СВОДКИ С ЗАРАЗНОГО ФРОНТА 3V1L 5P1K3 (fallout@pisem.net) Спецвыпуск Xakep, номер #032, стр. 032-018-1 ВИРУСЫ В ВЫНЬ. В этой статье я постараюсь вывалить на тебя максимум инфы по вирям в вынь. Расскажу о принципах и алгоритмах их работы, механизмах и путях заражения, растолкую немного о работе антивирусов, опишу самые интересные новинки вирусов, а также не забуду про старые и проверенные вири. История вирусов начинается с далекого 1984 года, правда, тогда это было все скорее только на бумаге. Да и к нашему любимому продукту МелкоСофта это не имеет практически никакого отношения. Перейдем в 1995 год - время появления ОСи Win95 - тогда то и стали появляться первые вири отдаленно напоминающие нынешние. Если задуматься, то можно сказать, что программеры MS сделали очень много для распространения вирусов :), начиная от многочисленных дыр, заканчивая некоторыми сомнительными принципами функционирования системы. Да и повсеместная распространенность сыграла свою решающую роль. ПРИНЦИП ДЕЙСТВИЯ Все вири можно разделить на несколько категорий по принципу их действия и алгоритму работы. Самые распространенные ранее вири - файловые вирусы. Файловые вири инфицируют исполняемые файлы (.exe/.com), дрова (.sys) или библиотеки (.dll), влезая в их код. Механизм внедрения различается: вирус может вставлять свой код в начало, середину или конец файла, дробиться на части, внедряться, не изменяя конечную длину файла, разрушать или сохранять файлу жизнь. При запуске зараженного файла сначала запускается сам вирус, а потом управление передается инфицированной программе. При загрузке вируса, он часто записывает себя в оперативную память и инфицируют все запускаемые в это время приложения. Также существуют загрузочные вирусы. Эти вири загружаются еще до начала загрузки оси. Для этого они перед этим обычно прописывают свой запуск в BR (boot record), а затем при загрузке операционной системы перебираются в оперативную память. Макровирусы появились с появлением первого MS офиса. Написаны они на языке Visual Basic (любимом языке Билли) for Applications. Макровирусы распространяются вместе с документами и для запуска виря достаточно открыть документ. В последнее время самыми распространенными видами вирусов стали почтовые черви (вири, распространяющиеся по сети). Назначение у червей может быть любым: от сбора информации, до убийства всего, что попадется под руку. У вирусов существуют определенные алгоритмы работы. Для затруднения прямого поиска антивирусами своего присутствия, некоторые вири шифруют свой код каждый раз новым ключом и новым алгоритмом шифрования при заражении очередной программы. Существуют вирусы, которые могут полностью изменять свой код, такие называют полиморфными. Также существуют резидентные (TSR) вирусы, которые стараются не хранить своих файлов на диске, а постоянно находиться в оперативной памяти. Такой подход существенно осложняет поиск вируса. Некоторые вири используют резидентный модуль, который постоянно следит за действиями системы и при загрузке зараженного файла стирает зараженный участок, а потом дописывает снова (это стелс-вири). МЕХАНИЗМ РАСПРОСТРАНЕНИЯ Раньше вири чаще всего распространялись через инфицированные исполняемые файлы (.exe, .com). Требовалось, чтобы юзер сам подписал себе смертный приговор, запустив больную прогу. Но этот метод порой рулит и сегодня. |