- •6.1. Класифікація шкідливого програмного забезпечення
- •6.2. Програмні закладки
- •6.2.1. Функції програмних закладок
- •6.2.2. Шпигунські програми
- •6.2.3. «Логічні бомби»
- •6.2.4. Люки — утиліти віддаленого адміністрування
- •6.2.5. Несанкціонована робота з мережею
- •6.2.6. Інші програмні закладки
- •6.3. Комп'ютерні віруси
- •6.3.1. Файлові віруси
- •6.3.2. Завантажувальні віруси
- •6.3.3. Макровіруси
- •6.3.4. Скриптові віруси
- •6.3.5. Захист від комп'ютерних вірусів
- •6.4. Мережні хробаки
- •6.4.1. Класифікація мережних хробаків
- •6.4.2. Хробак Морріса
- •6.4.3. Сучасні мережні хробаки
- •6.5. «Троянські коні»
- •6.5.1. Соціальна інженерія
- •3DNow!(tm) mobile emulator for *games* .
- •Internet Accelerator
- •Internet accelerator, ssl security update #7. Internet Cracker
- •Virtual sex mobile engine from Russian hackers!
- •6.5.2. Класифікація «троянських коней»
- •6.5.3. Шпигунські троянські програми
- •6.5.4. Троянські інсталятори
- •6.5.5. «Троянські бомби»
- •6.6. Спеціальні хакерські утиліти
- •6.6.1. Засоби здійснення віддалених атак
- •6.6.2. Засоби створення шкідливого програмного забезпечення
- •6.6.3. Створення засобів атак
6.3.2. Завантажувальні віруси
Завантажувальні, або бутові (англ. boot — початкове завантаження, специфічний комп'ютерний термін, скорочення від Bootstrap Loader — програма початкового завантаження), віруси активуються у момент завантаження системи. Для цього їм потрібно розташувати частину свого коду в службових структурах носія, з якого відбувається завантаження — жорсткого диска або дискети. Зараження дискети здійснюється записуванням коду вірусу замість оригінального коду boot-сектора дискети. Зараження жорсткого диска відбувається в один із трьох способів: вірус записує себе замість коду MBR (Master Boot Record — головний завантажувальний запис, таблиця у першому секторі завантажувального диска) чи замість коду boot-сектора завантажувального диска (у Windows — це, як правило, диск С) або модифікує адресу активного boot-сектора в таблиці розділів диска (Disk Partition Table), що знаходиться в MBR.
Завантаження з дискети вже відійшло у минуле, позаяк сучасні операційні системи вимагають більші об'єми носіїв для розміщення свого коду. Саме через те, що дискета як носій для завантаження ОС втратила свою актуальність, бутові віруси в наш час менш поширені.
На жорсткому диску бутові віруси можуть вельми спокійно існувати і завдавати величезної шкоди інформаційним ресурсам. Вони також можуть дуже ефективно протидіяти антивірусним засобам, оскільки саме віруси стартують першими, ще до запуску операційної системи, і тому вони здатні залишити за собою керування критичними для їх існування ресурсами комп'ютера, зокрема, файловою системою. З іншого боку, для цього потрібно фактично утворити для ОС віртуальну машину, що для сучасних систем хоча і є можливим (адже існують спеціальні програмні засоби, на кшталт vmware), але потребує великого обсягу програмного коду, що не дуже прийнятно для вірусу.
Розглянемо детальніше послідовність запуску персонального комп'ютера, побудованого на платформі Intel [63]. Безпосередньо після ввімкнення живлення або натискання кнопки Reset, що ініціює перезавантаження, процесор починає роботу в реальному режимі, тобто у режимі, сумісному з процесором 8086 (див. розділ 10). У цьому режимі процесор не підтримує функцій захисту: будь-який процес, що в поточний момент виконує процесор, може здійснювати доступ до будь-якого місця в адресному просторі та до будь-яких портів введення-виведення. Саме у цьому режимі виконується початкове тестування компонентів комп'ютера. Після успішного завершення тестування починається завантаження опе-раційної системи, для чого процесор звертається до початкового (нульового) сектора на диску, визначеного у BIOS (вважатимемо, що це жорсткий диск). З цієї доріжки процесор зчитує і запускає програму-завантажувач, яка знаходить на диску програму ініціалізації операційної системи. Якщо завантаження відбувається із жорсткого диска, то спочатку стартує системний завантажувач, розташований у MBR-області диска. Тут знаходиться і таблиця розділів диска, яка містить інформацію про логічні диски, їхній формат, а також покажчик на активний розділ, з якого відбувається завантаження. У цьому розділі є завантажувальний сектор, де розташовано завантажувач операційної системи або інше програмне забезпечення: це може бути, наприклад, менеджер завантажень, який підтримує завантаження альтернативних ОС або різних конфігурацій однієї системи, зокрема завантаження з різних логічних дисків. Далі програма-завантажувач передає керування програмі ініціалізації ОС. Дії останньої залежать від того, чи передбачає ця система роботу в захищеному режимі процесора. Якщо ні (наприклад, MS-DOS), то відбувається процес завантаження системи, у ході якого формуються середовище і структури даних для роботи в реальному режимі. Якщо ж необхідно переключитися у захищений режим (підтримується переважною більшістю сучасних ОС), то спочатку слід сформувати структури даних, без яких працювати у цьому режимі неможливо: таблиці дескрипторів сегментів, таблицю переривань, дескриптори і контексти процесів (щонайменше одного, який виконуватиметься безпосередньо після переходу в захищений режим).
До переходу в захищений режим і до старту ОС виконуються численні операції, які суттєво впливають на середовище системи під час її подальшої роботи (формування системного середовища, таблиці переривань тощо). Тут є величезний простір для діяльності вірусу. Єдине, що потрібно вірусу, — щоб його було запущено програмою-завантажувачем до або під час ініціалізації ОС.
Великим і складним вірусам, розміщеним у завантажувальних секторах дисків (яким, наприклад, був OneHalf), для розповсюдження потрібен був інший носій, позаяк жорсткі диски переносять нечасто, а на дискетах не вистачало місця і для операційної системи, і для вірусу. Тому їх розповсюджували як звичайні файлові віруси, що після запуску намагалися заразити MBR. Поєднання характеристик бутових і файлових вірусів було типовим. Зараження 6у-товим вірусом особливо небезпечне. За деякими повідомленнями, той самий OneHalf, впроваджений у MBR, досить вільно існував у захищеному середовищі Windows NT Workstation 4.0 [24].
У сучасних операційних системах модифікація MBR ретельно контролюється, її так само контролюють апаратні засоби деяких системних плат, тому такі віруси мають небагато шансів на успіх. Однак це твердження справедливе лише за умови правильного адміністрування і дотримання політики безпеки.
Сучасні знімні носії (наприклад, flash-накопичувачі, оптичні диски), що мають достатній об'єм, інколи використовують для завантаження операційної системи. Flash-накопичувачі для цього використовують рідко. Проте за всіма ознаками вони могли б стати підґрунтям для відродження бутових вірусів, якби завантаження з них було більш поширеною процедурою. Частіше завантаження здійснюють із дисків CD-ROM (або DVD-ROM), CD-R і CD-RW. Але запис на диски CD-R і CD-RW відбувається не так непомітно і швидко, як на жорсткий диск, тому оптичні диски не стали носіями для вірусів. Хоча, безумовно, «підхопити» вірус із піратського диска можна. Також відомі прецеденти, коли віруси містилися на дисках із презентаційними матеріалами, демоверсіями програмного забезпечення, комп'ютерними виданнями.