Сообщество Евгения Евгенича : Архив статей / ПРОБЛЕМЫ ПО И ИХ РЕШЕНИЯ / Классификация вирусов#popitmenu{position: absolute;/*background-color: white;*//*border:1px solid black;*/font: normal 10px Verdana;z-index: 100;visibility: hidden;padding:6px;}#popitmenu a{text-decoration: none;font-weight: bold;}#popitmenu a:hover{ text-decoration:underline;}.rating {FONT-SIZE: 9px; WIDTH: 85px; FONT-FAMILY: Tahoma, helvetica, sans-serif; HEIGHT: 16px}.unit-rating {PADDING-RIGHT: 0px; PADDING-LEFT: 0px; BACKGROUND: url(http://common.mylivepage.com/global/rating.gif) repeat-x left top; PADDING-BOTTOM: 0px; MARGIN: 0px; WIDTH: 85px; PADDING-TOP: 0px; LIST-STYLE-TYPE: none; POSITION: relative; HEIGHT: 16px}.unit-rating LI {PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FLOAT: left; PADDING-BOTTOM: 0px; MARGIN: 0px; TEXT-INDENT: -90000px; PADDING-TOP: 0px}.unit-rating LI A {PADDING-RIGHT: 0px; DISPLAY: block; PADDING-LEFT: 0px; Z-INDEX: 17; PADDING-BOTTOM: 0px; WIDTH: 17px; TEXT-INDENT: -9000px; PADDING-TOP: 0px; POSITION: absolute; HEIGHT: 16px; TEXT-DECORATION: none}.unit-rating_not {PADDING-RIGHT: 0px; PADDING-LEFT: 0px; BACKGROUND: url(http://common.mylivepage.com/global/rating.gif) repeat-x left top; PADDING-BOTTOM: 0px; MARGIN: 0px; WIDTH: 85px; PADDING-TOP: 0px; LIST-STYLE-TYPE: none; POSITION: relative; HEIGHT: 16px}.unit-rating_not LI {PADDING-RIGHT: 0px; PADDING-LEFT: 0px; FLOAT: left; PADDING-BOTTOM: 0px; MARGIN: 0px; TEXT-INDENT: -90000px; PADDING-TOP: 0px}.unit-rating_not LI A {PADDING-RIGHT: 0px; DISPLAY: block; PADDING-LEFT: 0px; Z-INDEX: 17; PADDING-BOTTOM: 0px; WIDTH: 17px; TEXT-INDENT: -9000px; PADDING-TOP: 0px; POSITION: absolute; HEIGHT: 16px; TEXT-DECORATION: none}.unit-rating LI A:hover {Z-INDEX: 2; BACKGROUND: url(http://common.mylivepage.com/global/rating.gif) left center; LEFT: 0px}.unit-rating A.r1-unit {LEFT: 0px}.unit-rating A.r1-unit:hover {WIDTH: 17px}.unit-rating A.r2-unit {LEFT: 17px}.unit-rating A.r2-unit:hover {WIDTH: 34px}.unit-rating A.r3-unit {LEFT: 34px}.unit-rating A.r3-unit:hover {WIDTH: 51px}.unit-rating A.r4-unit {LEFT: 51px}.unit-rating A.r4-unit:hover {WIDTH: 68px}.unit-rating A.r5-unit {LEFT: 68px}.unit-rating A.r5-unit:hover {WIDTH: 85px}.unit-rating LI.current-rating {DISPLAY: block; Z-INDEX: 1; BACKGROUND: url(http://common.mylivepage.com/global/rating.gif) left bottom; TEXT-INDENT: -9000px; POSITION: absolute; HEIGHT: 16px}.unit-rating_not LI.current-rating {DISPLAY: block; Z-INDEX: 1; BACKGROUND: url(http://common.mylivepage.com/global/rating.gif) left bottom; TEXT-INDENT: -9000px; POSITION: absolute; HEIGHT: 16px}span.window_minimize { display:block; margin-left:5px; margin-right:1px; }span.window_minimize font { display:block; }span.window_close { display:block; margin-left:5px; margin-right:1px; }span.window_close font { display:block; }span.window_edit { display:block; margin-left:5px; margin-right:1px; }span.window_edit font { display:block; }ul.mlp_tab_block { list-style-type:none; margin:0; padding:0; }li.mlp_tab { float:left; margin-right:10px; }li.mlp_tab_active { float:left; margin-right:10px; }span.top_menu_block { width:100%; text-align:center; PADDING: 0px 0px 0px 0px; table-layout: auto; BORDER: none; border-top:2px solid #ffffff; background: #0058EB; }span.top_menu_block_inner { color:#000; float:right; }span.top_menu { float:left; margin-right:1px; padding-top:3px; padding-bottom:3px; display:block; width:expression("1px");}span.top_menu a { display:block; line-height:1em; padding-right:7px; margin-left:7px; border-right:2px solid #fff; }span.top_menu#top_menu_active { float:left; margin-right:1px; display:block; width:expression("1px");}span.top_menu#top_menu_active a { display:block; line-height:1em; color:#000 !important; }span.top_menu_block, span.top_menu_block_inner { height:24px; display:block; }span.top_menu, span.top_menu a, span.top_menu#top_menu_active, span.top_menu#top_menu_active a { white-space:nowrap !important; }span.top_menu a, span.top_menu#top_menu_active a { color:#ffffff !important; font-size:16px; font-weight:bold !important; }span.top_menu a:hover, span.top_menu#top_menu_active a:hover { text-decoration:none !important; }form { margin:0; padding:0; }ul.mlp_tab_block { height:27px; width:100%; }li.mlp_tab { display:block; line-height:27px; border:1px solid #EAEAEA; border-bottom:none; }li.mlp_tab a { display:block; line-height:27px; padding:0px 12px; }li.mlp_tab_active { display:block; line-height:27px; background:#EAEAEA; }li.mlp_tab_active a { display:block; line-height:27px; padding:0px 12px; }li.mlp_tab a, li.mlp_tab_active a { color:#003DB2; text-decoration:none; }.window_head { font-size:11; color:#fff; font-weight:bold; }.top_center_head { font-size:10; color:#fff; font-weight:bold; }h1 { font-size: 188%; }h2 { font-size: 150%; }h3 { font-size: 132%; }h4 { font-size: 116%; }h5 { font-size: 100%; }h6 { font-size: 80%; }h1 { color: #000000; }h2, h3, h4, h5, h6 { color: #000000; }a.navigation, a.navigation:visited { color:#003DB2; font-size:11; }.window_body_bg { background-color:#ffffff; }html body {margin:0;padding-top:0;padding-left:0;padding-right:0;font-family:"Trebuchet MS", Vedana, Arial, Sans-serif;}td.home_head {BACKGROUND-COLOR: #0058EB;}td.tool_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.tool_body{border: 0px solid #000000;}font.tool_head {color: #FFFFFF;}td.about_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.about_body{border: 0px solid #000000;}font.about_head {color: #FFFFFF;}td.navigation_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.navigation_body{border: 0px solid #000000;}font.navigation_head {color: #FFFFFF;}td.invite_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.invite_body{border: 0px solid #000000;}font.invite_head {color: #FFFFFF;}td.login_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.login_body{border: 0px solid #000000;}font.login_head {color: #FFFFFF;}td.image_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.image_body{border: 0px solid #000000;}font.image_head {color: #FFFFFF;}td.file_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.file_body{border: 0px solid #000000;}font.file_head {color: #FFFFFF;}td.blog_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.blog_body{border: 0px solid #000000;}font.blog_head {color: #FFFFFF;}td.forum_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.forum_body{border: 0px solid #000000;}font.forum_head {color: #FFFFFF;}td.wiki_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.wiki_body{border: 0px solid #000000;}font.wiki_head {color: #FFFFFF;}td.link_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.link_body{border: 0px solid #000000;}font.link_head {color: #FFFFFF;}td.chat_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.chat_body{border: 0px solid #000000;}font.chat_head {color: #FFFFFF;}td.counter_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.counter_body{border: 0px solid #000000;}font.counter_head {color: #FFFFFF;}td.friend_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.friend_body{border: 0px solid #000000;}font.friend_head {color: #FFFFFF;}td.register_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.register_body{border: 0px solid #000000;}font.register_head {color: #FFFFFF;}td.search_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.search_body{border: 0px solid #000000;}font.search_head {color: #FFFFFF;}td.rating_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.rating_body{border: 0px solid #000000;}font.rating_head {color: #FFFFFF;}td.subscribe_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.subscribe_body{border: 0px solid #000000;}font.subscribe_head {color: #FFFFFF;}td.subscribe_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.subscribe_body{border: 0px solid #000000;}font.subscribe_head {color: #FFFFFF;}td.ban_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.ban_body{border: 0px solid #000000;}font.ban_head {color: #FFFFFF;}td.pay_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.pay_body{border: 0px solid #000000;}font.pay_head {color: #FFFFFF;}td.messanger_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.messanger_body{border: 0px solid #000000;}font.messanger_head {color: #FFFFFF;}.Path {color: #ffffff;}a:visited.Path {color: #ffffff;}a:visited.Path {color: #ffffff;}a {text-decoration: none; color: #003DB2;}a:visited {text-decoration: none; color: #003DB2;}a.navigation {text-decoration: none; color: #003DB2;font-size:11;}a:visited.navigation {text-decoration: none; color: #003DB2;}BODY {PADDING-RIGHT: 0px; PADDING-LEFT: 0px; PADDING-BOTTOM: 0px; MARGIN: 0px; PADDING-TOP: 0px;BACKGROUND-COLOR: #ffffff; }body, td { font-size:11; }.InnerHead {BACKGROUND-COLOR: #EFEBDE;COLOR: #000000;}.OneLine {BACKGROUND-COLOR: #f6f6f6;}.OverLine {BACKGROUND-COLOR: #EFEBDE;}.TwoLine {BACKGROUND-COLOR: #FFFFFF;}table.common{border: 1px solid #FFFFFF;}font.error {color: #FF0000;}pre.wiki {border: 1pt dashed black;white-space: pre;overflow: auto;padding: 1em 0;}h1, h2, h3, h4, h5 {background: none;font-weight: normal;margin: 0;padding-top: .5em;padding-bottom: .17em;border-bottom: 1px solid #aaa;}h3, h4, h5, h6 {border-bottom: none;font-weight: bold;}#QUOTE { font-family: Verdana, Arial; font-size: 11px; color: #465584; background-color: #FAFCFE; border: 2px solid #0000FF; padding-top: 2px; padding-right: 2px; padding-bottom: 2px; padding-left: 2px }td.tag_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.tag_body{border: 0px solid #000000;}font.tag_head {color: #FFFFFF;}td.subscription_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.subscription_body{border: 0px solid #000000;}font.subscription_head {color: #FFFFFF;}font.error_head {color: #FFFFFF;}td.error_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;color: #FFFFFF;}td.error_body{border: 0px solid #000000;BACKGROUND-COLOR: #FFFFFF;color: #A80303;font-weight: bold;}font.ok_head {color: #FFFFFF;}td.ok_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}td.vote_head{border: 0px solid #000000;BACKGROUND-COLOR: #0058EB;}font.vote_head {color: #FFFFFF;}/*.mlp_window {color: #ffffff;}*/a.mlp_window {color: #ffffff;}img.avatar, td.avatar {border:1px solid #0058EB;}.my_msg{color:green;padding-bottom:10px}.me_msg{color:blue;padding-bottom:10px}.tab_user{background-color:#eeeeee;padding:2px;margin:1px;cursor:pointer;color:black}.tab_user_h{background-color:#ddddff;padding:2px;margin:1px;cursor:pointer;}.tab_user_n{background-color:#fff086;padding:2px;margin:1px;cursor:pointer;}.pg{padding:2px;border-right:1px solid gray;cursor:pointer;color:black}.pg_h{background-color:#eebbbb;padding:2px;border-right:1px solid gray;cursor:pointer;}MyLivePageВходРегистрацияПоискМеткиПосещаемостьФорумЛюдиСообществаЗаписиЧатОнлайнПользовательВход Забыли пароль? РегистрацияПоискНа текущем сайте На всех сайтах Искать в комментарияхПодпискаE-mail:Обновления КомментарииАрхив статейСпорить с админом, все равно, что бодать дракона.Ты уже и пинка ему прописал, и в глаз мечом потыкал, даже приноровился горло перерезать, но тут ему надоело, и он выдохнул...Добавить в избранноеНавигацияВХОДСОЗДАТЬ СВОЙ САЙТДОБАВЬ СВОЙ ФАЙЛДОБАВИТЬ КАРТИНКУ________________________ГЛАВНАЯ СТРАНИЦАВЕСЬ СОФТ_________________________Д Л Я АДМИНАПрограммыБезопасностьЛитератураСтатьи по решению проблем ПО Статьи по решению проблем железаАрхив статейСкачать WindowsДрайверыПроверить вашу скоростьНайти работу системного администратораНайти работу в сфере высоких технологийБесплатные курсы админу__________________________ДЛЯ ВЕБ-МАСТЕРАПрограммыРедакторы, конвертеры и архиваторыБраузеры+плагиныМатериал для сайтовРабота с флешками (swf)Флешки (swf)gif-анимация (gif)Картинки для сайтаЛитература по htmlЛитература по javaЛитература по phpРегистрация доменов онлайн прямо здесьДомены Webnames.ru РегТаймДомены nic.ru АНО "Региональный Сетевой Информационный Центр"Другие регистраторы_____________________ЭКОНОМИЧЕСКИЙ ОТДЕЛЧёрный список мошенников интернета с обновлениямиПрограммы для бухгалтераИндексы акций и валют- - - - - - - - - - - - - - - - - - -Заработай на своём сайте или самПодробнее о bux.to_________________________ПРОГРАММЫ ДЛЯ ВСЕХПолный набор программ общения для пк, кпк, коммуникаторов и мобильниковАудио-видео плеерыПрограммы для качающегоПрограммы для геймераПоследние новинки в мире софтаРуссификаторы____________________ОТДОХНУТЬ!БестселлерыПРИКОЛЫФорумОпросыВ контакте (перейти на сайт)Мой мир (перейти на сайт)Ответы (перейти)Википедия (перейти)Посмотреть погоду__________________________ВСЁ ДЛЯ МОБИЛЬНОГО ТЕЛЕФОНАПроги для мобильникаИгры для мобилыТемы для мобильника____________________СсылкиПОЧТА (MAIL)ПОЧТА (POCHTA)ПОЧТА (RAMBLER)ПОЧТА (YANDEX)ПОЧТА (YAHOO)ПОЧТА (Google)ДОСКИ ОБЪЯВЛЕНИЙНАЙТИ РАБОТУ В ПСКОВЕ _________________________О нашем сообществеДрузья_____________________СчетчикСтатистика скачиванийМеткиКалендарьвсеОбщиеСтатьи для...ОБЗОРЫ СОФ...ПРОБЛЕМЫ П...ПРОБЛЕМЫ Ж...<Май 2008>ПнВтСрЧтПтСбВс 1234
567891011
12131415161718
19202122232425
262728293031/ Архив статей / ПРОБЛЕМЫ ПО И ИХ РЕШЕНИЯ / Классификация вирусовПоследние обновления
Классификация вирусов 801 2 3 4 5 4.73 (3) Общие сведенияПоскольку теоретическая задача обнаружения вирусов неразрешима, на практике приходится решать частные задачи по борьбе с частными случаями вредоносных программ.В зависимости от характерных свойств вирусов для их обнаружения и нейтрализации могут применяться различные методы. В связи с этим возникает вопрос о классификации вредоносных программ, чему и посвящена эта глава.Необходимо отметить, что на практике классификации, принятые различными производителями антивирусных продуктов, отличаются, хотя и построены на близких принципах. Поэтому в ходе изложения будут формулироваться в первую очередь принципы, и уже потом примеры из классификации, используемой в Лаборатории Касперского.Практическое определение вирусаОпределение компьютерного вируса — исторически проблемный вопрос, поскольку достаточно сложно дать четкое определение вируса, очертив при этом свойства, присущие только вирусам и не касающиеся других программных систем. Наоборот, давая жесткое определение вируса как программы, обладающей определенными свойствами, практически сразу же можно найти пример вируса, таковыми свойствами не обладающего.Приведем несколько формулировок определения:Хронологически наиболее раннее определение от Евгения Касперского (книга "Компьютерные вирусы"):Определение 3.1а. ОБЯЗАТЕЛЬНЫМ (НЕОБХОДИМЫМ) СВОЙСТВОМ КОМПЬЮТЕРНОГО ВИРУСА является возможность создавать свои дубликаты (не обязательно совпадающие с оригиналом) и внедрять их в вычислительные сети и/или файлы, системные области компьютера и прочие выполняемые объекты. При этом дубликаты сохраняют способность к дальнейшему распространению.Определение по ГОСТ Р 51188-98:Определение 3.1б. Вирус — программа, способная создавать свои копии (необязательно совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера, компьютерных сетей, а также осуществлять иные деструктивные действия. При этом копии сохраняют способность дальнейшего распространения. Компьютерный вирус относится к вредоносным программам.Легко заметить, что определение в ГОСТ практически полностью повторяет определение Е. Касперского.Определения 3.1а и 3.1б в большой степени повторяют определение Ф. Коэна или уточнение, предложенное Д. Чессом и С. Вайтом, что позволяет распространить на них (определения) вывод о невозможности создать алгоритм, обнаруживающий все такие программы или даже все "инкарнации" одного из вирусов. Тем не менее, на практике оказывается, что все известные вирусы могут быть обнаружены антивирусными программами. Результат достигается в частности еще и за счет того, что поврежденные или неудачные экземпляры вирусов, неспособные к созданию и внедрению своих копий, обнаруживаются и классифицируются наравне со всеми остальными "полноценными" вирусами. Следовательно, с практической точки зрения, т. е. с точки зрения алгоритмов поиска, способность к размножению вовсе не является обязательной для причисления программы к вирусам.Другая проблема, связанная с определением компьютерного вируса кроется в том, что сегодня под вирусом чаще всего понимается не "традиционный" вирус, а практически любая вредоносная программа. Это приводит к путанице в терминологии, осложненной еще и тем, что практически все современные антивирусы способны выявлять указанные типы вредоносных программ, таким образом ассоциация "вредоносная программа-вирус" становится все более устойчивой.Исходя из этого, а также из назначения антивирусных средств, в дальнейшем, если это не будет оговорено отдельно, под вирусами будут подразумеваться именно вредоносные программы.Определение 3.2. Вредоносная программа — компьютерная программа или переносной код, предназначенный для реализации угроз информации, хранящейся в КС, либо для скрытого нецелевого использования ресурсов КС, либо иного воздействия, препятствующего нормальному функционированию КС. К вредоносным программам относятся компьютерные вирусы, трояны, сетевые черви и др.Компьютерные вирусы, трояны и черви являются основными типами вредоносных программ.ВирусыКлассические определения компьютерного вируса приведены выше.Жизненный циклПоскольку отличительной особенностью вирусов в традиционном смысле является способность к размножению в рамках одного компьютера, деление вирусов на типы происходит в соответствии со способами размножения.Сам процесс размножения может быть условно разделен на несколько стадий:Проникновение на компьютерАктивация вирусаПоиск объектов для зараженияПодготовка вирусных копийВнедрение вирусных копийОсобенности реализации каждой стадии порождают атрибуты, набор которых фактически и определяет класс вируса.ПроникновениеВирусы проникают на компьютер вместе с зараженными файлами или другими объектами (загрузочными секторами дискет), никак, в отличие от червей, не влияя на процесс проникновения. Следовательно, возможности проникновения полностью определяются возможностями заражения и классифицировать вирусы по этим стадиям жизненного цикла отдельно смысла нет.АктивацияДля активации вируса необходимо, чтобы зараженный объект получил управление. На данной стадии деление вирусов происходит по типам объектов, которые могут быть заражены:Загрузочные вирусы - вирусы, заражающие загрузочные сектора постоянных и сменных носителей.Примеры. Вредоносная программа Virus.Boot.Snow.a записывает свой код в MBR жесткого диска или в загрузочные сектора дискет. При этом оригинальные загрузочные сектора шифруются вирусом. После получения управления вирус остается в памяти компьютера (резидентность) и перехватывает прерывания INT 10h, 1Ch и 13h. Иногда вирус проявляет себя визуальным эффектом - на экране компьютера начинает падать снег.Другой загрузочный вирус Virus.Boot.DiskFiller также заражает MBR винчестера или загрузочные сектора дискет, остается в памяти и перехватывает прерывания - INT 13h, 1Ch и 21h. При этом, заражая дискеты, вирус форматирует дополнительную дорожку с номером 40 или 80 (в зависимости от объема дискеты он может иметь 40 либо 80 дорожек с номерами 0-39 или 0-79 соответственно). Именно на эту нестандартную дорожку вне поля обычной видимости вирус записывает свой код, добавляя в загрузочный сектор лишь небольшой фрагмент - головную часть вируса.При заражении винчестера Virus.Boot.DiskFiller располагает свой код непосредственно за MBR, а в самом MBR меняет ссылку на активный загрузочный сектор, указывая адрес сектора где он расположен.Файловые вирусы —вирусы, заражающие файлы. Эта группа дополнительно делится на три, в зависимости от среды в которой выполняется код:Собственно файловые вирусы — те, которые непосредственно работают с ресурсами операционной системы.Примеры. Самый известный файловый вирус всех времен и народов — Virus.Win9x.CIH, известный также как "Чернобыль". Имея небольшой размер - около 1 кб - вирус заражает PE-файлы (Portable Executable) на компьютерах под управлением операционных систем Windows 95/98 таким образом, что размер зараженных файлов не меняется. Для достижения этого эффекта вирус ищет в файлах "пустые" участки, возникающие из-за выравнивания начала каждой секции файла под кратные значения байт. После получения управления вирус перехватывает IFS API, отслеживая вызовы функции обращения к файлам и заражая исполняемые файлы. 26 апреля срабатывает деструктивная функция вируса, которая заключается в стирании Flash BIOS и начальных секторов жестких дисков. Результатом является неспособность компьютера загружаться вообще (в случае успешной попытки стереть Flash BIOS) либо потеря данных на всех жестких дисках компьютера.Из последних вредоносных программ, обладающих вирусной функциональностью, можно отметить Email-Worm.Win32.Bagle.p (а также его модификации .q и .r). Являясь в первую очередь червем с основным каналом распространения через электронную почту, Bagle.p содержит также функцию заражения EXE-файлов путем дописывания в их конец полиморфного кода вирусаМакровирусы — вирусы, написанные на языке макрокоманд и исполняемые в среде какого-либо приложения. В подавляющем большинстве случаев речь идет о макросах в документах Microsoft Office.Примеры. Одними из наиболее разрушительных макровирусов являются представители семейства Macro.Word97.Thus. Эти вирусы содержат три процедуры Document_Open, Document_Close и Document_New, которыми подменяет стандартные макросы, выполняющиеся при открытии, закрытии и создании документа, тем самым обеспечивая заражение других документов. 13 декабря срабатывает деструктивная функция вируса - он удаляет все файлы на диске C:, включая каталоги и подкаталоги.Модификация Macro.Word97.Thus.aa кроме указанных действий при открытии каждого зараженного документа выбирает на локальном диске случайный файл и шифрует первые 32 байта этого файла, постепенно приводя систему в неработоспособное состояние.Макро-вирусы способны заражать не только документы Microsoft Word и Excel. Существуют вредоносные программы ориентированные и на другие типы документов: Macro.Visio.Radiant заражает файлы известной программы для построения диаграмм -Visio, Virus.Acad.Pobresito - документы AutoCAD, Macro.AmiPro.Green - документы популярного раньше текстового процессора Ami Pro.Скрипт-вирусы — вирусы, исполняемые в среде определенной командной оболочки: раньше - bat-файлы в командной оболочке DOS, сейчас чаще VBS и JS - скрипты в командной оболочке Windows Scripting Host (WSH).Примеры. Virus.VBS.Sling написан на языке VBScript (Visual Basic Script). При запуске он ищет файлы с расширениями .VBS или .VBE и заражает их. При наступлении 16-го июня или июля вирус при запуске удаляет все файлы с расширениями .VBS и .VBE, включая самого себя.Virus.WinHLP.Pluma.a - вирус, заражающий файлы помощи Windows. При открытии зараженного файла помощи выполняется вирусный скрипт, который используя нетривиальный метод (по сути, уязвимость в обработке скриптов) запускает на выполнение уже как обычный файл Windows определенную строку кода, содержащеюся в скрипте. Запущенный код производит поиск файлов справки на диске и внедряет в их область System скрипт автозапуска.В эпоху вирусов для DOS часто встречались гибридные файлово-загрузочные вирусы. После массового перехода на операционные системы семейства Windows практически исчезли как сами загрузочные вирусы, так и упомянутые гибриды.Отдельно стоит отметить тот факт, что вирусы, рассчитанные для работы в среде определенной ОС или приложения, оказываются неработоспособными в среде других ОС и приложений. Поэтому как отдельный атрибут вируса выделяется среда, в которой он способен выполняться. Для файловых вирусов это DOS, Windows, Linux, MacOS, OS/2. Для макровирусов - Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97. Поиск жертвНа стадии поиска объектов для заражения встречается два способа поведения вирусов.Получив управление, вирус производит разовый поиск жертв, после чего передает управление ассоциированному с ним объекту (зараженному объекту).Пример. Обычно при освоении новой платформы сначала появляются вирусы именно этого типа. Так было при появлении вирусов под DOS, под Windows 9x, под Windows NT, под Linux.Например, таким вирусом является Virus.Multi.Pelf.2132 — один из немногих представителей мультиплатформенных вирусов. Этот вирус способен заражать как PE-файлы, так и файлы в формате ELF (формат исполняемых файлов под Linux). При запуске вирус производит в текущем (под обеими операционными системами) и вышестоящих каталогах (под Windows) файлов заражаемых форматов (PE и ELF), определяя действительный формат файла по его структуре. После заражения найденных файлов вирус завершает работу и возвращает управление запущенному файлу.Получив управление, вирус так или иначе остается в памяти и производит поиск жертв непрерывно, до завершения работы среды, в которой он выполняетсяПример. Virus.DOS.Anarchy.6093 также является мультиплатформенным в том смысле, что он способен заражать DOS COM- и EXE-файлы, а также документы Microsoft Word 6/7. При этом вирус может активироваться при запуске как в среде DOS, так и в среде Windows 95. После запуска вирус перехватывает прерывание INT 21h, а в среде Windows дополнительно вносит изменения в драйвер VMM32.VXD (Virtual Memory Manager) с целью перехвата обращений к файлам. При запуске или открытии COM-, EXE и DOC -файла вирус заражает его. Помимо этого, в файловом варианте вирус является полиморфным (см. ниже), и в любом варианте обладает stealth-функциональностью (см. ниже) Вирусы второго типа во времена однозадачной DOS было принято называть резидентными. С переходом на Windows проблема остаться в памяти перестала быть актуальной: практически все вирусы, исполняемые в среде Windows, равно как и в среде приложений MS Office, являются вирусами второго типа. И напротив, скрипт-вирусы являются вирусами первого типа. Соответственно, атрибут резидентный применим только к файловым DOS вирусам. Существование нерезидентных Windows вирусов возможно, но на практике они являются редким исключением.Отдельно имеет смысл рассмотреть так называемые stealth-вирусы - вирусы, которые находясь постоянно в памяти, перехватывают обращения к зараженному файлу и на ходу удаляют из него вирусный код, передавая в ответ на запрос неизмененную версию файла. Таким образом эти вирусы маскируют свое присутствие в системе. Для их обнаружения антивирусным средствам требуется возможность прямого обращения к диску в обход средств операционной системы. Набольшее распространение Stealth-вирусы получили во времена DOS.Подготовка вирусных копийОпределение 3.3. Сигнатура вируса — в широком смысле, информация, позволяющая однозначно определить наличие данного вируса в файле или ином коде. Примерами сигнатур являются: уникальная последовательность байт, присутствующая в данном вирусе и не встречающаяся в других программах; контрольная сумма такой последовательности.Процесс подготовки копий для распространения может существенно отличаться от простого копирования. Авторы наиболее сложных в технологическом плане вирусов стараются сделать разные копии максимально непохожими для усложнения их обнаружения антивирусными средствами. Как следствие, составление сигнатуры для такого вируса крайне затруднено либо вовсе невозможно.При создании копий для маскировки могут применяться следующие технологии:Шифрование — вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.Метаморфизм — создание различных копий вируса путем замены блоков команд на эквивалентные, перестановки местами кусков кода, вставки между значащими кусками кода "мусорных" команд, которые практически ничего не делают.Сочетание этих двух технологий приводит к появлению следующих типов вирусов.Шифрованный вирус — вирус, использующий простое шифрование со случайным ключом и неизменный шифратор. Такие вирусы легко обнаруживаются по сигнатуре шифратора.Метаморфный вирус — вирус, применяющий метаморфизм ко всему своему телу для создания новых копий.Полиморфный вирус — вирус, использующий метаморфный шифратор для шифрования основного тела вируса со случайным ключом. При этом часть информации, используемой для получения новых копий шифратора также может быть зашифрована. Например, вирус может реализовывать несколько алгоритмов шифрования и при создании новой копии менять не только команды шифратора, но и сам алгоритм.Полиморфные вирусы можно делить на классы по уровню полиморфизма, желающие подробнее познакомиться с этим вопросом могут найти полезную информацию в [1].Пик популярности полиморфных вирусов пришелся на времена DOS, тем не менее, и позднее полиморфизм использовался во множестве вирусов, продолжает использоваться полиморфизм и сегодня.Примеры. Упомянутый выше Email-Worm.Win32.Bagle.p является полиморфным вирусом.Одним из наиболее сложных и относительно поздних полиморфных вирусов является Virus.Win32.Etap. При заражении файла вирус перестраивает и шифрует собственный код, записывает его в одну из секций заражаемого файла, после чего ищет в коде файла вызов функции ExitProcess и заменяет его на вызов вирусного кода. Таким образом, вирус получает управление не перед выполнением исходного кода зараженного файла, а после него.ВнедрениеВнедрение вирусных копий может осуществляться двумя принципиально разными методами:Внедрение вирусного кода непосредственно в заражаемый объектЗамена объекта на вирусную копию. Замещаемый объект, как правило, переименовываетсяДля вирусов характерным является преимущественно первый метод. Второй метод намного чаще используется червями и троянами, а точнее троянскими компонентами червей, поскольку трояны сами по себе не распространяются.Пример. Один из немногих почтовых червей, распространяющихся по почтовой книге The Bat! - Email-Worm.Win32.Stator.a, помимо всего прочего заражает некоторые файлы Windows по принципу вируса-компаньона. В частности, к заражаемым файлам относятся: mplayer.exe, winhlp32.exe, notepad.exe, control.exe, scanregw.exe. При заражении файлы переименовываются в расширение .VXD, а вирус создает свои копии под оригинальными именами заражаемых файлов. После получения управления вирус запускает соответствующий переименованный оригинальный файл.В качестве варианта второго метода, во времена DOS применялся следующий прием. При наборе имени исполняемого файла без указания расширения, DOS ищет по порядку сперва BAT, затем COM, и в конце концов EXE-файл. Соответственно, вирусная копия создавалась в одном каталоге с EXE-файлом, дублируя его имя и принимая расширение COM. Таким образом, при попытке запустить данный EXE-файл без явного указания расширения сначала запускался вирус.Аналогичный прием может использоваться и в Windows-системах, но поскольку основная масса пользователей Windows редко пользуются запуском файлов из командной строки, эффективность этого метода будет низкой ЧервиК сожалению, определение червя отсутствует в государственных стандартах и распорядительных документах, поэтому здесь приведено лишь интуитивное определение, дающее представление о принципах работы и выполняемых функциях этого типа вредоносных программ.Определение 3.4. Червь (сетевой червь) — тип вредоносных программ, распространяющихся по сетевым каналам, способных к автономному преодолению систем защиты автоматизированных и компьютерных сетей, а также к созданию и дальнейшему распространению своих копий, не всегда совпадающих с оригиналом, и осуществлению иного вредоносного воздействия.Жизненный циклТак же как для вирусов, жизненный цикл червей можно разделить на определенные стадии:Проникновение в системуАктивацияПоиск "жертв"Подготовка копийРаспространение копийСтадии 1 и 5, вообще говоря, симметричны и характеризуются в первую очередь используемыми протоколами и приложениями.Стадия 4 — Подготовка копий — практически ничем не отличается от аналогичной стадии в процессе размножения вирусов. Сказанное о подготовке копий вирусов без изменений применимо и к червям.Каналы распространенияНа этапе проникновения в систему черви делятся преимущественно по типам используемых протоколов:Сетевые черви — черви, использующие для распространения протоколы Интернет и лок
portofino
mobilux
sony ericsson k790i
ariston
zip-lock
salamander
.
wow
russia music awards
master
hi-fi
rittal
snr
dimplex model amesbury
fargo
646
li-da
restart
contiwinterviking