- •Лекція 4 віруси як шкідливе програмне забезпечення План лекції:
- •1. Класифікація комп'ютерних вірусів
- •2. Систематизація комп’ютерних вірусів
- •3. Файлові віруси
- •Види файлових вірусів
- •Алгоритм роботи файлового вірусу
- •Приклади файлових вірусів
- •4. Завантажувальні (бутові) віруси
- •Класифікаційний код завантажувального вірусу
- •Дескриптор завантажувального вірусу
- •Сигнатура бутового вірусу
- •Принцип дії завантажувальних вірусів
- •Розташування завантажувального вірусу
- •Алгоритм роботи завантажувального вірусу
- •Приклади завантажувальних вірусів
- •5. Макро-віруси
- •Причини зараження макро-вірусами
- •Загальні відомості про віруси в ms Office
- •Принципи роботи Word/Excel/Office-вірусів
- •Алгоритм роботи Word макро-вірусів
- •Алгоритм роботи Excel макро-вірусів
- •Алгоритм роботи вірусів для Access
- •Приклади макро-вірусів
- •6. Мережеві віруси
- •Приклади мережевих вірусів
- •7. Стелс-віруси
- •Приклади стелс-вірусів
- •8. Поліморфік-віруси
- •Поліморфні розшифровувачі
- •Рівні поліморфізму
- •Зміна виконуваного коду
- •9. Способи захисту від вірусів
- •Систематичне архівування важливої інформації
- •Обмеження ненадійних контактів
- •Використання антивірусних програм
- •Види антивірусних програм
- •Контрольні питання до Лекції 4
Алгоритм роботи файлового вірусу
Одержавши керування, вірус здійснює такі дії (приведений список найбільш загальних дій вірусу при його виконанні, і для конкретного вірусу список може бути доповнений, пункти можуть помінятися місцями і значно розширитися):
резидентний вірус перевіряє оперативну пам'ять на наявність своєї копії і інфікує пам'ять комп'ютера, якщо копія вірусу не знайдена. Нерезидентный вірус шукає незаражені файли в поточному і\або кореневому каталозі, у каталогах, відзначених командою PATH, сканує дерево каталогів логічних дисків, а потім заражає виявлені файли;
виконує, якщо вони є, додаткові функції, деструктивні дії, графічні чи звукові ефекти і т.д. Додаткові функції резидентного вірусу можуть викликатися через деякий час після активізації в залежності від поточного часу, конфігурації системи, внутрішніх лічильників чи вірусу інших умов; у цьому випадку вірус при активізації обробляє стан системного годинника, встановлює свої лічильники і т.д.;
повертає керування основній програмі (якщо вона є). Паразитичні віруси при цьому або лікують файл, виконують його, а потім знову заражають, або відновлюють програму (але не файл) у вихідному виді (наприклад, у COM-програм відновлюються декілька перших байтів, у EXE-програми обчислюється справжня стартова адреса, у драйвера відновлюються значення адрес програм стратегії і переривання). Компаньйони-віруси запускають на виконання свого "хазяїна", віруси-хробаки і overwriting-віруси повертають керування ОС.
Метод відновлення програми у первісному вигляді залежить від способу зараження файла.
Якщо вірус впроваджується в початок файла, то він або зрушує коди зараженої програми на число байтів, рівне довжині вірусу, або переміщає частину коду програми з її кінця в початок, або відновлює файл на диску, а потім запускає його.
Якщо вірус записався в кінець файла, то при відновленні програми він використовує інформацію, збережену у своєму тілі при зараженні файла. Це може бути довжина файла, декілька байтів початку файла у випадку COM-файла або декілька байтів заголовка у випадку EXE-файла.
Якщо ж вірус записується в середину файла спеціальним чином, то при відновленні файла він використовує ще і спеціальні алгоритми.
Приклади файлових вірусів
Abba.9849. Безпечний резидентний вірус. Перехоплює INT 21h і записується в кінець COM- і EXE-файлів при їх запуску. Містить рядки
\COMMAND.COM
Program too big to fit in memory
\ABBAл|*.* E\ABBAл|
Створює на поточному диску файли ABBAл|nn з атрибутами HIDDEN і READONLY, 'nn' - число файлів, заражених на цьому диску. Це число збільшується при зараженні чергового файла – вірус перейменовує цей файл в ABBAл|(nn+1). Залежно від числа nn вірус проявляє себе якимсь відео-ефектом на відео карті Hercules.
Lenin 943. Безпечний нерезидентний вірус. При запуску шукає EXE-файли і записується в їх кінець. При зараженні не змінює значення регістрів в EXE-заголовку, а вставляє в точку входу у файл команду CALL FAR virus і коректує Relocation Table. Залежно від своїх лічильників виводить тексти
САМЫЙ! ЧЕЛОВЕЧНЫЙ! ЧЕЛОВЕК!
Ленин и сегодня живее всех живых держит мертвой хваткой упыря
Також містить рядки
*.EXE PATH=
Metall.557. Дуже небезпечний нерезидентний вірус. Шукає .COM-файлы окрім COMMAND.COM і записується в їх кінець. Коректно заражає тільки файли, на початку яких присутня команда JMP/CALL NEAR. Решта файлів після зараження виявляється зіпсованими. Залежно від системного таймера перемішує символи на екрані. Містить рядок: METALL\I
Scorpion.2278. Дуже небезпечний нерезидентний зашифрований вірус. При запуску заражає файл C\COMMAND.COM, потім шукає COM- і EXE-файли і записується в їх кінець. При зараженні COMMAND.COM записується в кінець файлa в область стека COMMAND.COM і, таким чином, не збільшує його довжину. Знищує файли з ім'ям CHKLIST.MS. В деяких випадках також шукає інші файли і знищує їх. Залежно від системної дати і встановленого BIOS'а форматує вінчестер, виводить текст:
DEATH ON TWO LEGS V2.8
(c) BLACK SCORPiON, 1996
Written in Moscow
потім перехоплює INT 1Ch і програє мелодію. Вірус також містить рядки:
*.* *.EXE *.COM
C\COMMAND.COM
DEATH ON TWO LEGS WAS HERE
Sisters.2221. Дуже небезпечний резидентний зашифрований вірус. Перехоплює INT 21h, 16h і записується в кінець COM- і EXE-файлів при їх запуску. Знищує антивірусні файли даних CHKLIST.MS і CHKLIST.CPS.
Залежно від значень внутрішнього лічильника і поточної дати вірус відключає драйвер миші, стирає 40 секторів на диску C, видаляє CMOS пам'ять, завішує комп'ютер, виводить повідомлення:
TEMPLE OF LOVE V1.0 MS 95.
FoUnD VIRUS SYSTERS OF MERCY iN yOuR sYsTeM !!!
Вірусний обробник INT 16h (клавіатура) стирає CMOS-пам'ять комп'ютера після 700 натиснень на клавіші. Вірус також містить рядки тексту:
SyStEm is now halted.