Компьютерные вирусы

      Одной из наиболее известных "троянских  лошадок" стала программа Crackerjack. Как и все другие средства для  взлома паролей, доступные в Internet, эта  программа тестировала относительную мощность паролей, расположенных в выбранном файле. После своего запуска она выдавала список взломанных паролей и предлагала пользователю удалить этот файл. Первая версия программы не только взламывала пароли, но также и передавала их автору троянского коня. Crackerjack оказался достаточно полезным средством, в чем вы можете убедиться сами. Для этого достаточно загрузить программу из Internet.

      ПОЛИМОРФНЫЕ ВИРУСЫ

      Полиморфные вирусы - это вирусы, которые зашифровывают  свое тело и благодаря этому могут избежать обнаружения путем проверки сигнатуры вируса. Прежде чем приступить к работе, такой вирус расшифровывает себя с помощью специальной процедуры расшифровки. Процедура расшифровки превращает зашифрованную информацию в обычную. Чтобы расшифровать тело вируса, процедура расшифровки захватывает управление машиной. После расшифровки управление компьютером передается расшифрованному вирусу. Первые шифрующиеся вирусы были не полиморфными. Другими словами, процедура расшифровки вируса не изменялась от копии к копии. Поэтому антивирусные программы могли обнаружить вирус по сигнатуре, присущей процедуре расшифровки. Но вскоре ситуация изменилась коренным образом. Полиморфные вирусы обнаружить очень трудно. Дело в том, что они генерируют абсолютно новые процедуры расшифровки при каждом новом заражении. Благодаря этому сигнатура вируса изменяется от файла к файлу. Для изменения процедуры шифрования используется достаточно простой генератор машинного кода, называющийся генератором мутаций. Он использует генератор случайных чисел и достаточно простой алгоритм изменения сигнатуры вируса. С его помощью программист может превратить любой вирус в полиморфный. Для этого он должен изменить текст вируса так, чтобы перед каждым созданием своей копии он вызывал генератор мутаций.

      Несмотря  на то, что полиморфные вирусы нельзя обнаружить с помощью обычных  методов проверки (вроде сравнения  строк кода), они все же детектируются  специальными антивирусными программами. Итак, полиморфные вирусы можно обнаружить. Однако этот процесс занимает огромное количество времени, а на создание антивирусной программы уходит гораздо больше сил. Наиболее свежие обновления антивирусного программного обеспечения производят поиск процедур шифрования, с помощью которой обнаруживают полиморфные вирусы. Полиморфный вирус изменяет свою сигнатуру при создании очередной копии от файла к файлу.

      СТЕЛС-ВИРУСЫ

      Стелс-вирусы - это вирусы, которые прячут изменения, созданные в зараженном файле. Для  этого они отслеживают системные  функции чтения файлов или секторов на носителях информации. Если происходит вызов такой функции, то вирус старается изменить полученные ею результаты: вместо настоящей информации вирус передает функции данные незараженного файла. Таким образом, антивирусная программа не может обнаружить никаких изменений в файле. Но, для того чтобы перехватывать системные вызовы, вирус должен находиться в памяти машины. Все достаточно хорошие антивирусные программы могут обнаружить подобные вирусы во время загрузки зараженной программы. Как правило, стелс-вирусы либо обладают невидимым размером, либо они невидимы для чтения. Вирусы с невидимым размером принадлежат к подвиду вирусов, заражающих файлы. Такие вирусы помешают свое тело внутрь файла, вызывая тем самым увеличение его размера. Однако вирус изменяет информацию о размере файла так, чтобы пользователь не мог обнаружить его присутствия. Другими словами, система указывает на то, что длина зараженного файла равняется длине обычного (незараженного) файла. Вирусы, невидимые для чтения, перехватывают запросы на чтение зараженной загрузочной записи или файла и предоставляют в ответ первоначальную, не измененную вирусом информацию. И снова пользователь не может обнаружить присутствие вируса. Стелс-вирусы достаточно легко обнаружить. Большинство стандартных антивирусных программ "вылавливают" стелс-вирусы. Для этого достаточно запустить антивирусную программу до того, как вирус будет размещен в памяти машины. Надо запустить компьютер с чистой загрузочной дискеты, а затем выполнить антивирусную программу.

      МЕДЛЕННЫЕ ВИРУСЫ

      Медленные вирусы очень трудно обнаружить, так  как они заражают только те файлы, которые изменяются или копируются операционной системой. Другими словами, медленный вирус заражает любой  исполняемый файл, причем делает это  в тот момент, когда пользователь выполняет некоторые операции с этим файлом. Например, медленный вирус может производить заражение загрузочной записи дискеты при выполнении команд системы, изменяющих эту запись. Медленный вирус может заразить копию файла, не заразив при этом файл-источник.

      Обнаружение медленных вирусов - это достаточно сложный процесс. Хранитель целостности  должен обнаружить новый файл и сообщить пользователю о том, что у этого  файла нет значения контрольной  суммы. Хранитель целостности - это  антивирусная программа, наблюдающая за содержанием жестких дисков, а также за размером и контрольной суммой каждого из расположенных на них файлов. Если хранитель обнаружит изменения в содержании или размере, то он немедленно сообщит об этом пользователю. Однако сообщение будет выдано и в том случае, если пользователь сам создаст новый файл. Поэтому пользователь, скорее, укажет хранителю целостности вычислить новую контрольную сумму для нового (инфицированного) файла.

      Наиболее  удачным средством против медленных  вирусов являются оболочки целостности. Оболочки целостности - это резидентные хранители целостности. Они постоянно находятся в памяти компьютера и наблюдают за созданием каждого нового файла, и у вируса не остается практически никаких шансов. Еще одним способом проверки целостности является создание ловушек. Здесь специальная антивирусная программа создает несколько СОМ- и ЕХЕ-файлов определенного содержания. Затем программа проверяет содержимое этих файлов. Если медленный вирус заразит их, то пользователь сразу же узнает об этом. Например, медленный вирус может наблюдать за программой копирования файлов. Если DOS выполняет запрос на копирование, то вирус поместит свое тело в новую копию файла.

      РЕТРО-ВИРУСЫ

      Ретро-вирус - это вирус, который пытается обойти или помешать действиям антивирусных программ. Другими словами, эти вирусы атакуют антивирусное программное обеспечение. Компьютерные профессионалы называют ретро-вирусы анти-антивирусами. Создание ретро-вируса является относительно несложной задачей. Большинство ретро-вирусов занимается поисками и удалением файлов с данными о сигнатурах вирусов. Таким образом, антивирусная программа, использовавшая этот файл, не может больше нормально функционировать. Более сложные ретро-вирусы занимаются поиском и удалением баз данных, содержащих информацию о целостности файлов. Удаление подобной базы производит на хранителя целостности такой же эффект, как уничтожение файлов с сигнатурами вирусов на антивирусную программу. Многие ретро-вирусы обнаруживают активизацию антивирусных программ, а затем прячутся от программы либо останавливают ее выполнение. Кроме того, они могут запустить процедуру разрушения до того, как антивирусная программа обнаружит их присутствие. Некоторые ретро-вирусы изменяют оболочку вычислений антивируса и таким образом влияют на выполнение антивирусных программ. Кроме того, существуют ретро-вирусы, использующие недостатки антивирусного программного обеспечения, чтобы замедлить его работу или свести на нет эффективность программы.

      СОСТАВНЫЕ ВИРУСЫ

      Составные вирусы заражают как исполняемые файлы, так и загрузочные сектора дисков. Кроме того, они могут заражать загрузочные сектора дискет. Такое название они получили потому, что заражают компьютер различными путями. Другими словами, они не ограничиваются одним типом файлов или определенным местом на диске. Если запустить инфицированную программу, вирус заразит загрузочную запись жесткого диска. При следующем включении машины вирус активизируется и будет заражать все запущенные программы. Одним из наиболее известных составных вирусов является One-Half, который обладает признаками стелс-вируса и полиморфного вируса.

      ВООРУЖЕННЫЕ ВИРУСЫ

      Вооруженные вирусы защищают себя с помощью специального кода, благодаря которому сильно усложняется  отслеживание и дизассемблирование вируса. Вооруженные вирусы могут воспользоваться для защиты "пустышкой". Это - код, позволяющий увести разработчика антивирусных программ от настоящего кода вируса. Кроме того, вирус может включать в себя специальный фрагмент, указывающий на то, что вирус расположен в одном месте, хотя на самом деле его там не будет. Одним из наиболее известных вооруженных вирусов является Whale.

      ВИРУСЫ-КОМПАНЬОНЫ

      Свое  название эти вирусы получили потому, что параллельно с заражаемым файлом они создают файл с таким  же именем, но с другим расширением. Например, вирус-компаньон может сохранить свое тело в файле winword.com. Благодаря этому операционная система перед каждым запуском файла winword.exe будет запускать файл winword.com, который будет располагаться в памяти компьютера. Обычно вирусы-компаньоны генерируются вирусами-фагами.

      ВИРУСЫ-ФАГИ

      Последним классическим типом вирусов являются вирусы-фаги. Вирус-фаг - это программа, которая изменяет другие программы  или базы данных. Компьютерные профессионалы  называют эти вирусы фагами потому, что по своему действию они напоминают живые микроорганизмы. В природе вирусы-фаги представляют собой особенно вредные микроорганизмы, которые замещают содержимое клетки своим собственным. Обычно фаги замещают текст программы своим собственным кодом. Чаще всего они являются генераторами вирусов компаньонов. Фаги - это наиболее опасный вид вирусов. Дело в том, что они не только размножаются и заражают другие программы, но и стремятся уничтожить все зараженные программы.

      ЧЕРВИ

      Червь Internet (известный также как червь Морриса) был самым первым вирусом, поразившим Internet. Этот вирус делал невозможной работу компьютера, создавая огромное количество своих копий в памяти компьютера. Так как червь старается остановить зараженный компьютер, создатель вируса должен наделить его способностями перемещаться с помощью сети от одной машины к другой. Черви копируют себя на другие компьютеры с помощью протоколов и систем. Удаленное воспроизведение необходимо, так как после остановки машины пользователь постарается вычистить все имеющиеся на жестком диске вирусы. Для своего распространения вирусам-червям не требуется изменять программы хоста. Для нормальной работы червям необходимы операционные системы, обеспечивающие возможность удаленного выполнения и позволяющие приходящим программам выполняться на компьютере.

      WINSTART

      Свое  название он получил от имени файла - winstart.bat, - в котором обычно и располагается  тело вируса. Этот червь, как и многие остальные, копирует себя в памяти машины до тех пор, пока не будет выведена из строя операционная система. После этого компьютер автоматически зависает. Во время своего выполнения вирус параллельно занимается поиском следующей жертвы.

      МАКРОВИРУСЫ

      Макровирусы - это один из наиболее опасных типов  компьютерных вирусов. В настоящее время они представляют собой наиболее быстро развивающуюся разновидность "компьютерных инфекций", способных перемещаться посредством Internet. Макровирусы представляют опасность не только для сетей, но и для автономных компьютеров, т. к. они не зависят от компьютерной платформы и от конкретной операционной системы. Более того, эти вирусы заражают не исполняемые файлы, а файлы с данными, которых гораздо больше.

      Обычно  макровирусы распространяются путем  создания копий в каждом новом  документе. Таким образом макровирус может попадать на другие машины вместе с зараженными документами. Наиболее часто макровирусы удаляют файлы так, чтобы впоследствии их нельзя было восстановить. Макровирусы могут выполняться на любом типе компьютеров. Главное, чтобы на машине была нужная им программа обработки документов вместе со своим внутренним языком программирования. Именно благодаря этому языку макровирусы могут выполняться на различных платформах и под управлением различных операционных систем.

      "МНИМЫЕ" ВИРУСЫ

      В Internet существует огромное количество предупреждений о вирусах. Большая часть этих предупреждений относится к настоящим компьютерным вирусам и является чуть ли не единственным источником информации о действии вирусов. С их помощью можно сэкономить время и защитить свои данные от разрушения. Однако есть и такие люди, которые любят поразвлечься, хотя и довольно своеобразно. Эти "шутники" занимаются тем, что распространяют в Internet сообщения о "мнимых" вирусах, т. е. вирусах, которых на самом деле не существует в природе. Эти сообщения не только раздражают пользователей, но и представляют некоторую опасность. Можно потратить огромное количество времени на изучение нового "мнимого" вируса, пропустив при этом информацию о настоящих.

      ВИРУС IRINA

        Идея этого сообщения принадлежит главе одного из электронных издательств. Он посчитал, что это создаст дополнительную рекламу интерактивной книге с таким же названием. В первоначальном сообщении электронной почты, подписанном вымышленным профессором Эдвардом Прайдоксом (Edward Prideaux) Лондонского колледжа славянских языков, указывалось, что вирус передается в электронных сообщениях, у которых в строке темы сообщения стоит слово Irina. Встретивший такое сообщение должен был немедленно удалить его, иначе вирус уничтожит все данные, размещенные на жестком диске машины. Кроме того, автор сообщения просил получателей сообщения о вирусе "быть очень осторожными" и просил их передать это предупреждение остальным пользователям. Предупреждение о вирусе Irina быстро обошло весь мир. Однако такого вируса нет и никогда не было.