Ilyenek például a hálózati vírusok. Makróvírusok, hálózati vírusok – vírusok és antivírusok. Mi az a "féregvírus"

A közlemény ezen része a Kaspersky Lab http://www.avp.ru - a leghíresebb és legnépszerűbb vírusirtó szoftvereket gyártó orosz cég - információit használja fel.

Hálózati vírusok
A hálózati vírusok közé tartoznak azok a vírusok, amelyek aktívan használják a helyi és globális hálózatok protokolljait és képességeit a terjedéshez. A hálózati vírusok fő működési elve az a képesség, hogy a kódját önállóan továbbítsák egy távoli szerverre vagy munkaállomásra. "Teljes" hálózati vírusok ugyanakkor arra is lehetőségük van, hogy a kódjukon futtassák távoli számítógép vagy legalább "nyomja" a felhasználót a fertőzött fájl futtatására.
Van egy tévhit, hogy minden számítógépes hálózaton terjedő vírus hálózati vírus. De ebben az esetben szinte minden vírus hálózati vírus lenne, még a legprimitívebbek is: elvégre a leggyakoribb nem rezidens vírus a fájlok megfertőzésekor nem érti, hogy hálózati (távoli) meghajtóról vagy helyi meghajtóról van-e szó. Ennek eredményeként egy ilyen vírus képes megfertőzni a hálózaton belüli fájlokat, de nem minősíthető hálózati vírusnak.
A hálózati vírusok az 1980-as évek végén váltak a leghíresebbé, hálózati férgeknek is nevezik őket. Ezek közé tartozik a Morris vírus, a "Christmas Tree" és a "Wank Worm" vírusok. A terjedéshez az akkori globális hálózatok hibáit és dokumentálatlan funkcióit használták fel – a vírusok saját maguk másolatait vitték át szerverről szerverre, és indították el őket végrehajtásra. A Morris vírus esetében a járvány több globális hálózatot is elkapott az Egyesült Államokban.
A múltbeli hálózati vírusok a számítógépes hálózaton keresztül terjedtek, és általában a kísérővírusokhoz hasonlóan nem változtatták meg a lemezeken lévő fájlokat vagy szektorokat. Számítógépes hálózatról behatoltak a számítógép memóriájába, kiszámították más számítógépek hálózati címét, és ezekre a címekre küldték el magukról másolatokat. Ezek a vírusok néha munkafájlokat is létrehoztak a rendszerlemezeken, de előfordulhat, hogy egyáltalán nem férnek hozzá a számítógép erőforrásaihoz (kivéve a RAM-ot).
A hálózati vírusok többszöri járványa után a hálózati protokollok hibái ill szoftver kijavították és a hátsó ajtókat bezárták. Ennek eredményeként az elmúlt tíz évben egyetlen hálózati vírussal való fertőzést sem regisztráltak, és egyetlen új hálózati vírus sem jelent meg.
A hálózati vírusok problémája csak 1997 elején merült fel újra, a Macro.Word.ShareFun és a Win.Homer vírusok megjelenésével. Az első kihasználja a lehetőségeket Email Microsoft Mail - létrehoz egy új levelet, amely egy fertőzött dokumentumfájlt tartalmaz (a "ShareFun" egy makróvírus), majd kiválaszt három véletlenszerű címet az MS-Mail címek listájából, és elküldi nekik a fertőzött levelet. Mivel sok felhasználó úgy állítja be az MS-Mail beállításait, hogy levél fogadásakor az MS Word automatikusan elindul, a vírus „automatikusan” beágyazódik a fertőzött levél címzettjének számítógépébe.
Ez a vírus a modern hálózati vírusok első típusát mutatja be, amely egyesíti a beépített Word/Excel képességeit. Alapnyelv, az e-mail protokollok és szolgáltatásai, valamint a vírus terjedéséhez szükséges automatikus futtatási funkciók.
A második vírus („Homer”) az FTP (File Trabsfer Protocol) protokollt használja a terjesztéséhez, és a másolatát egy távoli ftp-szerverre továbbítja a Bejövő könyvtárban. Mivel az FTP hálózati protokoll kizárja a fájl távoli szerveren való futtatásának lehetőségét, ez a vírus „félhálózatnak” nevezhető, de ez egy igazi példa arra, hogy a vírusok képesek modern hálózati protokollokat használni és megfertőzni a globális hálózatokat.
Természetesen más módokon is behatolhatnak a vírusok a modern hálózatokba, de ezeket nem szeretném itt bemutatni, mert ez arra ösztönzi a vírusírókat, hogy megvalósítsák ezeket az ötleteket.

Ami

Szó "vírusok" már régóta jól ismert a számítógép-felhasználók számára. Már rég túlnőtt eredeti jelentésén, és ma már gyakran használják bármelyikre utalni rosszindulatú, amely képes „szaporodni”, számítógépről számítógépre terjedni, és esetenként egész számítógépes hálózatokat megfertőzni – egészen az interneten terjedő globális járványokig.

Ezek „klasszikus” vírusok, hálózati és e-mail férgek, trójai falók, backdoor programok stb.

Miért veszélyesek?

A vírus következményei a következők lehetnek:

viszonylag ártalmatlan interferencia a számítógéppel – például egy kegyetlen vicc, amikor a képernyő elsötétül, és megjelenik egy üzenet, hogy HDD formázott;

valódi kárt okozva – ha a merevlemezt ténylegesen formázzák, vagy a fontos fájlokat törölték;

igazi bűncselekmény az, amikor trójai programok segítségével a támadók ellopják hitelkártyaszámait, hozzáférési jelszavait és egyéb bizalmas információkat.

A vírusok osztályokra oszthatók a következő főbb jellemzők szerint:

élőhely;

operációs rendszer (OC);

a működési algoritmus jellemzői;

romboló lehetőségek.

A HABITAT szerint a vírusok a következőkre oszthatók:

fájl;

csomagtartó;

A fájlvírusok vagy különféle módokon fecskendezik be magukat futtatható fájlokba (a vírusok leggyakoribb típusa), vagy duplikált fájlokat hoznak létre (kísérővírusok), vagy a fájlrendszer felépítésének sajátosságait használják (linkvírusok).

A rendszerindító vírusok vagy a lemez indító szektorába (boot szektor), vagy a merevlemez rendszerindító betöltőjét tartalmazó szektorba (Master Boot Record) írják magukat, vagy az aktív rendszerindító szektorra állítják a mutatót.

A makróvírusok számos népszerű szerkesztő dokumentumfájljait és táblázatait fertőzik meg.

A hálózati vírusok a számítógépes hálózatok és az e-mailek protokolljait vagy parancsait használják a terjedéshez.

Számos kombináció létezik – például a fájlrendszerindító vírusok, amelyek a fájlokat és a lemezek rendszerindító szektorait egyaránt megfertőzik. Az ilyen vírusok általában meglehetősen bonyolult működési algoritmussal rendelkeznek, gyakran eredeti módszereket alkalmaznak a rendszerbe való behatolásra, és lopakodó és polimorf technológiákat használnak. Egy másik példa egy ilyen kombinációra a hálózati makróvírus, amely nemcsak a szerkesztett dokumentumokat fertőzi meg, hanem e-mailben is küld másolatokat magáról.

A fertőzött OPERÁCIÓS RENDSZER (vagy inkább az operációs rendszer, amelynek objektumai érzékenyek a fertőzésre) a vírusok osztályokra osztásának második szintje. Minden fájl vagy hálózati vírus megfertőzi egy vagy több operációs rendszer fájljait – DOS, Windows, Win95/NT, OS/2 stb. A makróvírusok Word, Excel és Office97 formátumú fájlokat fertőznek meg. A rendszerindító vírusok speciális formátumokat is céloznak a rendszeradatoknak a lemezek rendszerindító szektoraiban.

A vírusok MŰKÖDÉSI ALGORITMUSÁNAK JELLEMZŐI közül a következő pontok emelhetők ki:

rezidencia;

lopakodó algoritmusok használata;

öntitkosítás és polimorfizmus;

nem szabványos technikák alkalmazása.

A RESIDENT vírus, amikor megfertőz egy számítógépet, a RAM-ban hagyja a rezidens részét, amely aztán elfogja a kéréseket operációs rendszer fertőzés tárgyaira, és bejuttatják azokat. A helyi vírusok a memóriában maradnak, és aktívak maradnak mindaddig, amíg a számítógépet ki nem kapcsolják vagy az operációs rendszert újra nem indítják. A nem rezidens vírusok nem fertőzik meg a számítógép memóriáját, és korlátozott ideig aktívak maradnak. Egyes vírusok kis rezidens programokat hagynak a RAM-ban, amelyek nem terjesztik a vírust. Az ilyen vírusok nem rezidensnek minősülnek.

A makróvírusok rezidensnek tekinthetők, mivel folyamatosan jelen vannak a számítógép memóriájában a fertőzött szerkesztő teljes működése alatt. Ebben az esetben az operációs rendszer szerepét a szerkesztő veszi át, és az „operációs rendszer újraindítása” fogalmát a szerkesztőből való kilépésként értelmezzük.

A többfeladatos operációs rendszerekben a rezidens DOS-vírus „élettartamát” az is korlátozhatja, hogy a fertőzött DOS-ablak bezárul, és egyes operációs rendszerekben a rendszerindító vírusok aktivitását az operációs rendszer lemezmeghajtóinak telepítésének pillanata korlátozza.

A STEALTH algoritmusok segítségével a vírusok teljesen vagy részben elrejtőzhetnek a rendszerben. A leggyakoribb lopakodó algoritmus a fertőzött objektumok olvasására/írására irányuló OC kérések elfogása. Ebben az esetben a lopakodó vírusok vagy ideiglenesen meggyógyítják őket, vagy a nem fertőzött információrészeket „helyettesítik” helyettük. Makróvírusok esetén a legnépszerűbb módszer a makrómegtekintési menü hívásainak letiltása. Az egyik első fájllopó vírus a "Frodo" vírus, az első boot lopakodó vírus a "Brain".

Az ÖNTITKOSÍTÁST és a POLIMORPHICITÁST szinte minden vírustípus alkalmazza annak érdekében, hogy a vírusfelderítési eljárást a lehető legnagyobb mértékben megnehezítsék. A polimorf vírusokat meglehetősen nehéz kimutatni az olyan vírusokat, amelyek nem rendelkeznek aláírással, pl. nem tartalmaz egyetlen állandó kódrészletet sem. A legtöbb esetben ugyanazon polimorf vírus két mintája nem egyezik. Ez a vírus törzsének titkosításával és a visszafejtő program módosításával érhető el.

Különféle NEM SZABVÁNYOS TECHNIKÁKAT gyakran használnak a vírusokban annak érdekében, hogy a lehető legmélyebben elrejtőzzenek az operációs rendszer kernelében (ahogyan a „3APA3A” vírus teszi), megvédjék rezidens másolatukat az észleléstől (a „TPVO”, „Trout2” vírusok) ), és megnehezítik a vírus kezelését (például úgy, hogy a másolatot a Flash-BIOS rendszerbe helyezik), stb.

PUSZTÍTÓ KÉPESSÉGÜK szerint a vírusok a következőkre oszthatók:

ártalmatlan, azaz. amelyek semmilyen módon nem befolyásolják a számítógép működését (kivéve a szabad memória csökkentését a lemezen elosztásuk következtében);

nem veszélyes, amelynek hatását korlátozza a szabad memória csökkenése a lemezen és a grafikus, hang stb. effektusok;

veszélyes vírusok, amelyek súlyos számítógép-meghibásodásokhoz vezethetnek;

nagyon veszélyes, amelynek algoritmusa szándékosan tartalmaz olyan eljárásokat, amelyek programok elvesztéséhez, adatok megsemmisítéséhez, a rendszermemória területeken rögzített, a számítógép működéséhez szükséges információk törléséhez vezethetnek, sőt, ahogy az egyik ellenőrizetlen számítógépes legenda mondja, hozzájárulhatnak a mozgó alkatrész-mechanizmusok gyors kopásához - bizonyos típusú merevlemez-meghajtók fejének rezonálásához és tönkretételéhez.

De még ha nem is találhatók a vírusalgoritmusban olyan ágak, amelyek károsítanák a rendszert, ezt a vírust nem lehet teljes bizalommal ártalmatlannak nevezni, mivel a számítógépbe való behatolása kiszámíthatatlan és néha katasztrofális következményekkel járhat. Végtére is, egy vírusnak, mint minden programnak, vannak hibái, amelyek következtében mind a fájlok, mind a lemezszektorok megsérülhetnek (például az első pillantásra ártalmatlan „DenZuk” vírus teljesen helyesen működik 360K-os hajlékonylemezekkel, de megsemmisítheti a nagyobb floppy lemezkötetben lévő információkat). Még mindig vannak olyan vírusok, amelyek nem a belső fájlformátum, hanem a kiterjesztése alapján azonosítják a „COM vagy EXE” fájlt. Természetesen, ha a formátum és a névkiterjesztés nem egyezik, a fájl a fertőzés után működésképtelenné válik. Az is előfordulhat, hogy a rezidens vírus és a rendszer elakad a DOS új verzióinak használatakor, Windows alatt vagy más nagy teljesítményű szoftverrendszerek használatakor. Stb.

Ebbe a csoportba tartoznak azok a vírusok, amelyek ilyen vagy olyan módon replikálva bármely (vagy bármely) operációs rendszer fájlrendszerét használják.

Lehetőség van egy fájlvírus bejuttatására az összes népszerű operációs rendszer szinte minden futtatható fájljába. Ma már ismertek olyan vírusok, amelyek a szabványos DOS futtatható objektumok minden típusát megfertőzik: kötegfájlokat (BAT), betölthető illesztőprogramokat (SYS, beleértve az IO.SYS és MSDOS.SYS speciális fájlokat) és végrehajtható bináris fájlokat (EXE, COM). Vannak vírusok, amelyek más operációs rendszerek futtatható fájljait is megfertőzik – Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, beleértve a Windows 3.x és Windows95 VxD illesztőprogramokat is.

Vannak vírusok, amelyek megfertőzik a programok, a könyvtárak vagy az objektummodulok forráskódját tartalmazó fájlokat. Az is előfordulhat, hogy egy vírus adatfájlokban rögzítésre kerül, de ez vagy egy vírushiba eredményeként történik, vagy amikor agresszív tulajdonságai megnyilvánulnak. A makróvírusok is adatfájlokba - dokumentumokba vagy táblázatokba - írják a kódjukat, de ezek a vírusok annyira specifikusak, hogy külön csoportba sorolják őket.

Felülírás

Ez a fertőzési módszer a legegyszerűbb: a vírus saját kódot ír a fertőzött fájl kódja helyett, tönkretéve annak tartalmát. Természetesen ebben az esetben a fájl leáll, és nem kerül visszaállításra. Az ilyen vírusok nagyon gyorsan felfedik magukat, mivel az operációs rendszer és az alkalmazások meglehetősen gyorsan leállnak. Nem tudok egyetlen olyan esetről sem, amikor az ilyen típusú vírusokat „élve” fedezték fel, és járványt okoztak volna.

A felülíró vírusok egy típusa olyan vírusokat tartalmaz, amelyek a NewEXE fájlok DOS-fejléce helyett íródnak. A fájl fő része változatlan marad, és továbbra is normálisan működik a megfelelő operációs rendszerben, de kiderül, hogy a DOS fejléc sérült.

Parazita

Társvírusok

A "kísérő" kategóriába azok a vírusok tartoznak, amelyek nem változtatják meg a fertőzött fájlokat. Ezeknek a vírusoknak az a működési algoritmusa, hogy a fertőzött fájlhoz duplikált fájl jön létre, és a fertőzött fájl elindításakor ez a másolat kapja meg az irányítást, pl. vírus.

A leggyakoribb kísérővírusok azok, amelyek a DOS-funkciót használják, hogy először egy .COM fájlt hajtsanak végre, ha két fájl van ugyanabban a könyvtárban azonos névvel, de eltérő névkiterjesztéssel – .COM és .EXE. Az ilyen vírusok szatellit fájlokat hoznak létre az azonos nevű, de .COM kiterjesztésű EXE-fájlokhoz, például az XCOPY.EXE fájlhoz egy XCOPY.COM fájl jön létre. A vírus beírja magát egy COM fájlba, és semmilyen módon nem módosítja az EXE fájlt. Egy ilyen fájl futtatásakor a DOS először a COM fájlt észleli és végrehajtja, azaz. egy vírus, amely elindítja az EXE fájlt. Egyes vírusok nem csak a COM-EXE változatot használják, hanem a BAT-COM-EXE-t is.

A második csoportba azok a vírusok tartoznak, amelyek fertőzöttség esetén átneveznek egy fájlt más névre, emlékeznek rá (a hosztfájl későbbi elindításához), és a fertőzött fájl neve alatt írják ki a kódjukat a lemezre. Például az XCOPY.EXE fájlt átnevezzük XCOPY.EXD-re, és a vírus XCOPY.EXE néven kerül rögzítésre. Indításkor a vezérlő megkapja a víruskódot, amely az eredeti XCOPY-t futtatja, XCOPY.EXD néven. Érdekes tény, hogy ez a módszer valószínűleg minden operációs rendszerben működik - az ilyen típusú vírusokat nemcsak DOS-ban, hanem Windowsban és OS/2-ben is találták.

A harmadik csoportba tartoznak az úgynevezett „Path-companion” vírusok, amelyek „játszanak” a DOS PATH funkcióin. Vagy a fertőzött fájl neve alá írják a kódjukat, de egy PATH szinttel „magasabbra” (a DOS így elsőként észleli és elindítja a vírusfájlt), vagy egy alkönyvtárral feljebb helyezik az áldozat fájlt, stb.

Lehetnek más típusú társvírusok is, amelyek más operációs rendszerek eredeti ötleteit vagy funkcióit használják.

Fájlférgek

A fájlférgek bizonyos értelemben társvírusok, de semmiképpen sem társítják jelenlétüket egyetlen végrehajtható fájlhoz sem. Amikor reprodukálnak, egyszerűen átmásolják a kódjukat néhány lemezkönyvtárba, abban a reményben, hogy ezeket az új másolatokat a felhasználó egyszer elindítja. Néha ezek a vírusok „speciális” elnevezéseket adnak másolataiknak, hogy a felhasználót a másolatuk futtatására ösztönözzék – például INSTALL.EXE vagy WINSTART.BAT.

Vannak olyan féregvírusok, amelyek meglehetősen szokatlan technikákat használnak, például saját másolatokat írnak archívumba (ARJ, ZIP és mások). Ilyen vírusok közé tartozik az "ArjVirus" és a "Winstart". Egyes vírusok kiírják a parancsot a fertőzött fájl futtatására BAT-fájlokban (lásd például: "Worm.Info").

A fájlférgeket nem szabad összetéveszteni a hálózati férgekkel. Az előbbiek csak bármely operációs rendszer fájlfunkcióit használják, míg az utóbbiak hálózati protokollokat használnak a reprodukáláshoz.

Link vírusok

A linkvírusok, akárcsak a kísérővírusok, nem változtatják meg a fájlok fizikai tartalmát, de amikor egy fertőzött fájl elindul, „kényszerítik” az operációs rendszert a kód végrehajtására. Ezt a célt a fájlrendszer szükséges mezőinek módosításával érik el.

Ma a Link vírusok egyetlen típusa ismert - a "Dir_II" család vírusai. Amikor megfertőzik a rendszert, testüket a logikai lemez utolsó fürtjébe írják. Fájl megfertőzésekor a vírusok csak a fájl első fürtjének számát javítják, amely a könyvtár megfelelő szektorában található. A fájl új kezdeti fürtje a vírus törzsét tartalmazó fürtre mutat. Így a megfelelő méretű fájlok megfertőzésekor az ezeket a fájlokat tartalmazó lemezfürtök tartalma nem változik, és az egy logikai lemezen lévő összes fertőzött fájlból csak egy példány lesz a vírusból.

OBJ-, LIB-vírusok és vírusok a forrásszövegekben

A fordítókönyvtárakat, objektummodulokat és programok forráskódjait megfertőző vírusok meglehetősen egzotikusak és gyakorlatilag ritkák. Összesen körülbelül egy tucat van belőlük. Az OBJ és LIB fájlokat megfertőző vírusok objektummodul vagy könyvtár formátumban írják bele kódjukat. A fertőzött fájl ezért nem futtatható, és jelenlegi állapotában nem képes tovább terjeszteni a vírust. Az „élő” vírus hordozója egy COM vagy EXE fájl lesz, amelyet a fertőzött OBJ/LIB fájl más objektummodulokkal és könyvtárakkal való összekapcsolása során szereztek meg. Így a vírus két szakaszban terjed: az első szakaszban az OBJ/LIB fájlokat fertőzik meg, a második szakaszban (linkelés) egy működő vírust kapnak.

A programok forráskódjainak megfertőzése a korábbi terjesztési módszer logikus folytatása. Ebben az esetben a vírus hozzáadja a forráskódját a forrásszövegekhez (ebben az esetben a vírusnak tartalmaznia kell a törzsében), vagy a hexadecimális kiíratását (ami technikailag egyszerűbb). Egy fertőzött fájl csak fordítás és linkelés után képes tovább terjeszteni a vírust (lásd például az "SrcVir", "Urphin" vírusokat).

Primitív álcázás

Ha egy fájl fertőzött, a vírus számos olyan műveletet hajthat végre, amelyek elfedik és felgyorsítják a terjedését. Ilyen műveletek közé tartozik a csak olvasható attribútum feldolgozása, eltávolítása a fertőzés előtt és visszaállítása után. Sok fájlvírus beolvassa a fájl utolsó módosítási dátumát, és visszaállítja azt a fertőzés után. A terjedésük leplezésére egyes vírusok elfogják az írásvédett lemez elérésekor (INT 24h) fellépő DOS-megszakítást, és önállóan feldolgozzák azt.

Spread sebesség

A fájlvírusokról szólva meg kell jegyezni egy olyan tulajdonságot, mint a terjedési sebességük. Minél gyorsabban terjed egy vírus, annál valószínűbb, hogy járvány lép fel. Minél lassabban terjed egy vírus, annál nehezebb felismerni (kivéve persze, ha ezt a vírust még nem ismerik a vírusirtó programok). A „gyors” és „lassú” vírus (Fast Infector, Slow Infector) fogalma meglehetősen relatív, és csak a vírus jellemzőjeként használatos a leírásánál.

A nem rezidens vírusok gyakran „lassúak” – a legtöbbjük egy, két vagy három fájlt fertőz meg indításkor, és nincs idejük megfertőzni a számítógépet a víruskereső program (vagy új verzió ehhez a vírushoz konfigurált víruskereső). Természetesen vannak nem-rezidens „gyors” vírusok, amelyek indításkor minden futtatható fájlt megkeresnek és megfertőznek, de az ilyen vírusok nagyon észrevehetők: amikor minden fertőzött fájl elindul, a számítógép bizonyos ideig aktívan együttműködik a merevlemezzel. (néha elég hosszú) idő, ami leleplezi a vírust.

A rezidens vírusok „sebessége” általában nagyobb, mint a nem rezidens vírusoké – megfertőzik a fájlokat, amikor bármilyen módon hozzáférnek. Ennek eredményeként a lemezen található összes vagy majdnem minden fájl, amelyet folyamatosan használnak a munkában, megfertőződik.

A fájlokat csak végrehajtáskor megfertőző rezidens fájlvírusok terjedési sebessége alacsonyabb lesz, mint azoké a vírusoké, amelyek megnyitáskor, átnevezésükkor, fájlattribútumok megváltoztatásakor is megfertőzik őket. Sok vírus, amikor másolatot készít magáról a számítógép RAM-jában, megpróbálja elfoglalni a legmagasabb címekkel rendelkező memóriaterületet, tönkretéve a COMMAND.COM parancsértelmező ideiglenes részét. A fertőzött program futásának befejezése után az értelmező ideiglenes része visszaáll, a COMMAND.COM fájl megnyílik, és ha a vírus megnyitáskor megfertőzi a fájlokat, akkor az megfertőződik. Így egy ilyen vírus elindításakor először a COMMAND.COM fájl fertőződik meg.

Boot vírusok

A rendszerindító vírusok megfertőzik a hajlékonylemez rendszerindító szektorát és a merevlemez rendszerindító szektorát vagy Master Boot Record-ját (MBR). A rendszerindító vírusok működési elve az operációs rendszer elindítására szolgáló algoritmusokon alapul, amikor bekapcsolja vagy újraindítja a számítógépet - a telepített hardver (memória, lemezek stb.) szükséges tesztelése után a rendszerindító program beolvassa az első fizikai szektort a rendszerindító lemezen (A:, C: vagy CD-ROM a BIOS Setupban beállított paraméterektől függően), és átadja rá a vezérlést.

Hajlékonylemez vagy CD esetén a vezérlést a rendszerindító szektor veszi, amely elemzi a lemez paramétertáblázatát (BPB - BIOS Parameter Block), kiszámítja az operációs rendszer fájljainak címét, beolvassa a memóriába és elindítja azokat. végrehajtás. A rendszerfájlok általában MSDOS.SYS és IO.SYS, vagy IBMDOS.COM és IBMBIO.COM, vagy mások, attól függően telepített verzió DOS, Windows vagy más operációs rendszerek. Ha a rendszerindító lemezen nincsenek operációs rendszerfájlok, a lemez indító szektorában található program hibaüzenetet jelenít meg, és javasolja a rendszerindító lemez cseréjét.

Merevlemez esetén a vezérlést a merevlemez MBR-jében található program veszi át. Ez a program elemzi a lemezpartíciós táblát, kiszámítja az aktív rendszerindító szektor címét (általában ez a szektor a C: meghajtó rendszerindító szektora), betölti a memóriába és átadja a vezérlést. Miután megkapta az irányítást, a merevlemez aktív rendszerindító szektora ugyanazokat a műveleteket hajtja végre, mint a hajlékonylemez rendszerindító szektora.

A lemezek megfertőzésekor a rendszerindító vírusok „helyettesítik” a kódjukat minden olyan program helyett, amely a rendszer indításakor átveszi az irányítást. A fertőzés elve tehát minden fent leírt módszerben ugyanaz: a vírus újraindításkor „kényszeríti” a rendszert, hogy a memóriába olvasson, és ne az eredeti bootloader kódot adja át, hanem a víruskódot.

A hajlékonylemezek megfertőzésének egyetlen módja ismert módon- a vírus a saját kódját írja a floppy lemez indító szektorának eredeti kódja helyett. Winchester hárommal megfertőződik lehetséges módjai- a vírust vagy az MBR kód helyett, vagy a rendszerindító lemez (általában a C: meghajtó) rendszerindító szektor kódja helyett írják, vagy módosítja az aktív rendszerindító szektor címét az MBR-ben található Lemezpartíciós táblában a merevlemezről.

Amikor egy lemez megfertőződött, a vírus a legtöbb esetben átviszi az eredeti rendszerindító szektort (vagy MBR-t) a lemez valamely másik szektorába (például az első szabadba). Ha a vírus hossza nagyobb, mint a szektor hossza, akkor a vírus első része a fertőzött szektorba kerül, a fennmaradó részek más szektorokba (például az első szabadokba).

Makróvírusok olyan nyelvű programok (makrónyelvek), amelyek egyes adatfeldolgozó rendszerekbe (szövegszerkesztők, táblázatok stb.) be vannak építve. A reprodukáláshoz az ilyen vírusok a makrónyelvek képességeit használják, és segítségükkel átviszik magukat egy fertőzött fájlból (dokumentumból vagy táblázatból) másokba. A legelterjedtebbek a makrovírusok Microsoft Word, Excel és Office97. Vannak olyan makróvírusok is, amelyek megfertőzik az Ami Pro dokumentumokat és a Microsoft Access adatbázisokat.

Ahhoz, hogy egy adott rendszerben (szerkesztőben) vírusok létezzenek, be kell építeni egy makrónyelvet a rendszerbe, amely a következő képességekkel rendelkezik:

Makrónyelvű program összekapcsolása egy adott fájllal;

Makróprogramok másolása egyik fájlból a másikba;

A makróprogramok irányításának képessége felhasználói beavatkozás nélkül (automatikus vagy szabványos makrók);

Ezeknek a feltételeknek megfelelnek a Microsoft Word, Office97 és AmiPro szerkesztők, valamint egy Excel táblázat és egy Microsoft Access adatbázis. Ezek a rendszerek makrónyelveket tartalmaznak: Word - Word Basic, Excel, Office97 (beleértve a Word97, Excel97 és Access) - Visual Basic az Alkalmazásokhoz. Ahol:

1) a makróprogramok egy adott fájlhoz vannak kötve (AmiPro), vagy a fájlon belül helyezkednek el (Word, Excel, Office97);

2) a makrónyelv lehetővé teszi a fájlok másolását (AmiPro) vagy a makróprogramok áthelyezését rendszerszolgáltatási fájlokba és szerkeszthető fájlokba (Word, Excel, Office97);

3) ha bizonyos feltételek mellett (megnyitás, bezárás stb.) fájllal dolgozik, akkor a makróprogramok (ha vannak ilyenek) meghívódnak, amelyek speciális módon vannak definiálva (AmiPro) vagy szabványos nevekkel rendelkeznek (Word, Excel, Office97).

A makrónyelvek ezen funkciója nagy szervezetekben vagy globális hálózatokban történő automatikus adatfeldolgozásra szolgál, és lehetővé teszi az úgynevezett „automatizált dokumentumfolyam” megszervezését. Másrészt az ilyen rendszerek makrónyelvi képességei lehetővé teszik, hogy a vírus átvihesse kódját más fájlokba, és így megfertőzze azokat.

Ma négy olyan rendszer ismert, amelyekre vírusok léteznek – a Microsoft Word, az Excel, az Office97 és az AmiPro. Ezekben a rendszerekben a vírusok átveszik az irányítást egy fertőzött fájl megnyitásakor vagy bezárásakor, eltérítik a szabványos fájlfunkciókat, majd megfertőzik a valamilyen módon elért fájlokat. Az MS-DOS-hoz hasonlóan elmondhatjuk, hogy a legtöbb makróvírus rezidens: nem csak a fájl megnyitásakor/bezárásakor aktív, hanem addig, amíg maga a szerkesztő aktív.

Hálózati vírusok

A hálózati vírusok közé tartoznak azok a vírusok, amelyek aktívan használják a helyi és globális hálózatok protokolljait és képességeit a terjedéshez. A hálózati vírusok fő működési elve az a képesség, hogy a kódját önállóan továbbítsák egy távoli szerverre vagy munkaállomásra. A „teljes értékű” hálózati vírusok arra is képesek, hogy kódjukat egy távoli számítógépen is lefuttatják, vagy legalábbis „lenyomják” a felhasználót egy fertőzött fájl futtatására.

Van egy tévhit, hogy minden számítógépes hálózaton terjedő vírus hálózati vírus. De ebben az esetben szinte minden vírus hálózati vírus lenne, még a legprimitívebbek is: elvégre a leggyakoribb nem rezidens vírus a fájlok megfertőzésekor nem érti, hogy hálózati (távoli) meghajtóról vagy helyi meghajtóról van-e szó. Ennek eredményeként egy ilyen vírus képes megfertőzni a hálózaton belüli fájlokat, de nem minősíthető hálózati vírusnak.

A hálózati vírusok az 1980-as évek végén váltak a leghíresebbé, hálózati férgeknek is nevezik őket. Ezek közé tartozik a Morris vírus, a "Christmas Tree" és a "Wank Worm" vírusok. A terjedéshez az akkori globális hálózatok hibáit és dokumentálatlan funkcióit használták fel – a vírusok saját maguk másolatait vitték át szerverről szerverre, és indították el őket végrehajtásra. A Morris vírusok esetében a járvány több globális hálózatot is elkapott az Egyesült Államokban.

A múltbeli hálózati vírusok a számítógépes hálózaton keresztül terjedtek, és általában a kísérővírusokhoz hasonlóan nem változtatták meg a lemezeken lévő fájlokat vagy szektorokat. Számítógépes hálózatról behatoltak a számítógép memóriájába, kiszámították más számítógépek hálózati címét, és ezekre a címekre küldték el magukról másolatokat. Ezek a vírusok néha munkafájlokat is létrehoztak a rendszerlemezeken, de előfordulhat, hogy egyáltalán nem férnek hozzá a számítógép erőforrásaihoz (kivéve a RAM-ot).

Több hálózati vírus kitörése után a hálózati protokollok és szoftverek hibáit kijavították, és bezárták a hátsó ajtókat. Ennek eredményeként az elmúlt tíz évben egyetlen hálózati vírussal való fertőzést sem regisztráltak, és egyetlen új hálózati vírus sem jelent meg.

A hálózati vírusok problémája csak 1997 elején merült fel újra, a Macro.Word.ShareFun és a Win.Homer vírusok megjelenésével. Az első a Microsoft Mail e-mail képességeit használja - létrehoz egy új levelet, amely egy fertőzött dokumentumfájlt tartalmaz (a "ShareFun" egy makróvírus), majd kiválaszt három véletlenszerű címet az MS-Mail címek listájából, és elküldi a fertőzött levelet. nekik. Mivel sok felhasználó úgy állítja be az MS-Mail beállításait, hogy levél fogadásakor az MS Word automatikusan elindul, a vírus „automatikusan” beágyazódik a fertőzött levél címzettjének számítógépébe.

Ez a vírus a modern hálózati vírusok első típusát szemlélteti, amely egyesíti a Word/Excelbe beépített Basic nyelv képességeit, az e-mail protokollokat és szolgáltatásait, valamint a vírus terjesztéséhez szükséges automatikus futtatási funkciókat.

A második vírus („Homer”) az FTP (File Trabsfer Protocol) protokollt használja a terjesztéséhez, és a másolatát egy távoli ftp-szerverre továbbítja a Bejövő könyvtárban. Mivel az FTP hálózati protokoll kizárja a fájl távoli szerveren való futtatásának lehetőségét, ez a vírus „félhálózatnak” nevezhető, de ez egy igazi példa arra, hogy a vírusok képesek modern hálózati protokollokat használni és megfertőzni a globális hálózatokat.

Mások

A vírusok mellett a „rosszindulatú programok” közé tartoznak a trójai falók (logikai bombák), a tervezett vírusok, víruskonstruktorok és polimorf generátorok is.

Trójai falók (logikai bombák)

A trójai falók közé tartoznak olyan programok, amelyek bármilyen pusztító akciót okoznak, pl. bármilyen körülménytől függően vagy minden indításkor megsemmisíti a lemezeken lévő információkat, lefagy a rendszerben stb.

A legtöbb trójai program, amit ismerek, olyan program, amely valamilyen „hamisít” valamit hasznos programokat, népszerű segédprogramok új verziói vagy azok kiegészítései. Nagyon gyakran BBS állomásokra vagy elektronikus konferenciákra küldik őket. A vírusokhoz képest a trójai falovakat meglehetősen egyszerű okok miatt nem használják széles körben – vagy megsemmisítik magukat a lemezen lévő többi adattal együtt, vagy leleplezik jelenlétüket, és az érintett felhasználó megsemmisíti őket.

A trójai falovak közé tartoznak a víruscseppelők is – olyan fertőzött fájlok, amelyek kódját úgy módosítják, hogy az antivírusok ismert verziói nem észlelnek vírust a fájlban. Például a fájl valamilyen speciális módon titkosítva van, vagy ritkán használt archiválóval van csomagolva, ami nem teszi lehetővé a víruskereső számára, hogy „lássa” a fertőzést.

Érdemes megjegyezni a „gonosz vicceket” is (hoax). Ide tartoznak azok a programok, amelyek nem okoznak közvetlen kárt a számítógépben, de olyan üzeneteket jelenítenek meg, amelyek jelzik, hogy ilyen kárt már okoztak, vagy bizonyos körülmények között bekövetkezni fognak, vagy figyelmeztetik a felhasználót egy nem létező veszélyre. A „gonosz viccek” közé tartoznak például azok a programok, amelyek a lemez formázásáról szóló üzenetekkel „ijesztgetik” a felhasználót (bár formázás valójában nem történik meg), észlelik a vírusokat a nem fertőzött fájlokban (ahogy ezt széles körben teszik híres program ANTITIME), furcsa vírusszerű üzenetek megjelenítése (CMD640X lemezmeghajtó valamilyen kereskedelmi csomagból) stb. - egy ilyen műsor szerzőjének humorérzékétől függően. Nyilvánvalóan a Seagate merevlemezek második szektorában található „CHOLEEPA” sor szintén „gonosz viccekre” utal.

A „gonosz viccek” kategóriájába tartoznak az új szupervírusokról szóló szándékosan hamis jelentések is. Az ilyen üzenetek rendszeresen megjelennek az elektronikus konferenciákon, és általában pánikot keltenek a felhasználókban.

Szándékos vírusok

Ilyen vírusok közé tartoznak azok a programok, amelyek első ránézésre 100%-ban vírusok, de hibák miatt nem képesek reprodukálni. Például egy vírus, amely megfertőzve „elfelejti” parancsot adni a víruskód vezérlésének átadására a fájlok elejére, vagy rossz címét írja bele a kódjába, vagy rosszul állítja be az elfogott címét. megszakítás (ami az esetek túlnyomó többségében lefagy a számítógépen) stb.

A „szándékolt” kategóriába azok a vírusok is tartoznak, amelyek a fenti okok miatt csak egyszer – a „szerzői” másolatból – reprodukálódnak. Miután megfertőznek egy fájlt, elveszítik a további reprodukálási képességüket.

A szándékolt vírusok leggyakrabban egy létező vírus alkalmatlan újrafordításának eredményeként jelennek meg, vagy a programozási nyelv elégtelen ismerete, vagy az operációs rendszer technikai bonyodalmainak tudatlansága miatt.

Víruskonstruktorok

A vírustervező egy olyan segédprogram, amelyet új számítógépes vírusok létrehozására terveztek. Ismertek DOS, Windows és makróvírusok vírustervezői. Lehetővé teszik vírusforrás szövegek (ASM-fájlok), objektummodulok és/vagy közvetlenül fertőzött fájlok létrehozását.

Egyes tervezők (VLC, NRLG) szabványos ablakfelülettel vannak felszerelve, ahol egy menürendszer segítségével kiválasztható a vírus típusa, az érintett objektumok (COM és/vagy EXE), az önellenőrzés megléte vagy hiánya. titkosítás, a hibakeresővel szembeni ellenállás, belső szöveges karakterláncok, és válassza ki a vírus működését kísérő effektusokat és így tovább. Más konstruktorok (PS-MPC, G2) nem rendelkeznek interfésszel, és a konfigurációs fájlból olvasnak információkat a vírus típusáról.

Polimorf generátorok

A polimorf generátorok, akárcsak a víruskonstruktorok, nem vírusok szó szerint ezt a szót, mivel algoritmusukban nem szerepelnek reprodukciós függvények, azaz. fájlok megnyitása, bezárása és írása, olvasási és írási szektorok stb. Az ilyen típusú programok fő funkciója a vírus testének titkosítása és a megfelelő dekódoló létrehozása.

A polimorf generátorokat jellemzően a szerzőik korlátozás nélkül terjesztik archív fájl formájában. Bármely generátor archívumában a fő fájl az ezt a generátort tartalmazó objektummodul. Ez a modul minden generátorban tartalmaz egy külső funkciót - a generátorprogram meghívását.

Így a vírus szerzőjének, ha valódi polimorf vírust akar létrehozni, nem kell a saját dekóderének kódjain pórul járnia. Kívánt esetben bármilyen ismert polimorf generátort csatlakoztathat a vírusához, és meghívhatja azt a víruskódokból. Fizikailag ez a következőképpen érhető el: a vírusobjektum fájlt összekapcsolják a generátor objektumfájljával, és a vírus forrásszövegébe beszúrják a polimorf generátor hívását a fájlba írandó parancsok előtt, ami dekódoló kódolja és titkosítja a vírus testét.

A „rezidencia” kifejezés (a DOS-ban TSR – Terminate and Stay Resident) a vírusok azon képességére utal, hogy másolatot hagynak magukról az operációs rendszerben, elfognak bizonyos eseményeket (például hozzáférést a fájlokhoz vagy lemezekhez), és eljárásokat indítanak el az észlelt fertőzöttség érdekében. objektumok (fájlok és lemezek). szektorok). Így a rezidens vírusok nem csak a fertőzött program futása közben aktívak, hanem azután is, hogy a program befejezte munkáját. Az ilyen vírusok rezidens másolatai a következő újraindításig életképesek maradnak, még akkor is, ha az összes a lemezen lévő fertőzött fájlok megsemmisülnek.Gyakran a Lehetetlen megszabadulni az ilyen vírusoktól úgy, hogy visszaállítjuk a fájlok összes másolatát a terjesztési lemezekről vagy biztonsági másolatokról A vírus rezidens példánya aktív marad, és megfertőzi az újonnan létrehozott fájlokat Ugyanez igaz rendszerindító vírusok esetén – a lemez formázása, ha a memóriában rezidens vírus van, nem mindig gyógyítja meg a lemezt, mivel sok állandó vírus újrafertőzi a lemezt a formázás után.

A nem rezidens vírusok ezzel szemben meglehetősen rövid ideig aktívak - csak abban a pillanatban, amikor a fertőzött program elindul. A terjedéshez nem fertőzött fájlokat keresnek a lemezen, és írnak rájuk. Miután a víruskód átadja az irányítást a gazdagépnek, a vírusnak az operációs rendszer működésére gyakorolt ​​hatása nullára csökken a fertőzött program következő indításáig. Ezért sokkal egyszerűbb a nem-rezidens vírusokkal fertőzött fájlokat törölni a lemezről anélkül, hogy a vírus újra megfertőzhetné őket.

DOS vírusok

A DOS kettőt biztosít törvényes módokon rezidens modulok létrehozása: a CONFIG.SYS-ben megadott meghajtókkal, és a KEEP funkció használatával (INT 21h, AH=31h vagy INT 27h). Sok fájlvírus más módszert használ a terjedésének álcázására – a memóriafoglalást (MCB) vezérlő feldolgozási rendszerterületek álcázására. Kijelölnek maguknak egy szabad memóriaterületet (beleértve az UMB-t is), megjelölik foglaltként, és felülírják ott a másolatukat. Egyes vírusok TSR-másolataikat a megszakítási vektortábla szabad memóriaterületeibe, a videomemóriába, a DOS-munkaterületekre, a rendszerpufferek számára lefoglalt memóriába és a HMA-memóriába fecskendezik be. Ezeket a módszereket részletesebben a „Rezidens vírus észlelése” részben ismertetjük.

Egy memóriablokk lefoglalása után a vírus bemásolja a kódját, és felülír egy vagy több megszakítást, amelyre szüksége van a fertőzött fájlok kereséséhez, romboló műveletek vagy hang- és videóeffektusok végrehajtásához.

Fájlok megfertőzésekor a nem-rezidens és egyes rezidens vírusok ezeket a fájlokat keresik a lemez(ek)en a DOS FindFirst és FindNext funkcióival (INT 21h, AH=11h,12h,4Eh,4Fh). A rezidens vírusok a DOS-funkciók szélesebb listáját használják, amelyek elérésekor megfertőznek egy fájlt. Valójában ez a lista tartalmazza az összes olyan funkciót, amelyek bemeneti vagy kimeneti paramétereinek értékei felhasználhatók az elérendő fájl nevének meghatározására (az ilyen paraméterek közé tartoznak a megfelelő regiszterek vagy memóriaterületek értékei). Ennek eredményeként a 21h megszakítás „vírusveszélyes” funkciói közé tartoznak a végrehajtás (EXEC, AX=4B00), a memóriába betöltés (AH=4Bh), a keresés (FindFirst és FindNext, AH=11h,12h,4Eh, 4Fh) létrehozás (Create, AH =3Ch), nyitás (Open, AH=3Dh), zárás (Close, AH=3Eh), attribútumok megváltoztatása (ChMode, AH=43h), átnevezés (Rename, AH=56h) és néhány egyéb funkciók a fájlokkal való munkához.

Számos ismert módszer létezik arra, hogy egy rezidens vírus ellenőrizze saját másolatának jelenlétét a számítógép memóriájában. Az első az, hogy a vírus egy új megszakítási funkciót vezet be, amelynek hatása az "itt vagyok" értéket adja vissza. Indításkor a vírus hozzáfér, és ha a visszaadott érték megegyezik az „itt vagyok” értékkel, akkor a számítógép memóriája már fertőzött, és az újrafertőzés nem történik meg. A második módon történő ellenőrzéskor a vírus az „itt vagyok” értéket írja néhány ritkán használt memóriaterületre - a megszakítási vektortáblázatba vagy a BIOS adatterületére (0040:00??). A fertőzött programok későbbi indításakor a vírus ellenőrzi ezt az értéket, és nem hívja meg a memóriafertőzési eljárást. Természetesen vannak más módszerek is, például egyes vírusok egyszerűen átvizsgálják a számítógép memóriáját.

Egyes rezidens fájlvírusok (általában olyan vírusok, amelyeket olyan konstruktorokkal hoztak létre, mint a VCL és a PS-MPC) hibásan határozzák meg a TSR-másolatukat, és másolják magukat RAM minden alkalommal, amikor egy fertőzött fájlt futtat. Természetesen ebben az esetben a számítógép vagy azonnal lefagy, vagy egy idő után leállítja a programok végrehajtását a szabad memória hiánya miatt.

Boot vírusok

A rezidens rendszerindító vírusok túlnyomó többsége ugyanazt a technikát használja a rendszermemória lefoglalására a rezidens másolata számára: csökkentik a DOS-memória mennyiségét (szó a 0040:0013 címen), és a kódjukat a „levágott” memóriablokkba másolják. A DOS memória mennyisége általában eggyel (egy kilobájttal) csökken a rövid rendszerindító vírusok esetében, amelyek kódja egy szektornyi lemezterületet (512 bájt) foglal el. A kilobájt második felét a vírusok olvasási/írási pufferként használják a lemezek megfertőzésekor. Ha a vírus mérete egy kilobájtnál nagyobb, vagy nem szabványos fertőzési módszereket használ, amelyek nagyobb olvasási/írási puffert igényelnek, a memória mérete több kilobájttal csökken (az ismert vírusok közül az "RDA.Fighter" maximális értéke "vírus 30K).

Ezt követően egyes vírusok „várnak”, amíg a DOS betölti és visszaállítja a rendszermemória eredeti értékét - ennek eredményeként nem a DOS-on kívül helyezkednek el, hanem a DOS memória külön blokkjaként. Egyes rendszerindító vírusok egyáltalán nem használják vagy módosítják a rendszermemória mennyiségét. Átmásolják magukat egy olyan memóriaterületre, amely a DOS betöltéséig használaton kívül van, megvárják, amíg a DOS betöltődik, majd DOS-ban minden lehetséges módon telepítik a kódjukat a rendszerre.

Ezek a vírusok többféle módszert alkalmaznak a DOS betöltési pillanatának elfogására. A legnépszerűbb módja az INT 21h értékének ellenőrzése (DOS funkciók megszakítása). Ha ez az érték megváltozik, a vírusok úgy tekintik, hogy a DOS telepítés befejeződött. Az INT 21h értékét az INT 8, 1Ch hívásakor (időzítő megszakítások; erre a célra a vírusok a lemezelérési megszakítások mellett az időzítő megszakításokat is elfogják) vagy az INT 13h hívásakor ellenőrizzük. Egy kevésbé népszerű módszer a lemezről olvasott adatok ellenőrzése (ehhez csak az INT 13h elfogása szükséges). Ha az olvasási puffer EXE-fájl fejlécet tartalmaz, a vírusok azt feltételezik, hogy a DOS-betöltés befejeződött, mert az EXE-fájl végrehajtásra betöltődött a memóriába.

A lemezekhez való hozzáférés elfogása érdekében a legtöbb rendszerindító vírus elfogja az INT 13h-t – a lemezekkel való munka fő megszakítását. Ritkábban használják az INT 40h elfogást – egy megszakítást a hajlékonylemezekkel való munkavégzéshez. Még ritkábban használják a hajlékonylemezekkel végzett munka során fellépő BIOS és DOS megszakítások elfogásának különféle egzotikus módszereit.

Az INT 13h/40h elfogása esetén a vírusok feldolgozzák a szektorok olvasási/írási parancsait (AH=2,3), ellenőrizzék a lemez fertőzöttségét, és beírják a kódjukat a merevlemez boot szektorába vagy MBR-ébe. Más parancsokat ritkábban fog el – a Lemez visszaállítása parancstól (AH=0) a „hosszú” olvasási/írási parancsokig (AH=0Ah, 0Bh).

A legtöbb rendszerindító vírus nem ellenőrzi a rendszermemóriában a már telepített TSR-másolat jelenlétét – vagy lopakodó technikákat alkalmaznak, és a víruskód újrafuttatása lehetetlen, vagy arra hagyatkoznak, hogy a víruskód egyszer betöltődik a víruskód betöltésekor. DOS rendszerindítás – ezt követően a rendszerindító szektor kódjai a meghajtók semmilyen körülmények között nem futnak le. Egyes vírusok ellenőrzik önmaguk másolatának meglétét - ehhez vagy speciális hívásokat használnak az INT 13h-hoz valamilyen nem szabványos értékkel, vagy megjelölnek néhány nyilvánvalóan nem használt bájtot (vagy szót) a megszakítási vektortáblázatban vagy a BIOS-adatokban. terület (0040:00??) . Természetesen vannak más módok is a TSR-másolat észlelésére.

Windows vírusok

A végrehajtható kód bent hagyásához Windows memória, három módszer létezik, és mindhárom módszert (a Windows NT kivételével) használták már különböző vírusok.

A legegyszerűbb módja, ha regisztrálja a programot a futó alkalmazások egyikeként Ebben a pillanatban. Ehhez a program regisztrálja a feladatát, melynek ablaka elrejthető, regisztrálja rendszeresemény-kezelőjét stb. A második módszer a rendszermemória blokk lefoglalása DPMI-hívásokkal, és a kód bemásolása ("Ph33r" vírus). A harmadik lehetőség az, hogy VxD-illesztőprogramként (Wnidows 3.xx és Windows95) vagy mint rezidens marad. Windows illesztőprogram N.T.

A fájlhívások elfogása kétféleképpen történik – vagy az INT 21h hívásait (Hook_V86_Int_Chain, Get/Set_V86_Int_Vector, Get/Set_PM_Int_Vector), vagy az API rendszerhívást. A rezidens Windows-vírusok nagyjából ugyanúgy működnek, mint a DOS-vírusok: elfogják a fájlok hívását, és megfertőzik azokat.

A memóriában már jelenlévő rezidens másolat észlelésére a VxD vírusok kivételével a fent leírtakkal megegyező módszereket alkalmazunk. Az ismert VxD vírusok akkor töltődnek be a memóriába, amikor a Windows rendszerindítása. Ehhez beírják az indítási parancsot a Windows SYSTEM.INI konfigurációs fájljába. Ha ez a fájl már tartalmaz parancsot egy vírus VxD fájl indítására, akkor a vírus nem regisztrálja újra a VxD fájlt.

Makróvírusok

A legtöbb makróvírus rezidensnek tekinthető, mivel a szerkesztő teljes futási ideje alatt jelen vannak a rendszermakró területén. Csakúgy, mint a rezidens rendszerindító és fájlvírusok, elfogják a rendszereseményeket, és reprodukálják azokat. Az ilyen események közé tartoznak a különféle rendszerhívások, amelyek akkor fordulnak elő, amikor dolgozik Word dokumentumokés Excel táblázatok (nyitás, zárás, létrehozás, nyomtatás stb.), menüpont meghívása, billentyű lenyomása vagy egy adott időpont elérése. Az események elfogásához a makróvírusok felülírnak egy vagy több rendszermakrót vagy -funkciót.

Fertőzéskor egyes makróvírusok ellenőrzik, hogy a fertőzött objektumban van-e saját másolatuk, és nem másolják újra magukat. Más makróvírusok ezt nem teszik meg, és minden fertőzéssel átírják a kódjukat. Ha ebben az esetben a fertőzött fájl vagy rendszermakrók területén már van olyan makró definiálva, amelynek neve megegyezik a vírusmakróval, akkor az ilyen makró megsemmisül.

Lopakodó vírusokígy vagy úgy elrejtik a rendszerben való jelenlétük tényét. A Windows vírusok kivételével mindenféle lopakodó vírus ismert - rendszerindító vírusok, DOS fájlvírusok és még makróvírusok is. A fertőző lopakodó vírusok megjelenése Windows fájlok, valószínűleg idő kérdése.

Boot vírusok

A boot stealth vírusok két fő módszert használnak kódjuk elrejtésére. Az első ezek közül az, hogy a vírus elfogja a fertőzött szektor olvasására vonatkozó parancsokat (INT 13h), és a helyére a nem fertőzött eredetit helyettesíti. Ez a módszer láthatatlanná teszi a vírust minden DOS-program számára, beleértve az antivírusokat is, amelyek nem képesek „meggyógyítani” a számítógép RAM-ját. Lehetőség van a szektorolvasási parancsok elfogására az INT 13h-nál alacsonyabb szinten.

A második módszer olyan vírusirtókra irányul, amelyek támogatják a szektorok közvetlen olvasását a lemezvezérlő portjain keresztül. Az ilyen vírusok bármely program futtatásakor (beleértve a víruskeresőt is) visszaállítják a fertőzött szektorokat, majd annak befejezése után újra megfertőzik a lemezt. Mivel ehhez a vírusnak el kell hárítania a programok elejét és végét, ezért a DOS INT 21h megszakítását is el kell fognia.

Bizonyos fenntartásokkal a lopakodó vírusok nevezhetők olyan vírusoknak, amelyek minimális változtatásokat hajtanak végre a fertőzött szektoron (például az MBR megfertőzésekor csak a rendszerindító szektor aktív címe kerül szerkesztésre - csak 3 bájt változhat), vagy álcázzák magukat. mint egy szabványos rendszerbetöltő kódja.

Fájlvírusok

A legtöbb fájllopakodó vírus ugyanazokat a technikákat használja, mint a fentebb leírtak: vagy elfogják a DOS-hívásokat a fájlok elérésére (INT 21h), vagy ideiglenesen vírusmentesítik a fájlt, amikor megnyitják, és megfertőzik, amikor bezárják. Csakúgy, mint a rendszerindító vírusok, vannak olyan fájlvírusok, amelyek megszakítás-elfogást használnak lopakodó funkcióikhoz. alacsony szint- DOS meghajtók hívása, INT 25h, sőt INT 13h.

A teljes értékű fájllopakodó vírusok, amelyek a kódjuk elrejtésének első módszerét használják, többnyire meglehetősen nehézkesek, mivel számos DOS-funkciót kell elfogniuk a fájlokkal való munkavégzéshez: megnyitás/zárás, olvasás/írás, keresés. , indítás, átnevezés stb. , és egyes hívások mindkét verzióját támogatni kell (FCB/ASCII), illetve a Windows95/NT megjelenése után egy harmadik opciót is kezelni kellett - a hosszú fájlnevekkel való munkavégzés funkcióit.

Egyes vírusok a teljes értékű lopakodó vírus funkcióinak egy részét használják. Leggyakrabban elfogják a DOS FindFirst és FindNext funkcióit (INT 21h, AH=11h, 12h, 4Eh, 4Fh), és „lecsökkentik” a fertőzött fájlok méretét. Egy ilyen vírus nem azonosítható a fájlméret változásai alapján, kivéve, ha természetesen a memóriában tartózkodik. Azok a programok, amelyek nem használják a megadott DOS-funkciókat (például "Norton Utilities"), hanem közvetlenül használják a könyvtárat tároló szektorok tartalmát, a fertőzött fájlok megfelelő hosszát mutatják.

Makróvírusok

A makróvírusokban a lopakodó algoritmusok megvalósítása valószínűleg a legegyszerűbb feladat – csak le kell tiltania a Fájl/Sablonok vagy az Eszközök/Makró menü meghívását. Ezt úgy érheti el, hogy eltávolítja ezeket a menüelemeket a listáról, vagy lecseréli őket a FileTemplates és ToolsMacro makrókra.

A részben lopakodó vírusok a makróvírusok kis csoportjának nevezhetők, amelyek fő kódjukat nem magában a makróban tárolják, hanem a dokumentum más területein - a változókban vagy az automatikus szövegben.

NAK NEK polimorf vírusok Ide tartoznak azok, amelyek felismerése lehetetlen (vagy rendkívül nehéz) úgynevezett vírusmaszkok segítségével – egy adott vírusra jellemző állandó kód szakaszaival. Ez két fő módon érhető el - a fő víruskód titkosításával egy nem állandó kulccsal és egy véletlenszerű visszafejtő parancskészlettel, vagy magának a végrehajtható víruskódnak a megváltoztatásával. Vannak más, meglehetősen egzotikus példák is a polimorfizmusra - a "Bomber" DOS-vírus például nincs titkosítva, de a parancssor, amely átadja az irányítást a víruskódnak, teljesen polimorf.

Különböző összetettségű polimorfizmus minden típusú vírusban megtalálható – a rendszerindító és fájl DOS-vírusoktól a Windows-vírusokig, sőt a makróvírusokig is.

A polimorfizmus szintjei

A polimorf vírusok szintekre oszthatók a vírusok dekódolóiban található kód összetettségétől függően. Ezt a felosztást először dr. Alan Solomon, egy idő után Vesselin Bonchev kibővítette.

1. szint: olyan vírusok, amelyek egy bizonyos dekódolókészlettel rendelkeznek állandó kóddal, és ha fertőzöttek, válassz egyet ezek közül. Az ilyen vírusok „félig polimorf”, és „oligomorfnak” is nevezik. Példák: "Cseeba", "Szlovákia", "Bálna".

2. szint: A vírus visszafejtő egy vagy több állandó utasítást tartalmaz, de a fő rész nem állandó.

3. szint: a visszafejtő nem használt utasításokat tartalmaz - "szemetet", például NOP, CLI, STI stb.

4. szint: A visszafejtő cserélhető utasításokat és átrendezési (keverő) utasításokat használ. A visszafejtési algoritmus nem változik.

5. szint: a fenti technikák mindegyike használatos, a visszafejtési algoritmus nem állandó, lehetőség van a víruskód újratitkosítására és akár magának a dekódoló kódnak a részleges titkosítására is.

6. szint: vírusok permutációja. A vírus fő kódja változhat - blokkokra van osztva, amelyek megfertőződése esetén véletlenszerű sorrendben átrendeződnek. A vírus működőképes marad. Előfordulhat, hogy az ilyen vírusok nem titkosítottak.

A fenti felosztás nem mentes a hiányosságoktól, mivel egyetlen kritérium szerint készült - a vírus felismerésének képessége a dekódoló kóddal a vírusmaszkok szabványos technikájával:

1. szint: a vírus kimutatásához elegendő több maszk

2. szint: maszk észlelése "helyesítő karakterekkel"

3. szint: észlelés maszkkal a „szemét” utasítások eltávolítása után

4. szint: a maszk több lehetséges kódopciót tartalmaz, pl. algoritmikussá válik

5. szint: képtelenség észlelni a vírust maszk segítségével

Az ilyen felosztás elégtelenségét a polimorfizmus 3. szintű vírusa mutatja, amelyet „3. szintnek” neveznek. Ez a vírus, mint az egyik legösszetettebb polimorf vírus, a fenti felosztás szerint a 3. szintbe tartozik, mivel állandó visszafejtési algoritmusa van, amelyet nagyszámú „szemét” parancs előz meg. Ebben a vírusban azonban tökéletesre sikerült a szemétgeneráló algoritmus: az i8086 processzor szinte minden utasítása megtalálható a visszafejtő kódban.

Ha a víruskód automatikus megfejtésére szolgáló rendszereket (emulátorokat) használó antivírusok szempontjából szintekre osztunk, akkor a szintekre bontás a víruskód emulálásának bonyolultságától függ. A vírus más módszerekkel is kimutatható, például az elemi matematikai törvények segítségével történő visszafejtéssel stb.

Ezért számomra objektívebb felosztásnak tűnik, amelyben a vírusmaszkok kritériuma mellett más paraméterek is szerepet kapnak.

1. A polimorf kód bonyolultsági foka (a dekódoló kódban található összes processzorutasítás százalékos aránya)

2. Anti-emulációs technikák alkalmazása

3. A visszafejtő algoritmus állandósága

4. A dekódoló hosszának állandósága

A végrehajtható kód módosítása

Leggyakrabban a polimorfizmusnak ezt a módszerét a makrovírusok alkalmazzák, amelyek saját maguk új másolatainak létrehozása során véletlenszerűen megváltoztatják a változóik nevét, üres sorokat szúrnak be, vagy más módon megváltoztatják a kódjukat. Így a vírus algoritmusa változatlan marad, de a vírus kódja fertőzésről fertőzésre szinte teljesen megváltozik.

Ezt a módszert az összetett rendszerindító vírusok ritkábban használják. Az ilyen vírusok csak egy meglehetősen rövid eljárást injektálnak a rendszerindító szektorokba, amelyek kiolvassák a fő víruskódot a lemezről, és átadják az irányítást. Ennek az eljárásnak a kódja több közül van kiválasztva különféle lehetőségeket(ami „üres” csapatokkal is hígítható), csapatok átrendeződnek stb.

Ez a technika még kevésbé elterjedt a fájlvírusoknál – elvégre teljesen meg kell változtatniuk a kódjukat, ehhez pedig meglehetősen bonyolult algoritmusokra van szükség. Eddig csak két ilyen vírus ismert, amelyek közül az egyik ("Ply") véletlenszerűen mozgatja a parancsait a testében, és JMP vagy CALL parancsokkal helyettesíti azokat. Egy másik vírus („TMC”) többet használ a nehéz út- minden alkalommal, amikor megfertőződik, a vírus felcseréli kódjának és adatának blokkjait, beszúrja a „szemetet”, új eltolási értékeket állít be az adatokhoz az összeállítási utasításaiban, megváltoztatja az állandókat stb. Ennek eredményeként, bár a vírus nem titkosítja a kódját, ez egy polimorf vírus - a kódban nincs állandó parancskészlet. Sőt, amikor új másolatokat hoz létre önmagáról, a vírus megváltoztatja a hosszát.

Személyes tapasztalatból

Bármilyen kérdése van, forduljon hozzám e-mailben: [e-mail védett]