Структура кв
Наиболее распространенными типами компьютерных вирусов в MS DOSявляются файловые нерезидентные, файловые резидентные и бутовые вирусы.
Условно выделяют две части КВ – голову и хвост.
Голова – часть вируса, первой получающая управление.
Хвост – это части вируса, расположенные отдельно от головы. Вирус без хвоста называют несегментированным.
Основные объекты заражения – исполняемые файлы типа .COM, .EXE, .OVL,драйверы.SYSи загрузочная дорожка. При многократном заражении инфицированный файл может содержать тела нескольких вирусов.
Файловый нерезидентный вирус при запуске зараженной программы выполняет следующие действия:
восстанавливает начало программы в оперативной памяти;
находит очередную жертву;
проверяет зараженность жертвы;
внедряет тело вируса в программу- жертву;
передает управление программе-вирусоносителю.
Файловый резидентный вирус помимо файлов заражает оперативную память ПК.
Резидентный вирус можно представить как состоящий из двух относительно независимых частей: инсталлятора (программа установки) и модуля обработки прерываний. При запуске зараженной программы инсталлятор выполняет следующие действия:
восстанавливает начало программы в оперативной памяти;
проверяет зараженность ОЗУ;
перехватывает требуемые прерывания;
передает управление зараженной программе.
Прерывания – это программы операционной системы, выполняющие стандартные действия с файлами, экраном, клавиатурой и т.д. Большинство обычных программ используют прерывания. Для размножения вирусы используют функции работы с файлами. При обращении любой программы к этим функциям происходит заражение по сценарию нерезидентного вируса.
Бутовый вирус– это специализированная разновидность резидентного файлового вируса, который заражает загрузочный сектор гибкого ил жесткого диска. Распространяются бутовые вирусы путем заражения бут-сектора дискет, причем как системных, так и несистемных. Отличительная особенность – голова вируса располагается в загрузочном секторе, а хвост – в неиспользуемых областях диска.
При загрузке с зараженного диска бутовый вирус получает управление и сначала копирует себя в старшие адреса памяти. Затем он уменьшает размер доступной памяти, чтобы защитить резидентную часть вируса, и адрес прерывания 13h, чтобы перехватить обращения к диску, после этого вирус запускает стандартный системный загрузчик.
При чтении любой дискеты вирус проверяет ее на зараженность и инфицирует загрузочный сектор. Теперь при загрузке с этой дискеты произойдет заражение компьютера.
Жизненный цикл компьютерных вирусов
Различают два основных действия (фазы), выполняемых компьютерным вирусом: размножение и проявление. Размножение обычно является первым и обязательным действием вируса при получении им управления.
Фаза проявления, на которой выполняются несанкционированные действия, может чередоваться с размножением, начинаться через определенный период или при сочетании некоторых условий. Она может заключаться в изощренных визуальных или звуковых эффектах. Вирусы-вандалы на фазе проявления наносят повреждения файловой системе, вносят ошибки в данные или нарушают работу ПК.
Кроме того, возможна латентная фаза, когда нет размножения и проявления. Это может быть обусловлено:
системным временем (пятница, 13-е);
конфигурацией (должен быть винчестер);
аппаратными особенностями (только на клонах IBM PC).
В качестве первичного носителя вируса, как правило, выступает дискета с игровыми программами или новыми популярными программами.