"Программные╗ вирусы", написанные для операционной системы Windows, маскируются под разные лполезные╗ утилиты Ц например, под лломалки╗ для условно-бесплатных программ или мультимедийные презентации. Другой излюбленный приём распространителей заразы Ц наряжать свои детища в лодежду╗ обновлений для операционной системы или дажеЕ антивирусной программы! Увы, до сих пор многие пользователи, не задумываясь, запускают неизвестные программы, пришедшие в виде вложений в электронные письма якобы от Microsoft или лЛаборатории Касперского╗ - а ведь это самый верный путь поселить на свой компьютер вирус!
Впрочем, некоторые вирусы способны атаковать ваш компьютер даже в том случае, если его лтело╗ физически находится в другом месте. Например, один из самых лмодных╗ вирусов 2003 г. Ц Blaster Ц был способен атаковать все компьютеры в локальной сети с одной-единственной машины! Сканируя локальную сеть, программа обнаруживала бреши в защите каждого компьютера, и самостоятельно пропихивала в эту лдырочку╗ вредоносный код.
Сообщение об ошибке - результат работы вируса Blaster.
Для борьбы с W32-вирусами одной антивирусной программы, увы, недостаточно Ц главным условием вашей безопасности является обязательная и регулярная загрузка обновлений к Windows. А именно Ц файлов-лзаплаток╗, предназначенных для закрытия уже обнаруженных лдыр╗ в системе защите операционной системы.
Загрузочные вирусы
Известные на текущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера Ч после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
При заражении дисков загрузочные вирусы лподставляют╗ свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус лзаставляет╗ систему при ее перезапуске отдать управление не оригинальному коду загрузчика, а коду вируса.
Заражение дискет производится единственным известным способом Ч вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами Ч вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в таблице разделов диска (Disk Partition Table), расположенной в MBR винчестера.
При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) в какой-либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).
Файловые вирусы
По способу заражения файлов вирусы делятся на:
№ перезаписывающие (overwriting);
№ паразитические (parasitic);
№ вирусы-компаньоны (companion);
№ вирусы-ссылки (link);
№ вирусы, заражающие объектные модули (OBJ);
№ вирусы, заражающие библиотеки компиляторов (LIB);
№ вирусы, заражающие исходные тексты программ
Подробно о файловых вирусахПолиморфные вирусы
Большинство вопросов связано с термином лполиморфный вирус╗. Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Что это такое?. Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку лпо ходу дела╗, может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
Стелс-вирусы
В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.
Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой. При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.
Макровирусы
В отличие от других вирусов, данные паразитировали не на исполняемых файлах, а на документах, подготовленных в популярных программах из комплекта Microsoft Office. Ларчик открывался просто: в текстовый редактор Microsoft Word и табличный редактор Microsoft Excel был встроен свой собственный язык программирования Ц Visual Basic for Applications (VBA), предназначенный для созданий специальных дополнений к редакторам Ц макросов. Эти макросы сохранялись в теле документов Microsoft Office и легко могли быть заменены вирусами. После открытия заражённого файла вирус активировался и заражал все документы Microsoft Office на вашем диске и уже в скором времени макровирусы перешли к своим обычным обязанностям Ц уничтожению информации.
Выжить и преуспеть им помог Интернет Ц в течение последних лет вирусы этого типа распространились в основном по электронной почте. Источником заражения мог быть и присланный компьютерной фирмой прайс-лист, или письмо, отосланное в виде файла-вложения незадачливым другом.
Скрипт-вирусы
На самом деле макровирусы являются не самостоятельным лвидом╗, а всего лишь одной из разновидностей большого семейства вредоносных программ Ц скрипт-вирусов. Их обособление связано разве что с тем фактором, что именно макровирусы положили начало всему этому семейству, к тому же вирусы, лзаточенные╗ под программы Microsoft Office, получили наибольшее распространение из всего клана. Следует отметить также что скрипт-вирусы являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.).
Общая черта скрипт-вирусов Ц это привязка к одному из лвстроенных╗ языков программирования. Каждый вирус привязан к конкретной лдырке╗ в защите одной из программ Windows и представляет собой не самостоятельную программу, а набор инструкций, которые заставляют в общем-то безобидный лдвижок╗ программы совершать не свойственные ему разрушительные действия.
Как и в случае с документами Word, само по себе использование микропрограмм (скриптов, Java-апплетов и т.д.) не является криминалом, - большинство из них вполне мирно трудится, делая страничку более привлекательной или более удобной. Чат, гостевая книга, система голосования, счётчик Ц всем этим удобствам наши странички обязаны микропрограммам-лскриптам╗. Что же касается Java-апплетов, то их присутствие на страничке тоже обоснованно Ц они позволяют, например, вывести на экран удобное и функциональное меню, которое разворачивается под курсором мышкиЕ
Удобства удобствами, но не стоит забывать, все эти апплеты и скрипты Ц самые настоящие, полноценные программы. Причём многие из них запускаются и работают не где-то там, на неведомом сервере, а непосредственно на вашем компьютере! И, встроив в них вирус, создатели страницы смогут получить доступ к содержимому вашего жесткого диска. Последствия уже известны Ц от простой кражи пароля до форматирования жесткого диска.
