Как маскируются невидимые вирусы

Все мы сталкиваемся с заражением наших компьютеров вирусами, и при обнаружении сразу пытаемся их устранить.От вирусов созданы специальные антивирусные программы, позволяющие выявлять вирусы, позволяющие выявлять вирусы, лечить заражённые файлы и диски, обнаруживать и предотвращать подозрительные(характерные для вирусов ) действия. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом. Но найти вирус сразу не всегда просто, вирусы обладают свойствами, которые позволяют им "скрываться" и они не могут быть обнаружены сразу.

Методы маскировки вирусов.

1. Невидимые вирусы.

Многие резидентные вирусы (и файловые, и загрузочные) предотвращают своё обнаружение тем, перехватывают обращения операционной системы (и тем самым прикладных программ) к заражённым файлам и областям диска и выдают их в исходном (незаражённом) виде. Такие вирусы называются невидимыми, или stealth (стелс) вирусами. Разумеется, эффект «невидимости» наблюдается только на заражённом компьютере – на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

2. Шифрование своего кода.

Вирусы часто содержат внутри себя сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить своё обнаружение, некоторые вирусы шифруют своё содержимое, так что при просмотре заражённых ими объектов (даже на «чистом» компьютере , то есть когда вирус не активен) никаких подозрительных текстовых строк Вы не увидите.

3. Полиморфные вирусы.

Ещё один способ, применяемый вирусами для того, чтобы укрыться от обнаружения, — модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами – в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися.

4. Неизменение длины файлов.

Ранние файловые вирусы при заражении увеличивали длину файлов, что позволяло их легко обнаруживать. Однако затем появились вирусы, не увеличивающие длину файлов. Для этого они могут записывать свой код в «пустые» участки внутри файлов, сжимать код заражаемого файла и т.д. Разумеется, «невидимым» вирусам к таким уловкам прибегать нужды нет.

Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а скажем, при выполнении определенных условий. После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и она работает как обычно. Тем самым внешне работа зараженной программы выглядит так же, как и незараженной.

Чтобы предотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемы маскировки.

Многие резидентные вирусы предотвращают свое обнаружение тем, что перехватывают обращения операционной системы к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth вирусами. Разумеется, эффект «невидимости» наблюдается только на зараженном компьютере — на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить. Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Примером таких программ могут послужить Adinf фирмы «Диалог-Наука», NortonAntiVirus и др.

Вирусы часто содержат внутри себя различные сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов никаких подозрительных текстовых строк пользователь не увидит.

Еще один способ, применяемый вирусами для того, чтобы укрыться от обнаружения — модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами — в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися. Имеются программы-детекторы, способные обнаруживать полиморфные вирусы, например, Dr.Web фирмы «Диалог-Наука».

При активизации зараженного вирусом файла управление сразу передается на вирус, который выполняет свои разрушительные действия, а также параллельно приписывается к другим программам и файлам. Затем технологически происходит возврат к тем действиям, которые выполнялись на компьютере. При высоком быстродействии компьютера подобное «отвлечение» от регламентированного хода работ для пользователя остается абсолютно незамеченным. Нанесенный ущерб может обнаружиться не сразу. Внешние проявления присутствия вируса в компьютере могут быть самыми различными, например:

* появление на экране непредусмотренного сообщения;

* непредусмотренное требование снять защиту записи с дискеты;

* изменение даты и времени создания зараженных файлов;

* зависание компьютера и невозможность преодолеть эту проблему;

* опадание букв на экране (иногда с музыкальным сопровождением);

* исчезновение некоторых программных файлов по пятницам, приходящихся на 13-е число месяца;

* необычное аварийное завершение работы;

* уничтожение информационных файлов или их частичное разрушение;

* замедление работы компьютера;

* блокирование ввода с клавиатуры;

* поворот символов на экране;

* блокировка записи на жесткий диск;

* другие виды необычного «поведения» компьютера.

Особенно опасным для пользователя является такое действие вируса, как форматирование жесткого диска, что сопряжено с быстрой потерей всей хранящейся там информации. Поскольку от проникновения вируса не застрахован ни один пользователь, то можно, по крайней мере, сократить до минимума возможные последствия от присутствия в компьютере вируса. Для этого необходимо соблюдать несколько простых правил:

1. каждую свою дискету, если она «побывала» на другом компьютере, следует обязательно проверить любой доступной антивирусной программой. Программы такого рода могут не только обнаружить вирус, но и «вылечить» дискету. Особенно это касается игровых программ, т.к. большинство вирусов распространяется именно через них.

2. аналогичные проверки необходимо устраивать для файлов, полученных через сеть.

3. антивирусная программа очень быстро морально стареет. Поэтому рекомендуется ее периодически обновлять новой версией. Период обновления программ такого рода составляет от одной недели до одного квартала.

4. не снимать защиту записи с дискеты в ходе повседневных работ, если это не предусмотрено технологией решения задач.

5. при обнаружении вируса не предпринимать необдуманных действий, т.к. это может привести к потере той информации, которую еще можно было бы спасти. Самое правильное в такой ситуации — это выключить компьютер, чтобы блокировать деятельность вируса. Затем загрузить компьютер с эталонной дискеты операционной системой. После этого запустить антивирусную программу, в функциях которой предусмотрено не только обнаружение инфицированных файлов, но и их лечение. Далее выполнить антивирусную программу повторно. Если все операции по удалению вируса были сделаны правильно, то результатом ее работы должно быть информирование пользователя о полном отсутствии вирусов. Но следует помнить, что программа не должна быть морально устаревшей.

В последнее время при работе в сетях, особенно при пользовании электронной почтой, участилось проникновение вирусов в компьютер пользователя посредством чтения почтовых сообщений. Поэтому здесь также следует соблюдать несколько простых правил:

1. не открывать прикрепленные к письму файлы, кроме случая, когда есть предварительная договоренность с отправителем об их отправке.

2. не открывать прикрепленные к письму файлы, пришедшие от антивирусных лабораторий, компании Microsoft и прочих. Компании никогда не занимаются рассылкой файлов.

3. не открывать прикрепленные к письму файлы, если тема письма и само письмо пустые.

4. удалять все подозрительные письма.

5. при длительном отсутствии следует прервать подписку на различные электронные рассылки

Для обнаружения, удаления и защиты от компьютерных вирусов разработаны специальные программы, которые позволяют обнаруживать и уничтожать вирусы.

Такие программы называются антивирусными. Современные антивирусные программы представляют собой многофункциональные продукты, сочетающие в себе как превентивные, профилактические средства, так и средства лечения вирусов и восстановления данных.

5. МЕТОДЫ МАСКИРОВКИ ВИРУСОВ

Чтобы предотвратить свое обнаружение, многие вирусы применяют довольно хитрые приемы маскировки. Мы расскажем о некоторых из них.

Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения операционной системы (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Такие вирусы называются невидимыми, или stealth (стелс) вирусами. Разумеется, эффект «невидимости» наблюдается только на зараженном компьютере — на «чистом» компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

Некоторые антивирусные программы могут обнаруживать «невидимые» вирусы даже на зараженном компьютере. Для этого они выполняют чтение диска, не пользуясь услугами DOS. Такими программами являются, в частности, ADinf фирмы «Диалог-Наука», Norton AntiVirus и др.

Некоторые антивирусные программы используют для борьбы с вирусами свойство «невидимых» файловых вирусов «вылечивать» зараженные файлы. Они считывают (при работающем вирусе) информацию из зараженных файлов и записывают ее в файл или файлы. Затем, уже после загрузки с «чистой» дискеты, исполнимые файлы восстанавливаются в исходном виде.

Вирусы часто содержат внутри себя различные сообщения, что позволяет заподозрить неладное при просмотре содержащих вирус файлов или областей дисков. Чтобы затруднить свое обнаружение, некоторые вирусы шифруют свое содержимое, так что при просмотре зараженных ими объектов (даже на «чистом» компьютере, то есть когда вирус не активен) никаких подозрительных текстовых строк Вы не увидите.

Еще один способ, применяемый вирусами для того, чтобы укрыться от обнаружения, — модификация своего тела. Это затрудняет нахождение таких вирусов программами-детекторами — в теле таких вирусов не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Такие вирусы называются полиморфными, или самомодифицирующимися.

Многие полиморфные вирусы используют шифрование своего кода, меняя параметры этой кодировки при создании каждой копии. Кроме того, они тем или иным способом изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса.

В простейших полиморфных вирусах вариации их кода ограничиваются использованием одних регистров компьютера вместо других, добавлением «незначащих» команд и т.д. И программы-детекторы приспособились обнаруживать команды в стартовой части вируса, несмотря на маскирующие изменения в них. Но имеются и вирусы с чрезвычайно сложными механизмами самомодификации. В них каждая значащая инструкция передается одним из сотен тысяч возможных вариантов, при этом используется более половины всех команд процессора.

Тем не менее, имеются антивирусные программы-детекторы, способные обнаруживать даже такие сложные полиморфные вирусы. Как правило, они содержат эмулятор (программный эквивалент) процессора, то есть могут интерпретировать программы без их реального выполнения (на настоящем процессоре). Такие детекторы интерпретируют анализируемые программы, то есть «выполняют» их на программном эквиваленте процессора, и в ходе этого «выполнения» решают, является ли анализируемая программа вирусом или нет. Эта задача очень сложна (точнее, неразрешима), поскольку вирусы не используют каких-то специфических действий, которые не применялись бы другими программами. Однако лучшие детекторы способны отлавливать неизвестные полиморфные вирусы в более чем 80% случаев при очень малом количестве ложных тревог. Примером такой программы является Dr. Web из антивирусного комплекта DSAV фирмы «Диалог-Наука».

Ранние файловые вирусы при заражении увеличивали длину файлов, что позволяло их легко обнаруживать. Однако затем появились вирусы, не увеличивающие длину файлов. Для этого они могут записывать свой код в «пустые» участки внутри файлов, сжимать код заражаемого файла и т.д. Разумеется, «невидимым» вирусам к таким уловкам прибегать нужды нет.

6. ОСОБЫЕ ВИДЫ ВИРУСОВ

В 1991 г. появились вирусы нового типа — вирусы, меняющие файловую систему на диске. Эти вирусы обычно называются DIR. Такие вирусы прячут свое тело в некоторый участок диска (обычно — в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла или как дефектный участок. Для всех

.СОМ — и .ЕХЕ — файлов указатели на первый кластер (участок) файла, содержащиеся в соответствующих элементах каталога, заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки.

Таким образом, при работающем вирусе файловая система на диске кажется совершенно нормальной. При поверхностном просмотре зараженного диска на «чистом» компьютере также ничего странного не наблюдается. Разве лишь при попытке прочесть или скопировать с зараженной дискеты программные файлы из них будут прочтены или скопированы только 512 или 1024 байта, даже если файл гораздо длиннее. А при запуске любой исполнимой программы с зараженного таким вирусом диска этот диск, как по волшебству, начинает казаться исправным (неудивительно, ведь компьютер при этом становится зараженным).

При анализе на «чистом» компьютере с помощью программ ChkDsk, ScanDisk или NDD файловая система зараженного DIR-вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдает кучу сообщений о пересечениях файлов («. cross linked on cluster. ») и о цепочках потерянных кластеров («. lost clusters found in . chains»).

Особая опасность вирусов семейства DIR состоит в том, что повреждения файловой структуры, сделанные этими вирусами, на следует исправлять программами типа ScanDisk или NDD — при этом диск окажется безнадежно испорченным. Для исправления надо применять только антивирусные программы.

Замечание. Вирусы семейства DIR формально относят к файловым, хотя они меняют не сами файлы, а способ обращения операционной системы к этим файлам.

Еще один необычный тип вирусов — это вирусы, заражающие системный файл IO.SYS. Семейство этих вирусов обычно называется ЗАРАЗА, поскольку первый такой вирус выводил сообщение «В BOOT СЕКТОРЕ — ЗАРАЗА!».

Данные вирусы являются файлово-загрузочными и используют рассогласование между механизмом начальной загрузки DOS и обычным механизмом работы с файлами. При начальной загрузке MS DOS проверяется, что имена двух первых элементов в корневом каталоге загрузочного диска — IO.SYS и MSDOS.SYS, но атрибуты этих элементов не проверяются. Если имена совпадают, то программа начальной загрузки считывает в память первый кластер элемента с именем IO.SYS и передает ему управление.

Пользуясь этим несовершенством программы начальной загрузки, вирус ЗАРАЗА при заражении жестких дисков делает следующее:

• копирует содержимое файла IO.SYS в конец логического диска;

• сдвигает элементы корневого каталога, начиная с третьего, на один элемент к концу каталога;

• копирует первый элемент корневого каталога (соответствующий файлу IO.SYS) в) освободившийся третий элемент корневого каталога и устанавливает в нем номер начального кластера, указывающий на место, куда было скопировано содержимое файла IO.SYS;

• записывает свое тело в место, где находился файл IO.SYS (как правило, в начало области данных логического диска);

• у первого элемента корневого каталога диска устанавливает признак «метка тома».

Таким образом, начало оглавления корневого каталога после заражения будет выглядеть примерно так (при просмотре программой DiskEdit):