Что такое сетевые вирусы. Примеры и классификации компьютерных вирусов

Компьютерный вирус – это своеобразная программа, которая содержит вредоносный код для операционной системы. В случае заражения вирусом, Вашему компьютеру может быть нанесён вред (файлам или операционной системе) и (или) другим компьютерам в локальной сети. Вирус способен повредить или уничтожить важные для Вас фотографии, документы, базы данных, а также другие файлы. Поэтому удаление и лечение вирусов очень важно. Проверка компьютера на вирусы должна производиться регулярно для профилактики

Классификация вредоносного ПО

Сетевой червь - это вредоносный программный код, распространяющий свои копии по локальным или/и глобальным сетям с целью проникновения на компьютер-жертву, запуска своей копии на этом компьютере и дальнейшего распространения.

Для распространения черви используют электронную почту, ISQ, P2P- и IRC-сети, LAN, сети обмена данными между мобильными устройствами.

Большинство червей распространяются в файлах (вложение в письмо, ссылка на файл и т.д.).

Но существуют и черви, которые распространяются в виде сетевых пакетов. Такие разновидности проникают непосредственно в память компьютера и сразу начинают действовать резидентно.

Для проникновения на компьютер-жертву используются несколько путей:

- самостоятельный (пакетные черви), -

- пользовательский (социальный инжиниринг),

- различные бреши в системах безопасности операционной системы и приложений.

- некоторые черви обладают свойствами других типов вредоносного программного обеспечения (чаще всего это троянские программы).

Почтовые черви (Email-Worm)

Использует для распространения электронную почту. Отправляет жертве письмо с прикрепленным телом кода либо в письме присутствует ссылка на ресурс (естественно, зараженный).

Для отправки сообщений червями используются следующие способы: прямое подключение к SMTP-серверу, используя встроенную в код червя почтовую библиотеку; использование сервисов MS Outlook

Для поиска адресов жертв чаще всего используется адресная книга MS Outlook.

Червь может просканировать файлы, хранящиеся на дисках, и выделить из них строки, относящиеся к адресам электронной почты.

Черви могут отсылать свои копии по всем адресам, обнаруженным в почтовом ящике (некоторые обладают способностью отвечать на письма в ящике).

Черви, использующие интернет-пейджеры

(IM-Worm).

черви данного типа используют единственный способ распространения - рассылку на обнаруженные контакты (из контакт-листа) сообщений, содержащих URL на файл, расположенный на каком-либо веб- сервере.

Данный прием практически полностью повторяет аналогичный способ рассылки, использующийся почтовыми червями.

Черви в IRC-каналах (IRC-Worm)

используют два вида распространения: посылание пользователю URL-ссылки на файл-тело; отсылку пользователю файла (при этом пользователь должен подтвердить прием).

Черви для файлообменных сетей (P2P-Worm)

Механизм работы:

Всю остальную работу по его распространению P2P-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера.

Черви файлообменных сетей (P2P-Worm)

Механизм работы:

для внедрения в P2P-сеть червю достаточно скопировать себя в каталог обмена файлами, который обычно расположен на локальной машине.

работу по его распространению P2P-сеть берет на себя - при поиске файлов в сети она сообщит удаленным пользователям о данном файле и предоставит весь необходимый сервис для его скачивания с зараженного компьютера.

P2P-черви, имитируют сетевой протокол конкретной файлообменной системы и положительно отвечают на поисковые запросы (при этом червь предлагает для скачивания свою копию).

Прочие сетевые черви (NET-Worm)

Способы заражения удаленных компьютеров:

Копирование червя на сетевые ресурсы;

Проникновение червя на компьютер через уязвимости в операционных системах и приложениях;

Проникновение в сетевые ресурсы публичного использования;

Копирование червя на сетевые ресурсы

червь ищет в сети машины с ресурсами, открытыми на запись, и копирует.

он может случайным образом находить компьютеры и пытаться открыть доступ к ресурсам.

Проникновение червя через уязвимости в операционных системах и приложениях

Червь ищет компьютеры с установленным программным обеспечением, в котором имеются критические уязвимости.

Таким образом, червь отсылает специально сформированный пакет (запрос), и часть червя проникает на компьютер, после чего загружает полный файл-тело и запускает на исполнение.

Классические вирусы

Вирусы, в отличие от червей, не пользуются сетевыми сервисами для распространения своих копий.

Компьютерный вирус, как правило, попадает на компьютер-жертву по причинам, не зависящим от функционала кода.

Обычно виноват пользователь, который не проверяет антивирусной программой информацию, попадающую на компьютер, в результате чего, собственно, и происходит заражение.

Способы «подцепить» классический вирус:

Внешние носители информации;

Интернет ресурсы;

Файлы, распространяющиеся по сети (LAN, Internet).

Классический компьютерный вирус может иметь свойства других типов вредоносного ПО (например, троянскую процедуру удаления информации на диске).

Вирусы делятся на классы по среде обитания, а эти классы, в свою очередь, делятся на подклассы по способу заражения.

По среде обитания вирусы делятся на

Файловые,

Загрузочные,

Макро-

Скриптовые.

Перезаписывающие вирусы (Overwriting)

Вирус переписывает код программы (заменяет его своим), после чего, естественно, файл перестает работать.

Файл, зараженный данным способом, восстановлению не подлежит.

Перезаписывающий вирус быстро обнаруживает себя, так как зараженная система (или программа) перестает функционировать.

К таковым относятся все вирусы, которые изменяют содержимое файла, но при этом оставляют его работоспособным.

Основными типами таких вирусов являются:

Вирусы, записывающиеся в начало файлов (prepending),

Вирусы, записывающиеся в конец файлов (appending)

Вирусы, записывающиеся в середину файлов (inserting).

При записывании кода в начало файла вирус может воспользоваться двумя способами:

Первый - это перенос начала файла в конец и дописывание собственного кода в освободившееся место.

Второй - дописывание кода файла к своему коду.

В обоих случаях при запуске файла управление получает вирус, а потом во избежание подозрений управление передается обратно файлу-жертве

Внедрение вирусов в середину файлов происходит различными методами

Внедрение вирусов в середину файлов происходит различными методами

Путем переноса части файла в его конец

- копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).

- При внедрении кода вируса в конец файла используется способ дописывания.

- Код вируса дописывается в конец файла- жертвы, при этом головная часть файла изменяется таким образом, что управление, опять же, первым получает вирус, ну, а потом файл.

Вирусы-компаньоны (Companion)

Данный способ подразумевает создание файла-двойника, при этом код файла-жертвы не изменяется.

Обычно вирус изменяет расширение файла (например, с.exe на.com), потом создает свою копию с именем, идентичным имени файла-жертвы, и дает ему расширение, тоже идентичное.

Ничего не подозревающий пользователь запускает любимую программу и не подозревает, что это вирус. Вирус, в свою очередь, заражает еще несколько файлов и запускает программу, затребованную пользователем.

Троянская программа

Это вредоносный код, совершающий не санкционированные пользователем действия (например, кража информации, уничтожение или модификация информации, использование ресурсов машины в злонамеренных целях и т.д.).

Похитители паролей (Trojan-PSW)

Занимаются тем, что воруют пароли. Проникнув на компьютер и инсталлировавшись, троянец сразу приступает к поиску файлов, содержащих соответствующую информацию.

Кража паролей - не основная спецификация программ этого класса - они также могут красть информацию о системе, файлы, номера счетов, коды активации другого ПО и т.д.

Интернет-кликеры (Trojan-clicker)

Данное семейство троянских программ занимается организацией несанкционированных обращений к интернет- ресурсам путем отправления команд интернет-браузерам или подмены системных адресов ресурсов.

Используют данные программы для следующих целей :

Увеличение посещаемости каких-либо сайтов (с целью увеличения количества показов рекламы);

Организация атаки на сервис;

Привлечение потенциальных жертв для заражения вредоносным программным обеспечением.

Загрузчики (Trojan-Downloader)

Эти трояны занимаются несанкционированной загрузкой программного обеспечения (вредоносного) на компьютер ничего не подозревающего пользователя.

После загрузки программа либо инсталлируется, либо записывается трояном в автозагрузку (это в зависимости от возможностей операционной системы).

Установщики (Trojan-Dropper)

Устанавливают на компьютер-жертву программы - как правило вредоносные.

Анатомия троянцев этого класса: основной код, файлы.

Основной код собственно и является троянцем.

Файлы - это программа/ы, которая/ые он должен установить.

Троянец записывает ее/их в каталог (обычно временных файлов) и устанавливает. Установка происходит либо незаметно для пользователя, либо с выбросом сообщения об ошибке.

Шпионские программы (Trojan-Spy)

Данные трояны осуществляют шпионаж за пользователем: записывание информации, набранной с клавиатуры, снимки экрана и т.д.

В данной категории также присутствуют «многоцелевые» троянские программы - например, те из них, которые одновременно шпионят за пользователем и предоставляют proxy-сервис удаленному злоумышленнику.

Архивные бомбы (ArcBomb)

при попытке архиватора обработать архив вызывает «нестандартные» действия последнего.

Компьютер может просто зависнуть или его работа существенно замедлится. Также жесткий диск может заполниться бальшим колличесвом «пустой» информации.

Встречаются три типа подобных «бомб»:

Некорректный заголовок архива,

Повторяющиеся данные

Одинаковые файлы в архиве.

Прочие вредоносные программы

Разнообразные программы, не представляющие угрозы непосредственно компьютеру, на котором исполняются, а разработанные для

Создания других вирусов,

Создания троянских программ,

Организации DoS-атак на удаленные серверы,

Взлома других компьютеров и т.п.

Взломщики удаленных компьютеров (Exploit, Hacktool)

Эти программы используются хакерами для удаленного взлома компьютеров с целью дальнейшего управления ими. При этом эксплойты направлены непосредственно на работу с уязвимостями.

Фатальные сетевые атаки (Nuker)

Утилиты, отправляющие специально оформленные запросы на атакуемые компьютеры в сети, в результате чего атакуемая система прекращает работу.

Используют уязвимости в программном обеспечении и операционных системах, в результате чего сетевой запрос специального вида вызывает критическую ошибку в атакуемом приложении.

Введение пользователя в заблуждение (Bad-Joke, Hoax)

Это программа, которая заставляет пользователя испытать страх, эквивалентный тому, который он ощущает при виде надписи типа: «Warning! System has bin delete», ну, или что-то в этом роде

Шифровальщики вредоносного ПО

(FileCryptor, PolyCryptor)

Это хакерские утилиты, которые занимаются тем, что скрывают другое вредоносное ПО от антивирусных программ.

Сетевые вирусы – это чрезвычайная опасность со стороны локальных сетей и Интернета включительно. Вирусы, проникая на компьютер через сеть, могут привести не только к повреждению важной информации, но и самой системы в целом. Сетевые вирусы для распространения используют возможности и протоколы глобальных и локальных сетей. Самым главным принципом работы такого вируса является уникальная возможность передать свой код без сторонней помощи на рабочую станцию или удаленный сервер. Большинство сетевых вирусов, кроме возможности самостоятельно проникать через сеть на удаленные компьютеры, могут там же запустить на выполнение свой программный код, или, в некоторых случаях, немного «подтолкнуть» пользователя, что бы тот запустил инфицированный файл.

Многие думают, что сетевым является абсолютно любой вирус, который распространяется в компьютерной сети. Но если следовать такому утверждению, то практически все современные вирусы были бы сетевыми. Ведь самый обычный нерезидентный вирус во время заражения файлов абсолютно не разбирается – локальный это диск или сетевой (удаленный). Как результат, этот вирус будет заражать файлы в пределах сети, но при этом он не будет являться сетевым вирусом.

Многие пользователи встречались с названиями сетевой червь. Это одни из самых популярных сетевых вирусов, появились они в далеком 1980 году. Для своего распространения такие вирусы использовали различные недокументированные функции и ошибки глобальных сетей – они передавали свои зараженные копии с сервера на сервер и по прибытию запускали их на выполнение.

В прошлом, сетевые вирусы распространялись в сети и, обычно, так же как и компаньон-вирусы, во время заражения не изменяли сектора или файлы на дисках. Сетевые вирусы проникали в память компьютера из сети. По прибытию они моментально вычисляли сетевые адреса остальных компьютеров и моментально рассылали по найденным адресам свои копии. Иногда эти вирусы одновременно создавали на дисках системы рабочие файлы, но так же могли не обращаться вообще к системным ресурсам компьютера (оперативная память является исключением из правил).

После громадных затрат, вызванных несколькими сетевыми вирусами, всевозможные ошибки в программном обеспечении и сетевых протоколах были исправлены, а так называемые «задние двери» надежно закрыты. Как результат таких действий – за последние несколько лет их активность спала. Так же за этот период не было зафиксировано ни единого случая успешной атаки сетевым вирусом. Так же нужно отметить, что за этот период не появилось ни одного нового сетевого вируса.

Вновь актуальной проблемой атак сетевых вирусов стала в начале 1997-го года. Именно тогда появился «Win.Homer» и «Macro.Word.ShareFun». Последний из них использует все современные возможности электронной почты под названием Microsoft Mail. Этот вирус создает новое письмо, в состав которого входит сам код вируса, а результатом является файл-документ. После этого он выбирает из доступного списка адресов программы MS-Mail три абсолютно случайных адреса и после этого рассылает по ним только что созданное зараженное письмо. Сегодня очень много пользователей устанавливают параметры MS-Mail таким образом, что запуск MS Word происходит в автоматическом режиме, при получении письма. Таким образом, вирус в автоматическом режиме внедряется в компьютер. После чего он выполняет то, что заложено у него в исходном коде.

Этот вирус ярко демонстрирует первый тип сетевого вируса нашего времени, который объединяет в себе все возможности встроенного в редакторы Excel и Word языка Basic, все особенности и главные протоколы электронной почты и специальные функции авто-запуска, которые крайне необходимы для последующего распространения самого вируса.

В отличии от первого, вирус «Homer» для своего распространения использует протокол под названием FTP и передает свою зараженную копию в каталог Incoming на удаленный ftp-сервер. Так как сетевой протокол FTP полностью исключает возможность автоматического запуска файла на удаленном сервере, то Homer можно назвать как «полу-сетевой».

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается, сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым никак нельзя.

Наибольшую известность приобрели сетевые вирусы конца 80-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы Cristmas Tree и Wank Worm. Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени. Вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. Эпидемия вируса Морриса захватила в свое время несколько глобальных сетей в США

Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же как и компаньон-вирусы, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).

После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" закрыты. В результате за последние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом и не появилось ни одного нового сетевого вируса.

Вновь проблема сетевых вирусов возникла лишь в начале 1997 г. с появлением вирусов Macro.Word.ShareFun и Win.Homer. Первый из них использует возможности электронной почты Microsoft Mail. Он создает новое письмо, содержащее зараженный файл-документ (ShareFun является макровирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.

Этот вирус иллюстрирует первый тип современных сетевых вирусов, которые объединяют возможности встроенного в Word и Excel языка Бейсик, протоколы и особенности электронной почты и функции автозапуска, необходимые для распространения вируса.

Второй вирус (Homer) использует для распространения протокол FTP (File Transfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP не позволяет запускать файлы на удаленном сервере, этот вирус можно охарактеризовать как полусетевой, однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Конечно же возможны и другие способы проникновения вирусов в современные сети, однако мне не хотелось бы излагать их здесь, поскольку это подтолкнет вирусописателей на реализацию этих идей.

ЧТО ТАКОЕ СЕТЕВОЙ ВИРУС? Сетевой вирус - разновидность вредоносной программы, самостоятельно распространяющейся через локальные и глобальные компьютерные сети, использующая для своего распространения «дыры» - ошибки в защите Window, Internet Explore, Outlook и др. Такой вирус умеет передавать свой код без сторонней помощи на рабочую станцию или удаленный сервер

ВИДЫ ВИРУСОВ Почтовые черви – распространяется через электронную почту в виде приложения к письму или ссылки на вирус в Интернете. Самые активные вирусы – более 90%! Сетевые черви – проникают на компьютер через «дыры» в системе, могут копировать себя в папки, открытые для записи (сканирование – поиск уязвимых компьютеров в сети) – IRC-черви и IM-черви – распространяются через IRS-чаты и интернет-пейджеры (ICQ,AOL, Windows Messenger, MSN Messenger) P2P-черви – распространяются через файлообменные сети Р2Р (peer-to-peer)

CHRISTMAS TREE Christmas Tree (CHRISTMAS EXEC) одна из первых сетевых самовоспроизводящихся программ, которая парализовала работу частной почтовой сети IBM Vnet по всему миру 17 декабря 1987 года. Написана на языке REXX для VM/CMS. * ** ***** ******* ********* ************* A ******* *********** VERY *************** ******************* HAPPY *********** *************** CHRISTMAS ******************* *********************** AND MY *************** ******************* BEST WISHES *********************** *************************** FOR THE NEXT ****** ****** YEAR ******

MACRO.WORD.SHAREFUN Один из наиболее популярных почтовых червей. Использует все возможности электронной почты MS Mail. Создает новое письмо, в состав которого входит код вируса, а результатом является файл-документ. Затем выбирает из доступного списка адресатов три абсолютно случайных адреса и после этого рассылает по ним только что созданное зараженное письмо.

WIN. HOMER Использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp- сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном сервере, этот вирус можно охарактеризовать как «полу сетевой», однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

СПИСОК ИСПОЛЬЗУЕМЫХ ИСТОЧНИКОВ https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1% 82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%87%D0%B 5%D1%80%D0%B2%D1%8C https://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1% 82%D0%B5%D0%B2%D0%BE%D0%B9_%D1%87%D0%B 5%D1%80%D0%B2%D1%8C tehnologii.ru/komp_vir/setev_vir/index.html tehnologii.ru/komp_vir/setev_vir/index.html

Сетевые вирусы - раздел Компьютеры, Компьютерные вирусы К Сетевым Относятся Вирусы, Которые Для Своего Распространения Активно Исполь...

Бытует ошибочное мнение, что сетевым является любой вирус, распространяющийся в компьютерной сети. Но в таком случае практически все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный нерезидентный вирус при заражении файлов не разбирается - сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы в пределах сети, но отнести его к сетевым вирусам никак нельзя.

Наибольшую известность приобрели сетевые вирусы конца 1980-х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы "Cristmas Tree" и "Wank Worm&". Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени - вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. В случае с вирусов Морриса эпидемия захватила аж несколько глобальных сетей в США.

После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены, а "задние двери" закрыты. В результате за песледние десять лет не было зафиксировано ни одного случая заражения сетевым вирусом, как, впрочем, не появилось и ни одного нового сетевого вируса.

Вновь проблема сетевых вирусов возникла лишь в начале 1997-го года с появлением вирусов "Macro.Word.ShareFun" и "Win.Homer". Первый из них использует возможности электронной почты Microsoft Mail - он создает новое письмо, содержащее зараженный файл-документ ("ShareFun" является макро-вирусом), затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.

Этот вирус иллюстрирует первый тип современного сетевого вируса, которые объединяют возможности встроенного в Word/Excel языка Basic, протоколы и особенности электронной почты и функции авто-запуска, необходимые для распространения вируса.

Второй вирус ("Homer") использует для своего распространения протокол FTP (File Trabsfer Protocol) и передает свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленнов сервере, этот вирус можно охарактеризовать как "полу-сетевой", однако это реальный пример возможностей вирусов по использованию современных сетевых протоколов и поражению глобальных сетей.

Возможны, конечно же, и другие способы проникновения вирусов в современные сети, однано мне не хотелось бы излагать их здесь, поскольку это подтолкнет вирусописателей на реализацию этих идей.

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Алгоритм работы загрузочного вируса
Практически все загрузочные вирусы резидентны. Они внедряются в память компьютера при загрузке с инфицированного диска. При этом системный загрузчик считывает содержимое первого сектора диска, с ко

Файловые вирусы
1. Способы заражения 2. Прочие замечани

Способы заражения -> Overwriting
Данный метод заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанав

Способы заражения -> Вирусы без точки входа
Отдельно следует отметить довольно незначительную группу вирусов, не имеющих "точки входа" (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не записывающие команд пер

Способы заражения -> Компаньон-вирусы
К категории "компаньон" относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске

Способы заражения -> Файловые черви
Файловые черви (worms) являются, в некотором смысле, разновидностью компаньон-вирусов, но при этом никоим образом не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они

Способы заражения -> Link-вирусы
Link-вирусы, как и компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификаци

Способы заражения -> OBJ-, LIB-вирусы и вирусы в исходных текстах
Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ, достаточно экзотичны и практически не распространены. Всего их около десятка. Вирусы, заражающие OBJ- и LIB-

Внедрение вируса в DOS COM- и EXE-файлы
Выполняемые двоичные файлы DOS имеют форматы COM или EXE, различающиеся заголовком и способом запуска программ на выполнение. Расширение имени файла (".COM" или ".EXE") не всегд

Примитивная маскировка
При инфицировании файла вирус может производить ряд действий, маскирующих и ускоряющих его распространение. К подобным действиям можно отнести обработку атрибута read-only, снятие его перед заражен

Скорость распространения
Говоря про файловые вирусы, необходимо отметить такую их черту, как скорость распространения. Чем быстрее распространяется вирус, тем вероятее возникновение эпидемии этого вируса. Чем медленнее рас

Алгоритм работы файлового вируса
Получив управление, вирус совершает следующие действия (приведен список наиболее общих действий вируса при его выполнении; для конкретного вируса список может быть дополнен, пункты могут поменяться

Макро-вирусы -> Word/Excel/Office97-вирусы. Принципы работы
При работе с документом Word версий 6 и 7 выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом Word ищет и выполняет соответствующие "встроенные мак

Макро-вирусы -> Алгоритм работы Word макро-вирусов
Большинство известных Word-вирусов (версий 6, 7 и Word97) при запуске переносят свой код (макросы) в область глобальных макросов документа ("общие" макросы), для этого они используют кома

Макро-вирусы -> Алгоритм работы Excel макро-вирусов
Методы размножения Excel-вирусов (включая Excel97) в целом аналогичны методам Word-вирусов. Различия заключаются в командах копирования макросов (например, Sheets.Copy) и в отсутствии NORMAL.DOT -

Макро-вирусы -> Алгоритм работы вирусов для Access
Поскольку Access является частью пакета Office97 Pro, то вирусы для Access представляют собой такие же макросы на языке Visual Basic, как и прочие вирусы, заражающие приложения Office97. Однако в д

Макро-вирусы -> AmiPro-вирусы
При работе с каким-либо документом редактор AmiPro создает два файла - непосредственно текст документа (с расширением имени SAM) и дополнительный файл, содержащий макросы документа и, возможно, про

Полиморфик-вирусы -> Полиморфные расшифровщики
Простейшим примером частично полиморфного расшифровщика является следующий набор команд, в результате применения которого ни один байт кода самого вируса и его расшифровщика не является постоянным

Полиморфик-вирусы -> Уровни полиморфизма
Существует деление полиморфик-вирусов на уровни в зависимости от сложности кода, который встречается в расшифровщиках этих вирусов. Такое деление впервые предложил д-р. Алан Соломон, через некоторо

Полиморфик-вирусы -> Изменение выполняемого кода
Наиболее часто подобный способ полиморфизма используется макро-вирусами, которые при создании своих новых копий случайным образом меняют имена своих переменных, вставляют пустые строки или меняют с

Стелс-вирусы -> Загрузочные вирусы
Загрузочные стелс-вирусы для скрытия своего кода используют два основных способа. Первый из них заключается в том, что вирус перехватывает команды чтения зараженного сектора (INT 13h) и подставляет

Стелс-вирусы -> Файловые вирусы
Большинcтво файловых стелс вирусов использует те же приемы, что приведены выше: они либо перехватывают DOS-вызовы обращения к файлам (INT 21h) либо временно лечат файл при его открытии и заражают п

Стелс-вирусы -> Макро-вирусы
Реализация стелс-алгоритмов в макро-вирусах является, наверное, наиболее простой задачей - достаточно всего лишь запретить вызов меню File/Templates или Tools/Macro. Достигается это либо удалением

Резидентные вирусы -> DOS-вирусы
DOS предусматривает два легальных способа создания резидентных модулей: драйверами, указываемыми в CONFIG.SYS, и при помощи функции KEEP (INT 21h, AH=31h или INT 27h). Многие файловые вирусы для ма

Резидентные вирусы -> Загрузочные вирусы
Подявляющее большинство резидентных загрузочных вирусов для выделения системной памяти для своей резидентной копии использует один и тот же прием: они уменьшают объем DOS-памяти (слово по адресу 00

Резидентные вирусы -> Windows-вирусы
Для того, чтобы оставить выполняемый код в памяти Windows, существует три способа, причем все три способа (за исключением Windows NT) уже применялись различными вирусами. Самый простой спо

Резидентные вирусы -> Макро-вирусы
Большинство макро-вирусов можно считать резидентными, поскольку они присутствуют в области системных макросов в течение всего времени работы редактора. Они так же как резидентные загрузочные и файл

Прочие "вредные программы" -> Intended-вирусы
К таким вирусам относятся программы, которые на первый взгляд являются стопроцентными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который при заражении "забывает&

Прочие "вредные программы" -> Конструкторы вирусов
Конструктор вирусов - это утилита, предназначенная для изготовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макро-вирусов. Они позволяют генерировать исходные т

Прочие "вредные программы" -> Полиморфные генераторы
Полиморфик-генераторы, как и конструкторы вирусов, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т.е. открытия, закрытия и записи в

IRC-черви -> IRC-клиенты
На компьютерах с MS Windows самыми распространенными клиентами являются mIRC и PIRCH. Это не очень объемные, но довольно сложные программные продукты, которые кроме предоставления основных услуг IR

IRC-черви -> Скрипт-черви
Как оказалось, мощная и разветвленная система команд IRC-клиентов позволяет на основе их скриптов создавать компьютерные вирусы, передающие свой код на компьютеры пользователей сетей IRC, так назыв

IRC-черви -> mIRC.Acoragil и mIRC.Simpsalapim
Первые известные mIRC-черви. Обнаружены в конце ноября - начале декабря 1997. Названия получили по кодовым словам, которые используются червями: если в тексте, переданном в канал каким-либо пользов

IRC-черви -> Win95.Fono
Опасный резидентный файлово-загрузочный полиморфик-вирус. Использует mIRC как один из способов своего распространения: перехватывает системные события Windows и при запуске файла MIRC32.EXE активиз

IRC-черви -> pIRCH.Events
Первый известный PIRCH-червь. Рассылает себя каждому присоединившемуся к каналу пользователю. По ключевым словам выполняет различные действия, например: по команде ".query"