Опишите природу вирусов

Вирусы могут делать все что делают обычные программы. Единственное различие состоит в том, что вирус присоединяется к другим программам и выполняется скрытно в процессе работы программ –носителей. Во время своего выполнения вирус может совершить любую операцию, например стирать файлы. Жизненный цикл типичного вируса состоит из 4х этапов:

1. Инкубационный период. Вирус не как не проявляется. В конце концов вирус будет активизирован некоторым событием, например наступлением определенной даты, присутствием др программы или файла, появлением достаточного места на диске. Инкубационный период имеют не все вирусы.

2. Фаза распространения. Вирус помещает свою копию в определенные системные области на диске. Теперь все инфицированные программы будут содержать копию вируса, каждая из оторых тоже должна будет когда-нибудь пройти свою фазу распространения.

3. Фаза активизации. Вирус активизируется для выполнения функции, для которой он создавался. Эта фаза может быть инициирована самыми разными системными событиями. Например: наличием определенного числа копии данного вируса в системе.

4. Фаза выполнения. Выполняется содержащаяся в функции действия. Эта функция может быть как вполне безобидной, так и совершенно деструктивной. Например: уничтожение программ и файлов.

Охарактеризуйте структуру вирусов.

Вирус может помещаться в начало или конец исполняемой программы, а также встраиваться в неё каким-либо иным способом. Главная идея работы вируса состоит в том, чтобы при запуске программы сначала выполнялся код вируса, а только затем код самой программы.

В первой строке кода программы указана команда перехода в начало основного кода вируса. Вторая строка представляет собой специальный маркер, используемый вирусом д проверки того, что программа, выбранная в качестве «жертвы»не была заражена этим вирусом раньше.

При запуске инфицированной программы управление сразу же передаётся в основное тело вируса. Программный код вируса ищет незаражённые файлы и заражает их. После того вирус может выполнить действия враждебные по отношению к системе. Закончив работу вирус передаёт управление программе-носителю. Если инфицирование осуществляется достаточно быстро, то пользователь даже не заметит при запуске программы, что она инфицирована.

Вирусы, построенные по такому принципу легко обнаружить, т.к. в результате инфицирования увеличится длина файла инфицированной программы. Для того, чтобы избежать обнаружения, вирус должен сжать используемый файл таким образом, чтобы инфицированная и неинфицированная версии файла оказались одинаковой длины.

При работе вирус выполняет след. Действия:

• Обнаружив неинфицированный файл сжимает его, в результате чего получается файл, длина которого меньше исходной на длину кода программы.

• Копия вируса присоединяется к началу сжатой программы.

• Сжатая версия инфицированной оригинальной программы распаковывается.

• Распакованная оригинальная программа выполняется.

Опишите типы вирусов.

1. Паразитный вирус (ПВ)

Традиционная и самая распространённая форма вируса. ПВ добавляет свой код к исполняемым файлам и размножается при каждом запуске инфицированной программы, находя другие файлы, которые можно инфицировать. При размножении создают копии эквивалентные по функциональности, но существенно различающиеся по двоичному представления кода, с целью противостояния антивирусному ПО.

2. Резидентный вирус

Размещается в ОП как часть резидентной программы. С момента размещения в памяти инфицирует любую запускаемую программу

3. Загрузочный вирус

Инфицирует главную загрузочную запись и распространяется, когда система загружается с заражённого диска.

4. Вирус-невидимка

Разновидность вируса, имеющего специально предусмотренное свойство, защищающее вирус от обнаружения антивирусным ПО. Такие вирусы часто называют stealth. Примером может являться вирус, использующий сжатие. Такие вирусы могут перехватывать сообщения к функциям ввода вывода и при попытках прочитать подозрительные части диски с помощью этих функций возвращать оригинальные неинфицированные версии программ. Т.о. применяемая характеристика stealth относится не столько к вирусам сколько технологии обеспеченья защиты вируса от обнаружения.

5. Полиморфный (мимкрирующий) вирус

Вирус, код которого изменяется при каждом новом заражении, что делает практически невозможным его обнаружение по сигнатуре.

Макровирусы.

Данный вид вирусов опасен по следующим причинам:

• МВ независимы от платформы. Почти все поражают документы Wоrd, поэтому всякая среда содержащая данный ПП может быть инфицирована.

• МВ может инфицировать документы, а не сам код. Информация циркулирует в компьютерных системах в основном в виде документов, а не программ.

• МВ может быстро распространяться, чаще всего по эл. почте.

Существование МВ построено на использовании средств поддержки макросов, предлагаемых Word, Exсel и т.д. По сути макрос представляет собой программу встроенную в документ или файл к.-л. вида. Обычно пользователи используют макросы для автоматизации выполнения определённых действий, что позволяет сэкономить время. Создание МВ становится возможным благодаря существованию автоматич. макросов (выполняются без явной активизации их пользователем: # открытие файла, запуск приложения и т.д.). Во время выполнения макрос может копировать себя в др. документ, удалять файлы и выполнять др. действия, разгружающие систему пользователя. Обычное распространение МВ происходит след. образом : автомат. макрос или командный макрос вставляется в документ, который пересылается по эл. почте или с внешнего носителя информации. В какой-то момент после открытия документа МВ начинает выполняться. Он копирует свой код в глобальный файл макросов. При след. запуске программы становится активным инфицированный глобальный файл макросов. При выполнении макрос размножается и наносит вред системе.

Следует отметить, что современные версии Word содержат встроенную защиту от МВ, выявляющую подозрительные файлы и предупреждающую пользователя об опасности, связанной с открытием этих файлов.

Поиск по сайту: