зараженного носителя сначала запускается вирус.
Вирус предпринимает меры к тому, чтобы закрепиться в оперативной памяти и получить
контроль над системой, после чего позволяет загружаться стандартному загрузчику.
Классические загрузочные вирусы в настоящее время устарели, поскольку загрузка с
дискеты (а именно на дискетах такие вирусы и распространялися) уже практически не ис-
пользуется. Однако в последние годы появилась вариация вирусов (которые также можно
назвать загрузочными), распространяющиеся через флэш-накопители.
Такой вирус представляет собой обычный исполняемый файл с атрибутом «скры-
тый», который записывается в корневой каталог флешки либо в скрытую папку, эмули-
рующую корзину Windows либо другую системную папку. Кроме этого в корневом рата-
логе размещается файл autorun.inf со ссылкой на вирус. Вирус активируется, если у флеш-
ки срабытывает автозапуск, а это обычно происходит автоматически, если открывать
флешку двойным щелчком по ее ярлыку при условии, что настройки Windows установле-
ны по умолчанию. Вирус оставляет свои копии (вместе с autorun.inf) на всех разделах же-
сткого диска и, таким образом, получает управление во время каждого сеанса работы
пользователя, когда тот случайно активирует автозапуск на одном из этих разделов. Далее
вирус постоянно находится в оперативной памяти, исполняет свою начинку, а также от-
слеживает подключение к компьютеру новых переносных носителей и заражает их.
Для профилактики таких вирусов (помимо антивирусной защиты) необходимо от-
крывать переносные устройства таким образом, чтобы не позволить сработать автозапус-
ку. Например, открывать их через оболочку типа Total Commander, либо через адресную
строку проводника Windows (но не двойным щелчком по ярлыку).
8.7. Троянские кони
Троянским конем (разг.: троян, троянец) называется вредоносная программа, которая
не имеет (в отличие от вирусов) способности к саморазмножению, а вместо этого маски-
руется под программу, выполняющую полезные функции. Таким образом, распростране-
ние троянских коней часто происходит посредством самих пользователей, которые скачи-
вают их из Интернета или друг у друга, не догадываясь о последствиях.
Особая опасность в том, что пользователи принимают их за легальные программы.
Поэтому запуская троянского коня пользователь может вручную (в ответ на предупреж-
дение операционной системы или файервола) дать ей все необходимые права, открыть
доступ в Интернет и к системным ресурсам.
Одна из распространенных начинок троянских коней — бэкдор (backdoor) — про-
грамма, позволяющая злоумышленнику получать удаленный доступ к системе (а в неко-
торых случаях полностью ее контролировать).
8.8. Технологии маскировки вирусов
Помимо начинки и механизма размножения интерес представляют приемы, с помо-
щью которых вирусы скрывают свое присутствие в системе, с тем, чтобы продержаться в
ней как можно дольше.
Стелс-вирус — вирус, полностью или частично скрывающий свое присутствие пу-
тем перехвата обращений к операционной системе, осуществляющих чтение, запись, чте-
ние дополнительной информации о зараженных объектах (загрузочных секторах, элемен-
тах файловой системы, памяти и т.д.) Например, файловый вирус может перехватывать
функции чтения/записи в файл, чтения каталога и т. д., чтобы скрыть увеличение размера
зараженных программ; перехватывает функции чтения/записи файла в память, чтобы
скрыть факт изменения файла.
Полиморфные вирусы — вирусы, модифицирующие свой код в зараженных про-
граммах таким образом, что два экземпляра одного и того же вируса могут не совладать
ни в одном бите. Это затрудняет анализ и обнаружение его антивирусом. Для модифика-
ции кода используется шифрование. Т.е. вирус содержит шифратор, причем при размно-
жении каждая копия вируса шифруется новым случаным ключом, а расшифровывает ви-
рус сам себя уже во время выполнения. Естественно, дешифратор при этом не зашифро-
вывается, но полиморфные вирусы обычно содержат код генерации дешифратора, чтобы,
выполняя одни и те же функции, эта часть в каждой копии вируса имела различный вид.
Рис 2. Структура полиморфного вируса.