Общая характеристика и классификация компьютерных вирусов

06.12.2012 03:43 |

Под компьютерным вирусом понимается автономно функционирующая программа, обладающая способностью к самовключению в тела других программ и последующему самовоспроизведению и самораспространению в информционно-вычислительных сетях и отдельных ЭВМ. Компьютерные вирусы представляют собой весьма эффективное средство реализации практически всех угроз безопасности ИВС, рассмотренных ранее в настоящем курсе. Поэтому вопросы анализа возможностей компьютерных вирусов и разработки способов противодействия вирусам в настоящее время приобрели значительную актуальность и образовали одно из наиболее приоритетных направлений работ по обеспечению безопасности информационно-вычислительных сетей.

Предшественниками компьютерных вирусов принято считать так называемые "троянские программы", тела которых сордержат скрытые последовательности команд, выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы массововго применения (редакторы, игры, трансляторы, СУБД и т.п.), в которые встроены так называемые "логические бомбы", срабатывающие по наступлению некоторого события. В свою очередь, разновидностью логической бомбы является "бомба с часовым механизмом", запускаемая в определенные моменты времени. Следует отметить, что троянские программы не являются саморазмножающимися и распространяются по ИВС самыми программистами, в частности, посредством общедоступных банков данных и программ, электронных досок объявлений (BBS) и др.

Принципиальное отличие вируса от троянской программы состоит в том, что вирус после запуска егов ИВС существует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, вирус представляет собой своеобразный "генератор троянских программ". Программы, зараженные вирусом, называют также вирусоносителями.

Заражение программы (исполняемого файла, применительно к наиболее распространенной операционной системе PC-подобных ПЭВМ MS-DOS), как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на тело вируса, которое заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

"Первичное" заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качетсве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), так и каналы ИВС. Вирусы, использующие для размножения каналы ИВС, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды:

· внедрения;

· инкубационный;

· репликации (саморазмножения);

· проявления.

В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например, необратимую коррекцию информации на магнитных носителях, создание помех нормальной работе пользователя, вывод из строя аппаратного обеспечения и др.
Физическая структура вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост - это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными, тогда как вирусы, содержащие голову и хвост - сегментирванными.

По характеру размещения в памяти ПЭВМ с операционной системой MS-DOS вирусы принято подразделять на следующие типы:

· файловые нерезидентные;

· файловые резидентные;

· бутовые;

· гибридные;

· пакетные.

Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе-вирусоносителю. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ЭВМ. С чисто технологической точки зрения оперативную память можно считать файлом, к которому применимы все описанные выше способы имплантации. Однако резидентный вирус отличается от нерезидентного как логической структурой, так и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в таблице прерываний на адреса своих подпрограмм, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования, резидентные вирусы могут реализовывать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а также файлов при их открытии или чтении.

Одной из разновидностей резидентных вирусов являются так называемые бутовые вирусы. Отличительной особенностью этих вирусов является инфицирование загрузочного сектора (бут-сектора, boot-sector) магнитного носителя (гибкого или жесткого диска). При этом инфицированными могут быть как загрузочные, так и обычные дискеты. Первые содержат копию MS-DOS, тогда как вторые - произвольную информацию. Голова бутового вируса всегда находится в бут-секторе, а хвост - в любой другой области носителя. Наиболее безопасным для вируса способом считается размещение хвоста в так называемых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост бутового вируса всегда содержит копию оригинального (исходного) бут-сектора. Механизм инфицирования, реализуемый бутовыми вирусами, таков. При загрузке MS-DOS с инфицированного диска вирус, в силу своего положения на нем (независимо от того, с дискеты или с жесткого диска произошла загрузка), получает управление и копирует себя в оперативную память. Затем он модифицирует таблицу прерываний таким образом, чтобы прерывание по обращению к диску обрабаывалось собственным обработчиком прерываний вируса, и запускает загрузчик операционной системы. Благодаря перехвату прерываний, бутовые вирусы могут реализовывать столь же широкий набор способов инфицирования и целевых функций, сколь и файловые резидентные вирусы.

Близость механизмов функционирования бутовых и файловых резидентных вирусов сделала возможным и естественным появление файлово-бутовых, или гибридных, вирусов, инфицирующих как файлы, так и бут-сектора.

Особенностью пакетного вируса является размещение его головы в пакетном файле. При этом голова представляет собой строку или программу на языке управления заданиями операционной системы.

Сетевые вирусы, называемые также автономными репликативными программами, или, для краткости, репликаторами, используют для размножения средства сетевых операционных систем ИВС. Наиболее просто реализуется размножение в тех случаях, когда протоколами ИВС предусмотрен обмен программами. Однако, как показывает опыт, размножение возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями. Классическим примером реализации процесса размножения с использованием только стандартных средств электронной почты является широко известный репликатор Морриса, осуществивший поражение сети Internet. Текст репликатора передается от одной ЭВМ к другой как обычное электронное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти ЭВМ-адресата. В результате переполнения буфера, инициированного передачей, адрес возврата в программу, вызвавшую программу приема сообщения, замещается на адрес самого буфера, где к моменту возврата уже находится тело вируса. Тем самым, вирус получает управление и начинает функционировать на ЭВМ-адресате. "Лазейки", подобные описанной и обусловленные особенностями реализации тех или иных функций в программном обеспечении ИВС, являются объективной предпосылкой для создания и внедрения репликаторов злоумышленниками.

Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие целевые группы:

· искажение информации в файлах либо в таблице размещения файлов (FAT), которое может привести к разрушению файловой системы MS-DOS в целом;

· имитация сбоев аппаратных средств и вывод из строя аппаратных средств;

· инициирование ошибок в программах пользователей или операционной системы;

· создание звуковых и визуальных эффектов, включая, например, отображение сообщений, вводящих операторов в заблуждение или затрудняющих их работу.

Симптоматика вирусного поражения ПК.

Вероятность поражения компьютера вирусами довольно высока. Поэтому надо знать некоторые симптомы "заболевания", принимать регулярные профилактические меры и уметь личить свой ПК в критических ситуациях. К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие

- некоторые ранее исполнявшиеся прогрммы перестают запускаться или внезапно остонавливаются в процессе работы;

- увеличивается длина исполняемых файлов (особенно важно проконтролировать длину файла command.com, натболее часто используемого в первую очередь страдающего от вирусных атак);

- быстро сокращается объем свободной дисковой памяти;

- появляются дополнительные плохие кластеры, в которых вирусы прячут свои фрагменты или "выкрушенные" части поврежденных файлов;

- замедляется работа некоторых программ;

- в текстовых файлах появляются бесмысленные фрагменты;

- наблюдаются попытки записи на защищенные дискету (вирусы с "малым интелектом" не догадываются при этом подавить соответствующие "красное" предупреждение MS - DOS);

- на экране появляется странные сообщения, которые вы раньше не наблюдали;

- появляются файлы со странными датами и временем создани (не существующие дни не существующих месяцев, годы из следующего столетия, часы, минуты и секунды, не укладывающиеся в общепринятые интервалы);

- операционная система перестает загружаться с винчестера;