2.8.3. Изменение выполняемого кода

Наиболее часто этот способ полиморфизма используется макровирусами, которые при создании своих новых копий случайным образом меняют имена собственных переменных, вставляют пустые строки или меняют свой код каким-либо иным способом. Таким образом алгоритм работы вируса остается без изменений, но код вируса практически полностью меняется от заражения к заражению.

Реже этот способ применяется сложными загрузочными вирусами. Такие вирусы внедряют в загрузочные сектора лишь достаточно короткую процедуру, которая считывает с диска основной код вируса и передает на него управление. Код этой процедуры выбирается из нескольких различных вариантов (которые также могут быть разбавлены "пустыми" командами), команды переставляются между собой и т. д.

Еще реже этот прием встречается у файловых вирусов, ведь им приходится полностью менять свой код, а для этого требуются достаточно сложные алгоритмы. На сегодняшний день известны всего два таких вируса, один из которых (Ply) случайным образом перемещает свои команды по своему телу и заменяет их на команды JMP или CALL. Другой вирус (ТМС) использует более сложный способ — каждый раз при заражении он меняет местами блоки своего кода и данных, вставляет "мусор", в своих ассемблерных инструкциях устанавливает новые значения адресов данных, меняет константы и т. д. В результате вирус и не шифрует свой код, он является полиморфик-вирусом, так как в его коде нет постоянного набора команд. Более того, при создании своих новых копий вирус меняет свою длину.

Глава 3 Методы обнаружения и удаления компьютерных вирусов

Способы противодействия компьютерным вирусам можно разделить на несколько групп:

— профилактика вирусного заражения и уменьшение предполагаемого ущерба от такого заражения;

— использование антивирусных программ, в том числе для обезвреживания и удаления известного вируса;

— обнаружение и удаление неизвестного вируса.

3.1 Профилактика заражения компьютера

Одним из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика предполагает соблюдение некоторых правил, позволяющих значительно снизить вероятность заражения вирусом и потери каких-либо данных.

Для того чтобы определить основные правила компьютерной гигиены, необходимо выяснить основные пути проникновения вируса в компьютер и компьютерные сети.

3.2. Откуда берутся вирусы

3.2.1. Глобальные сети — электронная почта

Основным источником вирусов на сегодняшний день является глобальная сеть Internet. Наибольшее число заражений вирусом происходит при обмене письмами в форматах Word/Office 97. Пользователь зараженного макровирусом редактора, сам того не подозревая, рассылает зараженные письма адресатам, а они, в свою очередь, отправляют новые зараженные письма и т. д.

Предположим, что пользователь ведет переписку с пятью адресатами, каждый из которых также переписывается с пятью адресатами. После посылки зараженного письма все пять компьютеров, получивших его, оказываются зараженными (см. рис. 3.1).

Затем с каждого вновь зараженного компьютера отправляется еще пять писем. Одно уходит назад на уже зараженный компьютер, а четыре — новым адресатам (см. рис. 3.2).

Рис. 3.1

Заражение первых пяти компьютеров

Рис. 3.2 Второй уровень заражения

Таким образом, на втором уровне рассылки заражено уже 1+5+20=26 компьютеров (см. рис. 3.2). Если адресаты сети обмениваются письмами раз в день, то к концу рабочей недели (за 5 дней) зараженными окажутся как минимум 1+5+20+80+320=426 компьютеров. Нетрудно подсчитать, что за 10 дней заразится более ста тысяч компьютеров! Причем каждый день их количество будет учетверяться.

Описанный случай распространения вируса является наиболее часто регистрируемым антивирусными компаниями. Нередки случаи, когда зараженный файл-документ или таблица Excel по причине недосмотра попадает в списки рассылки коммерческой информации какой-либо крупной компании — в этом случае страдают не пять, а сотни или даже тысячи абонентов таких рассылок, которые затем разошлют зараженные файлы десяткам тысячам своих абонентов.