- •Глава 1 Кто и почему пишет вирусы?3
- •Глава 1
- •1.1 Свойства компьютерных вирусов
- •1.2 Классификация вирусов
- •1.3 Загрузочные вирусы
- •1.4 Файловые вирусы
- •1.5 Полиморфные вирусы
- •1.6 Stelth-вирусы
- •1.7«Троянские кони»
- •1.8 Пути проникновения вирусов в компьютер
- •1.9 Признаки появления вирусов
- •2.1 Методы защиты от компьютерных вирусов
- •2.2 Антивирусные программы
- •2.3Классификация антивирусных продуктов
1.5 Полиморфные вирусы
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
1.6 Stelth-вирусы
Stelth-вирус (англ. stealthvirus — вирус-невидимка) — вирус, полностью или частично скрывающий свое присутствие в системе, путем перехвата обращений к кооперационной системе , осуществляющих чтение, запись, чтение дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т. д.)
Виды Stelth-вирусов:
Загрузочный вирус перехватывает функцию ОС, предназначенную для по секторного доступа к дискам, с целью «показать» пользователю или программе-антивирусу оригинальное содержимое сектора до заражения.
Файловый вирус перехватывает функции чтения/установки позиции в файле, чтения/записи в файл, чтения каталога и т. д., чтобы скрыть увеличение размера зараженных программ; перехватывает функции чтения/записи/отображения файла в память, чтобы скрыть факт изменения файла.
Макровирусы. Реализовать Stelth-алгоритм в макровирусах достаточно просто, нужно запретить вызов меню File/Templase или Tools/Macro, достичь этого можно удалением пунктов меню из списка либо их подменой на макросы FileTemplase и ToolsMacro. Также Stelth-вирусами можно назвать макровирусы, которые свой основной код хранят не в самом центре, а в других областях документа.
К известным Stealth-вирусам относятся вирусы :Virus.DOS.Stealth.551, Exploit.Macro.Stealth,Exploit.MSWord.Stealth, Brain, Fish#6.
1.7«Троянские кони»
Троянская программа (также — троян, троянец, троянский конь) — вредоносная программа, распространяемая людьми, в отличие от вирусов и червей, которые распространяются самопроизвольно. Основные задачи троянов – это либо получить удаленный доступ к зараженному компьютеру, либо собрать и выслать определенную информацию. При запуске нужной программы троянец самопроизвольно устанавливается в систему, при этом ссылка на его деятельность будет отсутствовать в списке активных приложений или сливаться с ними.
«Трояны» — самый простой вид вредоносных программ, сложность которых зависит исключительно от сложности истинной задачи и средств маскировки. Самые примитивные «трояны» (например, стирающие содержимое диска при запуске) могут иметь исходный код в несколько строк.
Примеры троянских программ: BackOrifice, Pinch, TDL-4, Trojan.Winlock.