- •Компьютерные вирусы и вредоносные программы План
- •Введение
- •1. Этимология названия
- •2. Формальное определение компьютерного вируса
- •2.1.Машина Тьюринга
- •2.2. Конечный автомат
- •2.3. Формальное определение
- •3. Компьютерный вирус Основные свойства
- •4. История компьютерных вирусов
- •2000 Год еще можно назвать годом "Любовных Писем".
- •5. Вирус, ворующий программный код
- •6.1. Классификация компьютерных вирусов по среде обитания
- •1.2. Классификация компьютерных вирусов по способу заражения
- •1.3. Классификация компьютерных вирусов по особенностям алгоритма работы
- •1.4. Классифиация компьютерных вирусов по деструктивные возможностям
- •1.5. Классифиация компьютерных вирусов по целостности
- •7. Макровирусы
- •3. Понятие стелс-алгоритмов активhые стелс - вирусы
- •4. Сетевые Вирусы
- •Структура файлового hерезидеhтhого вируса
- •Структура файлового резидеhтhого вируса
- •Структура бутового вируса
6.1. Классификация компьютерных вирусов по среде обитания
По среде "обитания" вирусы делятся на:
файловые;
загрузочные;
макровирусы;
сетевые.
Файловые вирусы – вирусы, внедряющие свой код в исполняемые файлы:
командные файлы,
программы,
драйверы,
исходный код программ и др
Файловые вирусы внедряются главным образом в исполняемые модули, т. е. в файлы, имеющие расширения СОМ и ЕХЕ(наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.
Загрузочные вирусы ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик жесткого диска (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макровирус(Macroviruses) —это разновидность компьютерных вирусов, разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office,системы обработки данных (текстовые редакторы, электронные таблицы и т. д.).
Макровирусы заражают файлы-документы, электронные таблицы и презентации ряда популярных редакторов.
Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office97.
Существуют также макро-вирусы, заражающие документы AmiPro и базы данных Microsoft Access.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков.
Такие вирусы:
имеют довольно сложный алгоритм работы,
часто применяют оригинальные методы проникновения в операционную систему,
используют стелс- и полиморфик-технологии.
Другой пример такого сочетания — сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте (например, «I lov you» или «Анна Курникова»).
Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы.
Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS-DOS, Win95/98/NT, OS/2 и т.д.
Макровирусы заражают файлы форматов Word, Excel, PowerPoint, Office97.
1.2. Классификация компьютерных вирусов по способу заражения
По способу заражения файловые вирусыразделяют на:
перезаписывающие,
паразитические,
вирусы-звенья,
вирусы-черви,
компаньон-вирусы,
вирусы, поражающие исходные тексты программ и компоненты программного обеспечения (VCL, LIB и др.). Перезаписывающие вирусы Вирусы данного типа записывают своё тело вместо кода программы, не изменяя названия исполняемого файла, вследствие чего исходная программа перестаёт запускаться. При запуске программы выполняется код вируса, а не сама программа.
Паразитические вирусы (Простейшие вирусы) — это файловые вирусы, изменяющие содержимое файла и сектора диска, добавляя в него свой код. При этом заражённая программа сохраняет полную или частичную работоспособность. Код может внедряться в начало, середину или конец программы. Код вируса выполняется перед, после или вместе с программой, в зависимости от места внедрения вируса в программу. Они могут быть достаточно легко обнаружены и уничтожены.
Вирусы-звенья Как и компаньон-вирусы, не изменяют код программы, а заставляют операционную систему выполнить собственный код, изменяя адрес местоположения на диске заражённой программы на собственный адрес. После выполнения кода вируса управление обычно передаётся вызываемой пользователем программе.
Файловые черви (вирусы-репликаторы)
"Файловый червь"- это посторонний файл, сформированный внутри информационной базы данных системы. Он способен изменять рабочие
файлы, уменьшать ресурсы памяти, а также перемещать и изменять
определенную информации.
Файловый червь — программа, распространяющаяся по компьютерным сетям и не оставляющая своей копии на магнитном носителе. Она проникает в память компьютера из сети, вычисляет сетевые адреса других компьютеров и рассылают по этим адресам свои копии.
Червь использует механизмы поддержки сети для определения узла, который может быть заражен. Затем с помощью тех же механизмов передает свое тело или его часть на этот узел и либо активизируется, либо ждет для этого подходящих условий.
Черви уменьшают пропускную способность сети, замедляют работу серверов. Могут размножаться без внедрения в другие программы и иметь «начинку» из компьютерных вирусов.
Наиболее известный представитель этого класса — вирус Морриса (червь Морриса), поразивший в конце 80-х несколько глобальных сетей в США).
Подходящей средой распространения червя является сеть, все пользователи которой считаются дружественными и доверяют друг другу, а защитные механизмы отсутствуют. Наилучший способ защиты от червя — принятие мер предосторожности против несанкционированного доступа к сети.
Файловые черви создают собственные копии с привлекательными для пользователя названиями (например, Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит. Вирусы-компаньоны Компаньон-вирусы, как и перезаписывающие вирусы, создают свою копию на месте заражаемой программы, но в отличие от перезаписываемых не уничтожают оригинальный файл, а переименовывают или перемещают его.
Вирусы-компаньоны создают для «ехе-файлов» новые файлы-спутники, имеющие то же имя, но с расширением «com». Вирус записывается в «com-файл» и никак не изменяет одноименный «ехе-файл». При запуске такого файла ОС первым обнаружит и выполнит «com-файл», т.е. вирус, который затем запустит и «ехе-файл». При запуске программы вначале выполняется код вируса, а затем управление передаётся оригинальной программе. Возможно существование и других типов вирусов-компаньонов, использующих иные оригинальные идеи или особенности других операционных систем. Например, PATH-компаньоны, которые размещают свои копии в основном каталоге Windows, используя тот факт, что этот каталог является первым в списке PATH, и файлы для запуска Windows, в первую очередь, будет искать именно в нём. Данными способом самозапуска пользуются также многие компьютерные черви и троянские программы.
Примечание.
EXE(сокр.англ.Executable — исполнимый) —расширениеисполнимых файлов, применяемое в системахDOS, Windows, Symbian OS, OS/2и в некоторых других, соответствующее рядуформатов. Кромеобъектного кода, может содержать различныеметаданные(ресурсы,цифровая подпись.
Файл EXE,создаваемыйкомпоновщиком, состоит из двух частей:
управляющая информация для загрузчика;
загрузочный модуль
COM (англ.command) — расширение файла, использовалось в некоторых операционных системах в различных целях.
COM-программы обычно являются небольшими приложениями, системными утилитами или небольшими резидентными программами.
Вирусы, поражающие исходный код программ Вирусы данного типа поражают исходный код программы или её компоненты (.OBJ, .LIB, .DCU), а также VCL и ActiveX-компоненты. После компиляции программы оказываются встроенными в неё. В настоящее время широкого распространения не получили.