Контрольные вопросы

1. Назовите основные признаки деления вирусов на классы.

Среда обитания (где вирус распространяется): файловые, загрузочные, макровирусы, сетевые.

Операционная система: Windows, Linux, macOS, Android и т.д.

Особенности алгоритма работы: резидентные, нерезидентные, стелс-вирусы, полиморфные.

2. Файловые, сетевые … – продолжите список вирусов.

Загрузочные, макровирусы, резидентные, полиморфные, троянские программы, черви, руткиты.

3. К вирусам какого признака можно отнести макровирусы?

Макровирусы относятся к признаку «среда обитания». Их средой обитания являются не исполняемые файлы, а документы и шаблоны, содержащие макросы (например, файлы Microsoft Word, Excel, PowerPoint).

4. Термин «компаньон-вирусы» относятся к каким вирусам?

Компаньон-вирусы — это разновидность файловых вирусов. Они не изменяют оригинальный файл, а создают его дубликат с таким же именем, но с более высоким приоритетом для запуска операционной системой (например, virus.exe вместо virus.com).

5. Опишите правила работы загрузочных вирусов.

Загрузочные вирусы заражают загрузочный сектор (Boot Record) жесткого диска или дискеты. При включении компьютера BIOS считывает загрузочный сектор и передает ему управление. Вирус, находящийся там, резидентно загружается в память, перехватывает системные прерывания, а затем загружает и передает управление оригинальному загрузчику. Это позволяет вирусу активироваться при каждой загрузке ОС.

6. Как макровирусы получают управление?

Макровирусы получают управление, когда пользователь открывает зараженный документ или шаблон, и приложение (например, Word) автоматически выполняет макрос, содержащий вирусный код. Часто вирус перехватывает стандартные события приложения, такие как AutoOpen, AutoClose, Document_Open, чтобы активироваться автоматически.

7. Какие вирусы называют программами типа «червь»?

Черви — это тип вредоносного ПО, основная цель которого — самостоятельное распространение по сетям. Они используют уязвимости в операционных системах и приложениях для проникновения на другие компьютеры. В отличие от классических вирусов, червям не обязательно заражать другие файлы.

8. Как действуют вирусы, ориентированные на операционную систему?

Эти вирусы внедряются в компоненты операционной системы (системные файлы, драйверы, модули ядра). Они могут перехватывать и модифицировать системные вызовы (прерывания), маскировать свое присутствие, получать высокие привилегии и глубоко встраиваться в работу ОС, что затрудняет их обнаружение и удаление.

9. Опишите стадию жизненного цикла вируса, на которой он наиболее уязвим со стороны антивирусной программы.

Вирус наиболее уязвим на стадии размножения (репликации). В этот момент его код активно работает, создает новые файлы или модифицирует существующие, что может быть обнаружено поведенческими анализаторами. Кроме того, сигнатура вируса (уникальная последовательность байт) присутствует в зараженном файле до его шифрования или полиморфизма.

10. Перечислите этапы стадии исполнения вируса.

1. Проверка условий активации.

2. Дешифровка (если вирус зашифрован).

3. Выполнение деструктивных действий.

4. Поиск объектов для заражения.

5. Заражение найденных объектов.

11. На какой стадии вирус может шифровать исполняемый код?

Вирус шифрует свой код на стадии внедрения в файл-жертву. При этом в файл записывается не оригинальный код вируса, а его зашифрованная версия и расшифровщик (дешифровщик). При запуске зараженного файла управление сначала получает дешифровщик, который расшифровывает и передает управление основному телу вируса.

12. Перечислите приёмы модификации кода.

• Шифрование: кодирование основного тела вируса с помощью ключа.

• Полиморфизм: изменение расшифровщика при каждом новом заражении, что делает каждый экземпляр вируса уникальным по сигнатуре.

• Метаморфизм: полное переписывание собственного кода при каждом заражении, что позволяет обойтись без постоянного дешифровщика.

13. Что представляет собой процесс загрузки вируса?

Процесс загрузки — это действия, которые вирус выполняет при запуске зараженного файла или загрузке ОС. Он включает в себя:

1. Активацию (получение управления).

2. Резидентное размещение в памяти (для резидентных вирусов).

3. Восстановление состояния системы, чтобы жертва работала корректно (например, передача управления оригинальной программе).

4. Установку перехвата системных прерываний для контроля над операционной системой.

14. Опишите поведение полиморфных вирусов.

Полиморфные вирусы самостоятельно изменяют свой код при каждом новом заражении. Они используют шифрование и модификацию кода-расшифровщика. В результате каждый зараженный файл содержит вирус с уникальной последовательностью байт, что делает обнаружение по статичной сигнатуре практически невозможным.

15. Опишите поведение стелс-вирусов.

Стелс-вирусы активно маскируют свое присутствие в системе. Они перехватывают запросы операционной системы к файлам и дискам. Когда антивирусная программа пытается прочитать зараженный файл или загрузочный сектор, стелс-вирус "подставляет" ей оригинальную, незараженную версию данных, скрывая свои изменения.

16. Охарактеризуйте невыгружаемые из основной памяти вирусы, приведите пример.

Это резидентные вирусы, которые после активации постоянно находятся в оперативной памяти и контролируют работу системы. Они не выгружаются даже после завершения работы зараженной программы-носителя.

Пример: Вирус Jerusalem (он же Friday 13th). После запуска зараженного файла он остается в памяти и заражает другие запускаемые программы.

17. Опишите два способа поиска жертвы заражения.

1. Прямой поиск: Вирус ищет файлы для заражения по шаблону (например, *.exe, *.com) в текущем или указанных каталогах.

2. Перехват прерываний: Резидентный вирус перехватывает системные прерывания. Когда пользователь или система пытается выполнить какую-либо операцию (открыть, запустить, скопировать файл), вирус проверяет этот файл и при возможности заражает его "на лету".

18. Что такое простейший случай заражения вирусом?

Простейший случай — это перезапись. Вирус просто записывает свой код в начало файла-жертвы, уничтожая оригинальный код программы. При запуске такого файла выполняется вирус, а оригинальная программа больше не работает. Такой вирус легко обнаружить.

19. Как создаётся новый инфицированный файл?

1. Вирус находит подходящий файл для заражения.

2. Он считывает оригинальное содержимое файла.

3. Модифицирует файл, добавляя в него свой код (одним из способов внедрения).

4. Записывает измененные данные обратно в файл.

20. Опишите первый способ внедрения вируса в файл.

Внедрение в начало (перезапись). Вирус записывает свой код поверх кода оригинальной программы. Файл увеличивается незначительно или не увеличивается вовсе. Оригинальная программа уничтожается и не может быть выполнена.

21. Опишите второй способ внедрения вируса в файл.

Внедрение в конец файла. Это самый распространенный способ. Вирус дописывает свой код в конец файла-жертвы, а в начало файла записывает команду перехода (JMP) на свой код. После выполнения вирус возвращает управление оригинальной программе.

22. Опишите третий способ внедрения вируса в файл.

Внедрение в середину файла. Вирус "вживляет" свой код в тело программы, например, в область неиспользуемых данных, в "дыры" между секциями или разрывая цепочки команд. Это сложный метод, требующий анализа структуры файла.

23. Каким вирусам и почему приходится хранить часть своего кода на диске? Назовите место, где должна находится другая часть кода этого вируса.

Это характерно вирусам, которые слишком велики, чтобы полностью поместиться в память, или для вирусов, заражающих файлы, которые не могут быть увеличены. Одна часть вируса находится в памяти резидентно, а другая часть хранится в специально созданном файле на диске (например, в системной области или в скрытом файле). Резидентная часть при необходимости загружает остальной код с диска.

24. Классификация Касперского, описание.

Классификация Касперского использует многоуровневую систему: [Тип вируса].[Платформа].[Семейство].[Имя вируса].[Дополнительная информация]

• Тип: Virus, Trojan, Worm, Backdoor.

• Платформа: Win32, Linux, OSX.

• Семейство: Nimda, Sality, Virut.

• Имя: a, b, c (варианты).

• Доп. информация: based (основан на), damaged (поврежден), packed (упакован). Пример: Virus.Win32.Sality.a

25. Процесс заражения для макровирусов.

1. Пользователь открывает зараженный документ.

2. Приложение (напр., Word) автоматически запускает вирусный макрос (например, AutoOpen).

3. Вирусный макрос копирует себя в глобальные шаблоны (например, Normal.dot), чтобы заражать все последующие документы.

4. При создании или открытии нового документа вирус копирует себя в этот документ.

5. Может выполнять деструктивные действия.

26. Какими могут быть вирусы по деструктивным свойствам?

• Безвредные: Не наносят прямого вреда (могут лишь размножаться и замедлять работу системы).

• Неопасные: Незначительные последствия (например, проигрывание звука в определенный день).

• Опасные: Приводят к серьезным сбоям (замедление работы, повреждение данных).

• Очень опасные: Целенаправленное уничтожение данных, форматирование диска, кража конфиденциальной информации.

27. Какими бывают вирусы по отношению к программе-носителю?

• Перезаписывающие: Уничтожают программу-носитель.

• Паразитические: Внедряются в тело программы, сохраняя ее работоспособность.

• Вирусы-компаньоны: Создают копию-двойник для программы-носителя.

28. Чем отличается троянская программа от червей?

• Троянская программа (Trojan): Не умеет самостоятельно размножаться. Маскируется под полезное ПО, чтобы пользователь сам ее запустил. Ее цель — выполнение вредоносных действий (кража данных, удаление файлов, создание бэкдора).

• Червь (Worm): Основная черта — самостоятельное распространение по сетям. Может не маскироваться под полезную программу. Его главная цель — как можно шире распространиться.