Вопрос 13.2. Возможные воздействия вредоносных компьютерных программ на вычислительную систему и их последствия

При описании воздействий вредоносных компьютерных программ на вычислительную систему, необходимо учитывать, что вирус, проникший в систему, стал полноценной программой, выполняемой на персональном компьютере. Т.е. в среде, в которой он обитает, он может сделать практически все, что позволено возможностями, предоставляемыми вирусу интерфейсами среды. Отсюда напрашивается вывод, что вирус, написанный на языке, не умеющем работать с файлами, не сможет навредить файловой системе. К сожалению, это не всегда так. Благодаря существованию уязвимостей в реализации многих языков программирования, вирусы, программы, теоретически не способные обращаться к файлам пользователя, все равно получают к ним доступ (Пример: Технология Java Applets, в которой со слов Sun Microsystems нельзя обращаться к диску пользователя, все равно вирусописатели нашли брешь, через которую смогли получить доступ к диску жертвы. В антивирусной базе Касперского есть 3 детально описанных Java-вируса. Та же участь постигла в свое время и технологию ActiveX).

Для того чтобы более детально представить последствия, и какие могут быть вредоносные воздействия, необходимо детально рассмотреть самое «сердце» компьютерных вирусов, а именно, алгоритмы заражения. По сути, заражение и является одним из последствий вредоносного воздействия.

Начнем с самого распространенного типа вирусов – Файловые:

Основная задача любого вируса – это получить управления для того, чтобы начать функционировать. Файловые вирусы получают управление при запуске зараженного файла. Основная идея состоит в следующем:

При запуске файла на выполнение система сначала загружает его в память, а потом передает управление в его начало (в начало исполняемого кода). Вирус приписывает себя к файлу, изменяя настройки заголовка файла (если он есть) так, чтобы при загрузке файла вирус тоже оказался в памяти. Затем необходимо изменить заголовок так, чтобы управление досталось вирусу. Вирус, получив управление, совершает какие-то действия и передает управление в начало исполняемого кода зараженной программы. Таким образом, пользователь ничего не замечает. Он запустил программу, и она запустилась – все нормально. Естественно, вирус перед заражением очередного файла может не проверять «был ли этот файл уже заражен или нет???». В таком случае, если пользователь запустил файл, многократно зараженный одним и тем же вирусом – он может заметить небольшую задержку в работе программы.

Далее рассмотрим алгоритм работы Загрузочных вирусов:

Загрузочные вирусы заражают загрузочный сектор диска (Boot Record) или основную загрузочную запись винчестера (Master Boot Record). Заражение Boot Record’a происходит путем записи вируса на его место. Заражение MBR происходит аналогично, или путем изменения адреса активного Boot Record’a в таблице разбивки диска. В последнем случае система при старте передает управление активному Boot Sector’у т.е. вирусу. При заражении Boot Record’a, вирус, как правило, заменяет оригинальную программу загрузки своей копией. Оригинальный Boot Sector вирус сохраняет где-либо на диске (например, в последних секторах, которые обычно оказываются пустыми). Затем, вирус, если имеет продолжение, (некоторые вирусы умудряются не уместиться в 512 байт), загружает его в память (обычно в верхние адреса). Затем, вирус меняет количество свободной памяти (слово 0040h:0013h). После этого вирус загружает оригинальный Boot Sector и передает на него управление. Тут следует отметить, что почти все загрузочные вирусы резидентны. И остаются в памяти после загрузки операционной системы. Они, как правило, перехватывают вектор 13h и при попытке чтения загрузочного сектора – подсовывает оригинальную версию (т.е. Стелс), предварительно сохраненную в «укромном» месте.

Макровирусы: В таких программах, как MS Word, MS Excel присутствуют так называемые макроязыки. Они были введены в данные разработки для упрощения работы с документами. Т.е. например, при загрузке определенного документа компьютер сам вычисляет какие-то параметры, ставит дату, выделяет что-либо другим цветом. И, вроде бы ничего: эти языки лишены возможности обращения к функциям ядра системы, не могут читать/писать на диск или в файл. Но нашлись, однако, «умельцы», которые и здесь смогли сделать вредоносные программы.

Дело в том, что почти в каждой из таких интегрированных систем существуют так называемые «макросы по умолчанию». Т.е. при открытии вызывается один макрос, при закрытии – другой, при печати – третий… Внедряясь в эти макросы и, заражая другие файлы, открываемые этим редактором, вирусы живут и размножаются. Т.е. заражение, размножение и «жизнь» этих вирусов происходит только внутри данного редактора или интегрированной системы.

Попробуем сформулировать общий алгоритм работы макро-вирусов.

Изначально вирус находиться в «зараженном» документе в виде макроса. Затем, зараженный документ попадает к пользователю, который открывает этот документ. В этот момент активизируются макросы данного документа (если эта опция не отключена). После этого проникновение в систему можно считать завершенным. Вирус заражает другие документы, пытается подменить макросы «по умолчанию» (для Word они находятся в файле normal.dot).

Для заражения макро-вирусом система должна «предоставлять» следующие возможности:

· Привязка макро-программы к конкретному файлу.

· Копирование макро-программ из одного файла в другой.

· Получение управления макропрограммой без вмешательства пользователя (макросы по умолчанию).

Существует еще один, пожалуй, самый грозный тип вирусов. Это полиморфные вирусы:

Принцип работы полиморфных вирусов основывается на том, что одно и то же действие можно выполнить несколькими путями. Т.е. один и тот же алгоритм может иметь несколько реализаций совсем не похожих друг на друга. Таким образом, вирус постоянно меняет те или иные операторы в своем коде на аналогичные, в результате чего, его код никогда не остается постоянным.

Существует несколько «уровней» полиморфизма:

· Вирусы, которые имеют некоторый набор расшифровщиков с постоянным кодом и при заражении выбирается один из них. Такие вирусы иногда называют полуполиморфными. Для обнаружения данного типа вирусов достаточно получить несколько его сигнатур (масок).

· Шифровщик вируса содержит одну или несколько постоянных инструкций, основная же его часть непостоянна.

· Шифровщик содержит неиспользуемые инструкции-мусор.

· В шифровщике используются взаимозаменяемые инструкции и изменение порядка их следования. Характерно то, что алгоритм работы шифровщика при этом не изменяется.

· Используются все перечисленные выше приемы, алгоритм расшифровки непостоянен, возможно повторное шифрование кода вируса и, даже, частичное шифрование кода самого шифровщика.

· Permutating (перестановочные)-вирусы. Изменению подлежит основной код. Он делиться на блоки, которые при заражении переставляются в произвольном порядке. Сам вирус при этом остается работоспособным.

Следует отметить, что последний тип – самый «страшный». Его нельзя обнаружить с помощью поиска сигнатур. Здесь необходим качественно новый подход.

Существует еще один тип вирусов – Это сетевые вирусы-черви.

Суть их работы заключается в том, что вирус, попадая на зараженную машину, вычисляет адреса удаленных хостов, с которыми есть связь, и отправляет туда свои копии. Характерной особенностью данного вируса является огромная скорость его распространения.

В последнее время появился сходный тип вирусов – Это почтовые вирусы.

Принцип их работы аналогичен принципу работы сетевых вирусов, за исключением того, что вместо адресов удаленных хостов вирус использует адреса из адресной книги абонента.