Вирусы, Компьютерный вирус

Вирусы

Одной из основных проблем безопасности на компьютере является заражение вирусом. О том, как работать с вирусными программами, опишем во второй части сайта. Здесь опишем общие положения о том, что такое вирус.

Компьютерный вирус - специально созданная программа, предназначенная для выполнения определенных действий, мешающих работать на компьютере. Многие программы-вирусы довольно безобидны, но, к сожалению, далеко не все безобидны полностью. Во-первых, они занимают место в оперативной памяти и на диске. Во-вторых, они могут содержать ошибки, что может привести к сбоям системы и к перезагрузке. Поэтому даже если вирус довольно безобиден, от него все равно следует избавиться, тем более что пользователь зачастую не знает, так уж ли безобиден имеющийся в его компьютере вирус, ведь существуют опасные вирусы, которые уничтожают информацию на гибких и жестком дисках.

Программа вируса пишется на языке Ассемблера, чтобы иметь небольшой размер и быстрое выполнение, хотя есть программы, написанные на Си, Паскале и др. языках. Многие программы-вирусы – резидентные, то есть постоянно находящиеся на диске. Часто они используют принципы, разработанные в драйверах, то есть в таблице прерываний устанавливают адрес вирусной программы, а после окончания работы вируса передают управление обычной программе, адрес которой находился ранее в таблице прерываний. Это называется перехватыванием управления. Как правило, используется программа работы с жесткими дисками (INT 21h), а так как обращения к ним происходят часто, то так же часто работает программа-вирус, каждый раз производя разрушительные действия. Некоторые программы-вирусы только размножаются, но и это имеет разрушительный эффект, так как портятся файлы и уменьшается пространство на диске, что может привести к невозможности работы на компьютере из-за нехватки места для временных файлов.

Существуют автоматизированные программы для создания новых вирусов, которые позволяют создать исходный текст вируса в диалоговом режиме на языке Ассемблера. При входе в пакет, в котором имеются окна, как и в любом другом пакете (диалоговый режим), можно установить опции, позволяющие указать, какие разрушительные действия будет выполнять вирус, будет ли он шифровать свой текст машинных кодов, насколько быстро он будет заражать файлы на дисках и так далее. К данному вопросу можно подключать собственные модули на языке Ассемблера. После того, как исходный текст будет готов, его ассемблируют и запускают на другие компьютеры. Кроме того, бывают вирусы, которые выполняют определенные действия для разработчика этих программ, например, могут узнать пароль для доступа в финансовую компанию или перевести в банке на его расчетный счет деньги.

Чтобы распространиться, эта программа создает копии себе подобных. Процесс внедрения программы-вируса на компьютер называется заражением. При этом копии программ могут находиться в разных местах: в системной области диска, на жестком или оптическом диске, в оперативной памяти и т. д.

Главное, что нужно для вируса - получить управление, чтобы начать свою работу. Если бы вирус сразу же начинал выполнять то действие, которое в нем заложено, то его легче было бы идентифицировать и очистить от него компьютер. Однако сложность заключается в том, что вирусы могут проявляться не сразу при появлении на компьютере, а через определенное время, например, в определенный день или после того, как вы определенное количество раз войдете в зараженную программу, вызвав ее на исполнение, или произведете какое-либо иное действие, например, нажмете тысячу раз на определенную клавишу на клавиатуре, и так далее. Такая задержка по времени позволяет вирусу заразить другие файлы и дискеты и заразить другие компьютеры. До выполнения же этого действия вирус будет находиться в компьютере и можно не знать о его присутствии, поскольку все программы будут работать как обычно. В частности, это происходит потому, что программа-вирус небольшая по размерам и, получая управление, довольно быстро передает его той программе, которая должна выполняться. В силу того, что скорость вычисления увеличивается с появлением новых процессоров и устройств, время выполнения вируса довольно незначительно и практически незаметно.

Если имеется загрузочный вирус, то, если вставить в накопитель гибкий диск, вирус перехватит управление при обращении к гибкому диску, заразит его и передаст управление операционной системе. Причем вся работа вируса будет проделана так быстро, что пользователь ее не заметит. Для записи загрузочного сектора может выделяться отдельная дорожка, происходить запись в произвольном месте на диске, при этом сектор, где находится информация, может помечаться как Bad (испорченный) и его не будет видно для многих программ, так что случайно его не затрут.

Заражая файл, вирус записывает свой код в начало, конец или середину файла, чтобы получить доступ при выполнении программы. Если код находится не в начале, то, как правило, в начале программы находятся команды перехода к вирусным кодам, а после выполнения - переход на первый оператор программы. В таких программах изменяется размер файла, в котором они находятся. Если вирус находится не в конце файла, то часто в теле программы либо он сам получает управление при запуске, либо имеется команда перехода в любое место программы. После выполнения вирусной части он восстанавливает текст программы, который может храниться в конце файла, и передает управление на исходный код.

Некоторые вирусы могут находиться в.bat файлах, например, @ECHO OFF, REM – далее комбинация непонятных символов. Если его запустить как выполняемый файл, то строка @ECHO OFF, далее символы перевода строки, REM переводятся в машинные инструкции, которые, как правило, увеличивают или уменьшают значения в регистрах, например, @ равно 40h – команда увеличения на единицу регистра АХ, E - 45h – увеличение на единицу регистра ВР и т.д. А после REM находятся программа-вирус, там ее выполняемый код. Как правило, после этих команд находятся команды копирования из.bat файла в другой и его запуска, а после выполнения файл уничтожается. Так же могут быть заражены файлы Autoexec.bat и Config.sys, кроме того, в файле Autoexec.bat может быть внесенная строка с вызовом вируса. Так как Autoexec.bat выполняется при включении компьютера, то каждый раз вирус будет получать управление. Существуют вирусы, которые используют смешанную стратегию, то есть загружают не только.ехе файлы, но.ехе и.сом файл, также могут быть вирусы, заражающие и файлы, и загрузочные сектора. Отметим, что последние версии операционной системы Windows не имеют bat-файлов. Их имели версии Windows 95, 98.

Несколько разных вирусов могут заразить файл по несколько раз, другие ограничиваются одним заражением, проверяя, есть ли в нем вирус или нет. Если в компьютере имеется несколько разных видов вирусов, то в одном файле их может быть несколько, даже если они проверяют, заражен файл или нет. Существуют вирусы, которые в таблице FAT вместо начала файла делают ссылку на свое местонахождение на диске, отмечая, что этот кластер занят. После считывания они получают управление, становятся резидентными и, выполнив свою задачу, передают управление программе, которая вызывалась.

В силу того, что вирус увеличивает размер файла, антивирусная программа, просматривая размеры файлов, запоминает их значения и при их увеличении может приступать к обезврежению вируса. Другие программы хранят определенную последовательность, называемую сигнатурой, которая обычно присутствует в вирусах, и проверяют файлы на наличие этих самых сигнатур. Чтобы его не обнаружили, вирус зашифровывает свой код, каждый раз используя новый ключ. Перед работой вирус расшифровывает свой код и начинает работать. Этим же способом работают антивирусные программы, расшифровывая коды. Часть вирусов не производит разрушительных действий, но они могут быть опасны из-за ошибок, которые допустили их авторы.

Опасные вирусы изменяют файлы, форматируют диски или уничтожают файловую таблицу FAT. Некоторые изменяют данные в случайных файлах, в случайных местах, и когда пользователь обнаруживает это, то может быть уже поздно для восстановления данных. Существуют вирусы, которые шифруют исходный текст, при своей работе они расшифровывают текст выполняемых программ, загрузочной программы, FAT, и если их удалить, компьютер может не работать или файлы не будут считываться. Поэтому антивирусные программы должны уметь расшифровывать зашифрованную вирусом информацию.

Вирусы не способны изменить аппаратное обеспечение, однако они могут изменить Bios, стереть его или установить свой пароль, в этом случае компьютер перестанет загружаться. Чтобы запустить его, заново установить Bios, нужно предварительно отключить аккумуляторную батарейку на плате, а потом восстановить параметры Bios. Если не удается Bios восстановить, то придется обратиться к специалисту.

Многие вирусы устанавливают логические бомбы, то есть действуют в определенное время, например, 6 марта, в день рождения Микеланджело. Некоторые вирусы безопасны, например, в определенное время пытаются через модем с кем-либо соединиться, содержат аудио или видео эффекты. Поэтому при появлении чего-то необычного нужно проверить компьютер на наличие вируса.

Вирусы можно разделить на следующие группы по методу их работы: - вирусы, поражающие загрузочные сектора дисков. В самом начале дисков (дисков или жесткого диска) находится загрузочная запись. При включении компьютера или при его перезагрузке, после выполнения тестирующей программы Post считывается загрузочная запись, где хранится программа, которая загружает операционную систему. Вирусы, которые используют загрузочный сектор, действуют следующим образом: на место загрузочной программы заносится программа-вирус, а загрузочная программа переносится в другой сектор. Поэтому при включении компьютера, зараженного этим видом вируса, после работы программы Post управление будет передано программе-вирусу, которая, выполнив некоторые действия (например, заразив другие дискеты или занеся программу-вирус в оперативную память, чтобы действовать после загрузки системы), передает управление программе, загружающей операционную систему.

Если в компьютере несколько подобных вирусов, то второй переместит первый из загрузочного сектора и сам займет это место. Далее может появиться третий и так далее. На каком-то этапе исходная программа, которая должна находиться в загрузочном секторе, может потеряться, что приведет к тому, что с этого диска компьютер не будет загружаться и на экране появится надпись: Non system disk (не системный диск).

Если имеется несистемная дискета, то она все равно содержит загрузочную запись. После включения компьютера, как правило, происходит обращение к дискете с целью загрузки с нее операционной системы и при этом считывается загрузочная запись, в которой может находиться программа-вирус, после чего может быть заражен жесткий диск. Поэтому не рекомендуется включать компьютер, когда в устройстве считывания гибких дисков находится неизвестная дискета;

- вирусы, поражающие выполняемые файлы с расширением.exe и.com. Вирус может располагаться в любом месте программы, но чаще в конце файла, так как в самом начале файла имеется команда перехода управления. В зараженных файлах управление будет передано вирусу, который выполняет определенные действия (например, загрузится в оперативную память или заразит другие файлы), после чего восстановит исходные коды программы, в которой он находится, и передаст ей управление. Помимо файлов с расширением. com и. exe могут быть заражены файлы с расширением:.bat,.sys,.ovl,.ovi,.bin,.lib,.drv,.bak,.zip,.arj,.pak,.lzh,.pif,.pgm,.dll и другие;

- вирусы, использующие расширение.com. Как правило, при вызове программы набирается только имя программы, без его расширения. В этом случае в операционной системе имеются приоритеты для того, чтобы определить, с каким расширением вызвать программу. Из трех видов расширений (.bat,.exe,.com) будет выбран файл с расширением.bat, если его не существует, то с расширением.com и, наконец,.exe. Некоторые типы вирусов проводят следующие действия: сначала они создают файл с расширением.com, куда и записывают свой текст. При вызове программы первым вызываются на выполнение файл с вирусом (расширение.com, так как практически не бывает одноименных программ с расширением.exe и командных файлов с расширением.bat), затем программа-вирус передает управление программе с тем же названием, но с расширением.exe.

Существуют вирусы, которые записывают коды исходной программы в файл с расширением.exe и с другими именами, например,.ex_ или crp, а сами находятся в файле с расширением. exe. Таким образом, факт появления нового файла в компьютере может служить сигналом к тому, что появился вирус.

- вирусы, передающиеся через документы редактора Word. Как правило, текстовые файлы не содержат вирусов, поскольку, чтобы вирус мог распространяться, нужно, чтобы ему было передано управление операционной системой. Для текстовых файлов это нереально. Однако в системе Word версий 6.0 и 7.0 и следующих версий предусмотрены макрокоманды, которые могут выполняться при считывания документа программой, поэтому появились вирусы, которые могут быть записаны в начале текстового документа, хотя возможности их довольно ограниченны.