ЛОВИСЬ РЫБКА БОЛЬШАЯ И МАЛЕНЬКАЯ

Скрыпников Сергей aka Slam

Спецвыпуск Xakep, номер #035, стр. 035-004-2

Паразитические вирусы добавляют свой код в зараженный файл, файл при этом остается полностью или частично работоспособным.

К категории компаньон-вирусов относятся вирусы, не изменяющие заражаемые файлы. Алгоритм их работы состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник.

СЕТЕВЫЕ ВИРУСЫ

Сетевыми называются такие вирусы, которые при своем распространении используют возможности интернета и локальных сетей.

Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервак и заставить его выполниться.

Сетевые вирусы нередко называют сетевыми червями. Для своего распространения они используют ошибки и недокументированные функции сетей или ОСей, при этом распространяясь по сервакам и запуская свой код на каждом из них.

Существует категория вирусов, которые используют для своего распространения протокол FTP и передают свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном серваке в каталоге Incoming, этот вирус можно охарактеризовать как "полусетевой". Его действие основано лишь на любопытстве пользователя.

МАКРОВИРУСЫ

Это вирусы на макроязыках различных приложений, вроде MS Excel (VB), MS Word (WB) и т.п.

Для своего размножения они используют возможности макроязыков и с их помощью переносят себя из одного зараженного файла (документа или таблицы) в другие.

Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макроязыка с такими возможностями:

- привязка программы на макроязыке к конкретному файлу;

- копирования макропрограмм из одного файла в другой;

- получение управления макропрограммой без вмешательства пользователя (хотя бы прямого, вроде необходимости нажатия кнопки "запусти меня, я вирус" :).

Макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы, при открытии\редактировании\закрытии зараженного файла.

Чаще всего идет заражение стандартного шаблона, который загружается при открытии нового документа, таким образом, все последующие копии файла тоже являются зараженными.

ЗАГРУЗОЧНЫЕ ВИРУСЫ

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия прост: при включении или загрузке компьютера сначала проходит тест оборудования, а потом, в зависимости от настроек, считывается первый физический сектор (будь то флопик, сидюк или винчестер), и на него передается управление.

При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Вирус заставляет систему при перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса.

Заражение флопиков производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера.