Файловые вирусы

Записывают свой код в начало, середину или конец файла либо сразу в несколько мест. Исходный файл изменяется таким образом, чтобы после открытия файла управление было немедленно передано коду вируса.

Вирусы в кластерах

•Являются разновидностью файловых вирусов. При заражении код вируса копируется в один из свободных кластеров диска, который помечается в таблице размещения файлов как последний кластер файла.

•Затем изменяются описания программных файлов в каталоге – вместо номера первого выделенного файлу кластера помещается номер кластера, содержащего код вируса.

Вирусы в макросах

Условия, благоприятствующие их созданию:

•Возможность включения в документ макроса.

•Языки программирования макросов, особенно VBA, являются универсальными языками, позволяющими создавать достаточно сложные процедуры.

•Поддержка автоматически выполняемых макросов, связанных с определенными событиями (например, открытием документа) или определенными действиями.

Причины, способствующие внедрению программных

закладок

• Разрешение пользователю доступа по записи к критичному системному ресурсу.

• Сохранение (установка) уязвимой сетевой службы.

• Оставление незаблокированной консоли администратора.

• Требования высокопоставленных пользователей и т.д.

Признаки внедрения программных закладок

•Изменение конфигурационных файлов ОС (например, реестра Windows) для обеспечения автозапуска закладки при загрузке ОС.

•Использование для связи с нарушителем протокола TCP/IP с большим номером порта.

•Создание после своей загрузки отдельного процесса.

•Отсутствие длительное время после загрузки активных действий.

Признаки внедрения

программных закладок

•Оставление следов в файле аудита и др.

Технология «руткитов»

•Руткиты представляют собой более продвинутый вариант троянских коней.

•Обычный «троян» маскируется под известную программу (например, Spymaster выдает себя за приложение MSN Messenger), а руткиты используют для маскировки более продвинутые методы, внедряясь глубоко в систему.

Технология «руткитов»

•Практически все современные версии руткитов могут скрывать от пользователя файлы, папки и параметры реестра, работающие программы, системные службы, драйверы и сетевые соединения.

•В основе функционирования руткитов лежит модификация данных и кода программы в памяти операционной системы.

Виды руткитов

•работающие на уровне ядра (Kernel Level, или KLT);

•функционирующие на пользовательском уровне (User Level).

Технология «руткитов»

•Для защиты от уничтожения пользователем или антивирусом в руткитах применяются разные методы, Например, запускаются два процесса, контролирующих друг друга (если один из них завершается, то второй восстанавливает его).

•Другой способ: файл открывается в режиме монопольного доступа или блокируется с помощью специальной функции; удалить такой файл стандартными способами невозможно.