Мобильные телефоны и гаджеты

Большинство пользователей персональных компьютеров наверняка хоть раз в жизни сталкивались с таким понятием, как компьютерный вирус. Правда не многие пользователи знают, что классификация угроз состоит из двух больших категорий, а именно резидентные и нерезидентные вирусы. Более подробно остановимся на первом классе вирусов, так как именно их представители являются наиболее опасными, а иногда и неудаляемыми даже при форматировании логического раздела или диска.

Резидентные вирусы: что они собой представляют?

Итак, с чем же пользователю предстоит иметь дело? Для упрощенного объяснения структуры и принципов работы данных вирусов необходимо остановится на том, что вообще собой представляет резидентная программа. Считается, что к данному типу программ относятся приложения, которые постоянно работают в режиме мониторинга, не проявляя своих действий. К такому типу программ можно отнести штатные антивирусы. Что же касается угроз, которые могут проникнуть в компьютерные системы, то они не только могут постоянно висеть в памяти персонального компьютера, но и создают свои копии. Таким образом, получается, что копии вирусов постоянно следят за системой и перемещаются по ней. Это существенно затрудняет поиск таких объектов. Некоторые угрозы даже способны менять свою структуру. Детектирование таких угроз на основе общепринятых методов становится практически невозможным. Немного позже мы попробуем рассмотреть, как можно избавиться от вирусов такого типа. Пока остановимся на основных разновидностях резидентный угроз.

DOS угрозы

Изначально, когда операционных систем UNIX и Windows еще не существовало, а общение пользователя с персональным компьютером происходило на уровне команд, существовала операционная система DOS. На пике популярности эта операционная система продержалась достаточно долго. Именно для таких систем начали создаваться резидентные и нерезидентные вирусы. Их действие сначала было направлено на нарушение работоспособности системы и удаление пользовательских папок и файлов. Принцип действия данных угроз широко применяется до сих пор. Он состоит в том, что вредоносные объекты перехватывают обращения к файлам, а затем заражают вызываемые объекты. Большинство угроз, известных на сегодняшний день, работают именно по такому принципу. Проникают в систему вирусы либо посредством создания резидентного модуля, выполненного в виде драйвера, который указывается в файле системной конфигурации Config.sys, либо при использовании специальной функции KEEP для отслеживания прерываний. В том случае, когда резидентные вирусы данного типа используют выделение под себя областей системной памяти, дела обстоят намного хуже. Получается примерно следующая ситуация: вирус сначала «отрезает» кусок свободной памяти, а тем помечает данную область как занятую. После этого он сохраняет в ней свою копию. Печальнее всего то, что копии могут находится в видеопамяти, областях, зарезервированных под буфер обмена и в таблицах векторов прерываний, а также в рабочих областях DOS. Это делает копии вирусных угроз невероятно живучими. В отличие от нерезидентных вирусов, которые работают только тогда, когда запущена какая-то программа или операционная система, данный тип угроз способен активироваться всякий раз после перезагрузки компьютера. Кроме того, вирус при обращении к зараженному объекту способен создавать собственную копию и в оперативной памяти. В результате пользователь сталкивается с моментальным зависанием компьютера. Должно быть уже ясно, что лечение вирусов данного типа осуществляется при помощи специальных сканеров. Желательно использовать для это цели не стационарные антивирусные программы, а портативные, которые способны загружаться с USB-носителей или оптических дисков. Об этом речь пойдет несколько позднее.

Загрузочные угрозы

Загрузочные угрозы могут проникнуть в систему по схожему методу. Ведут они себя утонченно: сначала съедают кусок системной памяти, а затем прописывают туда собственный код в виде копии, а после этого начинают требовать перезагрузку. Это может привести к негативным последствиям, так как после перезагрузки вирус восстанавливает уменьшенный объем памяти до исходного размера, а его копия оказывается вне системной памяти. Помимо отслеживания прерываний такие вирусы также могут прописывать собственные коды в загрузочном секторе – запись MBR. Перехваты DOSиBIOS используются несколько реже. Сами вирусы могут загружаться однократно и при этом проверяют наличие собственной копии.

Вирусы под операционную систему Windows

С появлением операционных систем типа Windows разработки вирусов, к сожалению, вышли на качественно новый уровень. Сегодня именно операционная система Windows любой версии считается наиболее уязвимой несмотря на усилия, которые прилагают специалисты компании Microsoft в области разработки модулей безопасности. Те вирусы, которые рассчитаны на операционную систему Windows, работают по принципам, схожим с DOS угрозами. Однако способов проникновения угроз на компьютер в данном случае намного больше. Из наиболее распространенных способов можно выделить три основных, по которым вирус в системе может прописать собственный код: это регистрация вируса как приложения, работающего в данный момент, выделение блока памяти и запись в него собственной копии, работа в системе под видом драйвера VxD, маскировка под драйвер WindowsNT. Зараженные области системной памяти или файлы можно попробовать вылечить стандартными методами, которые используются в различных антивирусных сканерах. Это такие методы, как детектирование по маске вируса, сравнение с базами сигнатур и т.д. Однако в том случае, если используются простые бесплатные программы, они могут и не определить вирус, а иногда даже выдают ложное срабатывание. Лучше использовать портативные антивирусные утилиты вроде Dr. Web или продукты «Лаборатории Касперского». Сегодня можно найти достаточно количество утилит данного типа.

Макро-вирусы

Существует еще одна разновидность вирусных угроз – это макро-вирусы. Данное название происходит от слова «макрос», которым обозначается исполняемый апплет или надстройка, используемая в некоторых редакторах. Неудивительно, что запуск данного вируса может происходить в момент старта программы, открытия или печати офисного документа, вызова различных пунктов меню. Такие угрозы в виде системных макросов хранятся в памяти компьютера в течение всего времени работы редактора. Однако, если рассматривать вопрос об удалении вирусов такого типа в целом, то решение оказывается довольно простым. В некоторых случаях может помочь даже отключение определенных настроек или выполнение макросов в самом редакторе. Также эффективным может оказаться задействование антивирусной защиты апплетов, и это не говоря уже о простом быстром сканировании системы при помощи антивирусных пакетов программ.

Вирус на базе технологии «стелс»

Рассмотрим теперь маскирующиеся вирусы. Они не зря получили свое название в честь самолета-невидимки. Суть функционирования данных объектов состоит в том, что они выдают себя за системный компонент. Определить их обычными способами в некоторых случаях бывает очень сложно. К таким угрозам можно отнести макровирусы, загрузочные угрозы и вирусы DOS. Считается, что стелс-вирусы для операционной системы Windowsна данный момент пока еще не разработаны, однако многие специалисты в области информационных технологий утверждают, что это только вопрос времени.

Файловые разновидности

Все вирусы вообще можно назвать файловыми, так как они в той или иной степени воздействуют на файлы и затрагивают файловую системы, заражая ее собственным кодом или шифруя, делая недоступной по причине удаления или порчи. В качестве наиболее простых примеров можно привести современные вирусы-шифровальщики, а также известный вирус ILOVEYOU. С ними без использования специальных расшифровочных ключей лечение данного типа вирусов выполнить будет не просто сложно, а зачастую вообще невозможно. Здесь бессильны даже ведущие разработчики антивирусного программного обеспечения. В отличие от современных систем шифрования AES256 в данном типе вирусов используется технология AES1024. Как вы сами можете догадаться, на расшифровку зараженных файлов может уйти не один десяток лет, в зависимости от числа возможных вариантов ключа.

Полиморфные угрозы

Еще одной разновидностью угроз являются полиморфные угрозы. В чем же состоит проявление полиморфизма? Дело в том, что вирусы могут постоянно изменять собственный код. Делается это на основе так называемого плавающего ключа. Иначе говоря, угрозу невозможно определить по маске, так как изменяется не только ее структура, которая лежит в основе кода, но и сам ключ к расшифровке. Чтобы бороться с такими угрозами, необходимо использовать специальные полиморфные дешифраторы. Практика показывает, что данные объекты способны расшифровать только самые простые вирусы. Более сложные алгоритмы их воздействую в большинстве случаев просто не поддаются. Стоит отдельно отметить, что изменение кода таких вирусов сопутствует созданию копий с уменьшенной длиной, которая весьма существенно отличается от оригинала.

Способы борьбы с резидентными угрозами

Переходим к вопросу, который касается способов борьбы с резидентными угрозами, а также защиты ПК от угроз любого уровня сложности. Самым простым способом защиты персонального компьютера является установка штатного антивирусного пакета. Лучше использовать для этой цели не бесплатные программы, а хотя бы условно-бесплатные версии от таких разработчиков какDr.Web, Kaspersky, ESETNOD 32 или программы вроде SmartSecurity. Впрочем, даже в этом случае вы не будете застрахованы от проникновения угрозы на компьютер. Если подобная ситуация произошла, для начала рекомендуется применить портативные сканеры, а еще лучше использовать дисковые утилиты RescueDisk. При помощи таких инструментов можно выполнить загрузку интерфейса программы и запустить сканирование еще до старта основной операционной системы. Не рекомендуется использовать программные пакеты типа SpyHunter. Непосвященному пользователю потом будет проблематично избавляться от самого пакета и его сопутствующих компонентов. Также не стоит сразу пытаться удалить зараженные файлы и форматировать жесткий диск. Лечение лучше доверить специальным антивирусным программам.

Итоги

В заключение хотелось бы добавить, что в данном обзоре были рассмотрены только основные аспекты, которые касаются резидентных вирусов и способов борьбы с ними. Ведь если рассматривать различные компьютерные угрозы, то можно сказать, что каждый день появляется огромное число таких объектов. Разработчики средств защиты просто не успевают придумывать новые методы борьбы с данными объектами.

Компьютерным вирусом называется программа, которая обладает способностью создавать свои копии, и внедрять их в различные объекты и ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.

Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного перехода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

Первичное заражение происходит в процессе наступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (оптические диски, флэш-память и т.п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, сетевые протоколы, управляющие команды компьютерных сетей и электронной почты, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на внешних носителях.

Физическая структура компьютерного вируса достаточно проста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост – это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной головы, называют несегментированными , тогда как вирусы, содержащие голову и хвост, — сегментированными .

Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.

Существует несколько подходов к классификации компьютерных вирусов по их характерным особенностям:

— по среде обитания вируса;

— по способу заражения;

— по деструктивным возможностям;

— по особенностям алгоритма работ.

По среде обитания вирусы подразделяются на:

Файловые вирусы — вирусы поражающие исполняемые файлы, написанные в различных форматах. Соответственно в зависимости от формата, в котором написана программа это будут EXE или COM вирусы.

Загрузочные вирусы — вирусы поражающие загрузочные сектора (Boot сектора) дисков или сектор содержащий системный загрузчик(Master Boot Record) винчестера.

Сетевые вирусы — вирусы, распространяющиеся в различных компьютерных сетях и системах.

Макро вирусы — вирусы поражающие файлы Microsoft Office

Flash вирусы — вирусы поражающие микросхемы FLASH памяти BIOS.

По способу заражения вирусы делятся на:

Резидентные вирусы — вирусы, которые при инфицировании компьютера оставляют свою резидентную часть в памяти. Они могут перехватывать прерывания операционной системы, а также обращения к инфицированным файлам со стороны программ и операционной системы. Эти вирусы могут оставаться активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы — вирусы, не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.

По деструктивным возможностям вирусы подразделяются на:

Безвредные вирусы — это вирусы ни как не влияющие на работу компьютера за исключение, быть может, уменьшения свободного места на диске и объема оперативной памяти.

Неопасные вирусы — вирусы, которые проявляют себя в выводе различных графических, звуковых эффектов и прочих безвредных действий.

Опасные вирусы — это вирусы, которые могут привести к различным сбоям в работе компьютеров, а также их систем и сетей.

Очень опасные вирусы — это вирусы, приводящие к потере, уничтожению информации, потере работоспособности программ и системы в целом.

По особенностям алгоритма работы вирусы можно подразделить на:

Вирусы спутники(companion) — эти вирусы поражают EXE-файлы путем создания COM-файла двойника, и поэтому при запуске программы запустится, сначала COM-файл с вирусом, после выполнения своей работы вирус запустит EXE-файл. При таком способе заражения «инфицированная» программа не изменяется.

Вирусы «черви» (Worms) — вирусы, которые распространяются в компьютерных сетях. Они проникают в память компьютера из компьютерной сети, вычисляют адреса других компьютеров и пересылают на эти адреса свои копии. Иногда они оставляют временные файлы на компьютере но некоторые могут и не затрагивать ресурсы компьютера за исключением оперативной памяти и разумеется процессора.

«Стелс-вирусы» (вирусы-невидимки, stealth) — представляющие собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков подставляют вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

«Полиморфные» (самошифрующиеся или вирусы-призраки, polymorphic) — вирусы, достаточно трудно обнаруживаемые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

«Макро-вирусы» — вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы, заражающие текстовые документы редактора Microsoft Word.

По режиму функционирования:

— резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам);

— транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).

По объекту внедрения:

— файловые вирусы (вирусы, заражающие файлы с программами);

— загрузочные вирусы (вирусы, заражающие программы, хранящиеся в системных областях дисков).

В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:

— исполняемые файлы;

— командные файлы и файлы конфигурации;

— составляемые на макроязыках программирования, или файлы, содержащие макросы (макровирусы — разновидность компьютерных вирусов разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office);

— файлы с драйверами устройств;

— файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т.п.

Загрузочные вирусы подразделяются на вирусы, заражающие:

— системный загрузчик, расположенный в загрузочном секторе и логических дисков;

— внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.

По степени и способу маскировки:

— вирусы, не использующие средств маскировки;
— stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);
— вирусы-мутанты (MtE-вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса).

В свою очередь, MtE-вирусы делятся:

— на обычные вирусы-мутанты, в разных копиях которых различаются только зашифрованные тела, а дешифрованные тела вирусов совпадают;

— полиморфные вирусы, в разных копиях которых различаются не только зашифрованные тела, но и их дешифрованные тела.

Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.

Файловый транзитный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.

Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.

Полиморфные вирусы содержат алгоритм порождения дешифрованных тел вирусов, непохожих друг на друга. При этом в алгоритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некоторые специфические особенности его реального режима функционирования.

Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционирует под управлением текстового процессора Microsoft Word. В то же время известны макровирусы, работающие под управлением таких приложений, как Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.

Сетевые вирусы , называемые также автономными репликативными программами, или, для краткости, репликаторами, используют для размножения средства сетевых операционных систем. Наиболее просто реализуется размножение в тех случаях, когда сетевыми протоколами возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями. Классическим примером реализации процесса электронной почты является репликатор Морриса. Текст репликатора передается от одной ЭВМ к другой как обычное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти ЭВМ-адресата. В результате переполнения буфера, инициированного передачей, адрес возврата в программу, вызвавшую программу приема сообщения, замещается на адрес самого буфера, где к моменту возврата уже находится текст вируса. Тем самым вирус получает управление и начинает функционировать на ЭВМ-адресате.

«Лазейки» , подобные описанной выше обусловленные особенностями реализации тех или иных функций в программном обеспечении, являются объективной предпосылкой для создания и внедрения репликаторов злоумышленниками.

Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:

— искажение информации в файлах либо в таблице размещения файлов (FAT-таблице), которое может привести к разрушению файловой системы в целом;
— имитация сбоев аппаратных средств;
— создание звуковых и визуальных эффектов, включая, например, отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу;
— инициирование ошибок в программах пользователей или операционной системе.

Приведенная выше классификация не может считаться полной, так как прогресс не стоит на месте, появляются всё новые и новые интеллектуальные устройства и соответственно вирусы, работающие на них, например уже появились вирусы поражающие мобильные телефоны.

Еще со стороны интернета, дисков и других носителей информации стоит остерегаться резидентных вирусов. Главной особенностью этих вирусов является уникальная способность оставлять свои программные копии в системной памяти компьютера.

Благодаря чему у вируса появляется возможность перехватывать некоторые события (к примеру, запросы к дискам или файлам) и во время этого моментально вызывать соответствующие процедуры заражения найденных объектов (секторов или файлов). Это позволяет вирусу находиться в активном состоянии не только в момент работы программы, которая заражена, но и после окончания работы с ней.

Запущенные резидентные копии остаются жизнеспособными и активными до перезагрузки компьютера, даже если вы полностью удалили все зараженные файлы. Зачастую от резидентных вирусов практически невозможно избавиться путем проведения восстановления всех исходных копий файлов. Резидентная копия запущенного вируса постоянно остается активной и во время работы вновь заражает создаваемые файлы.

Что касается нерезидентных вирусов, то они находятся в активном состоянии непродолжительное время - исключительно в момент запуска программы с зараженным кодом. Во время распространения вирусные программы ищут на винчестере незараженные файлы и если находят – моментально записываются в них. После передачи управления от кода вируса к программе-носителю, вирус перестает влиять на работу операционной системы, вплоть до очередного запуска зараженной программы.

Одним из разновидностей резидентных вирусов являются DOS-вирусы. Создание резидентных моделей происходит двумя легальными путями: драйверами, которые указываются в файле CONFIG.SYS, и используя функцию KEEP. Большинство современных файловых вирусов с целью маскировки своей активности используют совершенно другой способ –специальную обработку системных областей, которые управляют процессом распределением памяти. С этой целью они выделяют свободный участок памяти и тут же помечают его как занятый (для операционной системы). После этого всего благополучно переписывают туда свою копию. И не важно, что находилось в этом месте. Файлы перестают читаться, а восстановить при помощи специальных программ вовсе невозможно.

Еще одной разновидностью являются Windows-вирусы. Они используют три основных способа, благодаря которым сам вирус остается в в памяти Windows.

Самый простой и легкий способ – это просто зарегистрировать вирус как одно из приложений, функционирующих в данный момент. С этой целью вирус регистрирует свою задачу, окно зачастую скрывается, регистрирует все свои компоненты и т.д.

Следующий способ – выделить отдельный блок системной памяти компьютера при помощи специальных DPMI-вызовов и после этого скопировать в него свой вирусный код.

Третий способ - на протяжении всей активности остаться резидентно или как драйвер отдельный Windows NT.

4.1.1 Файловый нерезидентный вирус

Файловый нерезидентный вирус целиком размещается в исполняемом файле, в связи, с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу.

4.1.2 Файловый резидентный вирус

Файловый резидентный вирус отличается от нерезидентного тем, что заражает не только исполняемые файлы, находящиеся во внешней памяти, но и оперативную память ПЭВМ.

Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управление при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и замены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает соответствующая программа вируса.

В связи с существенно более универсальной по сравнению с нерезидентными вирусами обще схемой функционирования, резидентные вирусы могут реализовать самые разные способы инфицирования. Наиболее распространенными способами являются инфицирование запускаемых программ, а так же файлов при их открытии или чтении.

4.1.3Overwriting-вирусы

Overwriting-вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое, после чего файл перестает работать и не восстанавливается. Такие вирусы быстро обнаруживают себя, так как операционная система и приложения быстро перестают работать.

4.1.4 Parasitic-вирусы

Parasitic-вирусы изменяют содержимое файлов, оставляя при этом сами файлы полностью или частично работоспособными. Такие вирусы подразделяются на вирусы, записывающиеся в начало, в конец и в середину файлов.

4.1.5 Companion-вирусы

Companion-вирусы не изменяют заражаемых файлов, а создают для заражаемого файла файл – двойник, причем при запуске зараженного файла управление получает именно этот двойник, то есть вирус.

4.1.6 Файловые черви

Файловые черви (worms) являются разновидностью компаньон – вирусов, однако не связывают свое присутствие с каким – либо выполняемым файлом. При размножении они всего копируют свой код в какие – либо каталоги дисков в надежде, что эти новые копии будут когда – либо запущены пользователем.

4.1.7 Link-вирусы

Link-вирусы используют особенно организации файловой системы. Они, как и компаньон – вирусы, не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» операционную систему выполнить свой код за счет модификации необходимых полей файловой системы.

4.1.8 OBJ, LIB и вирусы в исходных текстах

Вирусы, заражающие библиотеки компиляторов, объектные модули и исходные тексты программ. Вирусы, заражающие OBJ- и LIB- файлы, записывают в них свой код в формате объектного модуля или библиотеки. Зараженный файл не является выполняемым и не способен на дальнейшее распространение вируса в текущем состоянии. Носителем же «живого» вируса становится СОМ - или ЕХЕ-файл, получаемый в процессе линковки зараженного OBJ/LIB – файла с другими объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB

файлы, на втором этапе (линковка) получается работоспособный вирус.

4.2 Макровирусы

Макровирусы являются программами на макроязыках, встроенные в некоторые системные обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов.

Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили Макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и идентифицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения – Word, Excel и пр.

4.3 Скрипт-вирусы

Скрипт-вирусы – это вирусы, написанные на скрипт-языках, таких как Visual Basic script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, для Windows, для других систем.

Помимо описанных классов существует большое количество сочетаний: например файлово - загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

4.4 Резидентные вирусы

Вирус находится в оперативной памяти и перехватывает сообщения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти, перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения работы.

Выходят из строя. Более детальное рассмотрение вопросов защиты от НСВ по коммуникационным каналам приведено в следующем подразделе. Защита по виброакустическому каналу утечки информации Метод съема информации по виброакустическому каналу относится к так называемым беззаходовым методам, и это является важным его преимуществом. Обнаружить аппаратуру такого съема информации крайне трудно, так как...

Коммуникаций и сетям элек­тропитания. Утечка информации по цепям заземления возможна за счет существования гальванической связи проводников электрического тока с землей. При организации каналов утечки информации через сигнализации раз­личного назначения злоумышленники используют «микрофонный эффект» датчиков. Подобные каналы утечки получили название параметрических каналов. Они формируются путем...

Глобальных информационных сетей типа INTERNET является важным достижением компьютерных технологий, однако, с INTERNET связана масса компьютерных преступлений. Результатом опыта применения сети INTERNET является выявленная слабость традиционных механизмов защиты информации и отставания в применении современных методов. Криптография предоставляет возможность обеспечить безопасность информации в...

Преступного посягательства. В данном случае в качестве предмета или орудия преступления будет выступать машинная информация, компьютер, компьютерная система или компьютерная сеть. 2. Общая характеристика преступлений в сфере компьютерной информации В Уголовном кодексе Российской Федерации впервые в нашей стране криминализирован такой вид правонарушений, как компьютерные преступления. ...

Нерезидентные вирусы - вирусы не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.

Примеры нерезидентных вирусов:

• "SillyC." - нерезидентные в памяти вирусы, объектами поражения которых являются только COM-файлы.
  
• "SillyE." - нерезидентные в памяти вирусы, объектами поражения которых являются только EXE-файлы.
  
• "SillyCE." - нерезидентные в памяти вирусы, объектами поражения которых являются только COM- и EXE-файлы.
• "SillyO." -нерезидентные в памяти вирусы, которые перезаписывают файлы.

Файловые вирусы являются наиболее распространенной разновидностью компьютерных вирусов. Принципиально они заражают любой тип исполняемых файлов, существующих в MS DOS (COM, EXE, и т.д.).