Реферат на тему:


Воспользуйтесь поиском к примеру Реферат        Грубый поиск Точный поиск






Загрузка...
Несколько "классических" примеров компьютерных вирусов

Несколько "классических" примеров компьютерных вирусов

Как мы уже говорили, компьютерные вирусы подразделяются на два основных класса: файловые и бутовые. Рассмотрим некоторые из них более подробно.

Файловые вирусы

Вирус VIENNA (Вена)

Другие названия вируса: 648, Restart (перезагрузка), Time Bomb (временная бомба) и др.

Один из первых наиболее примитивных вирусов. Найденный сначала в Вене, затем заполнил весь мир. При загрузке в память компьютера просматривает все COM-программы в текущем каталоге и в доступных через PATH (пути поиска, обычно установлены в AUTOEXEC.BAT). Первоначальный вариант этого вируса увеличивал длину жертвы на 648 байт. Первую найденную еще не зараженную программу или заражает, или, с вероятностью 1/8 (в зависимости от системного времени), портит таким образом, что она при запуске приводит к перезагрузке системы. В последнем случае в начале жертвы записывается код EAF0FF00F0, который на машинном языке означает теплый рестарт (эквивалентно воздействию клавиш Ctrl + Alt + Del). Если испорчена таким образом программа вызывается из AUTOEXEC.BAT, процедура начальной загрузки операционной системы зацикливается. Как признак заражения, вирус ставит во времени создания жертвы несуществующее число секунд (62). В дальнейшем появилось много разновидностей вируса VIENNA (более 20), отличающиеся от него длинами и вредными действиями.

Вирус CASCADE (Каскад, водопад)

Другие названия вируса: LetterFall (буквопад), Letter и др.

Существует два варианта вируса по длине (1701 или 1704 байт). Заражает только COM-программы, резидентный. Вызывает обсыпки символов на экране, сопровождающееся характерным шуршанием. При этом блокируется возможность работы с клавиатурой. Сохраняет работоспособность только на машинах типа PC XT / AT.

Вирус BLACK FRIDAY (Черная пятница)

Другие названия вируса: Israeli Virus (израильский вирус), Ierusalem (Иерусалим), Black Hole (черная дыра) и др.

Вирус получил указаны названия, поскольку впервые был обнаружен в израильском университете и из-за своих характерных действий. Он заражает EXE- и COM-файлы, увеличивая их размеры на 1813 байт, и остается резидентным в памяти ПК. При этом заражение может происходить неоднократно, что приводит к невероятному разрастание зараженных файлов. Инфицированный данным вирусом ПК замедляет свою работу в несколько тысяч раз. При выводе информации на дисплей в нижнем левом углу экрана появляется черный прямоугольник (дыра). Наконец, если время работы приходится на пятницу 13-го числа, то зараженные файлы уничтожаются.

Характерным признаком вируса является наличие в его теле сообщений MsDos а также COMMAND.COM.

Вирус DARK AVENGER (Черный мститель)

Другие названия вируса: Eddie, Sofia.

Вирус получил свои названия по текстовой строке "Eddie lives ... somewhere in time. This program was written in the sity of Sofia (C) 1988-89 Dark avenger", содержащийся в его теле. Вирус заражает EXE- и COM-файлы, есть резидентным, его длина в байтах 1800 вирус очень опасен, поскольку на инфицированном компьютере файлы заражаются не только при исполнении, но и во время их просмотра и копирования. Он также уничтожает COM-файлы, длина которых лежит в пределах от 64K1800байт к 64K. Периодически уничтожает информацию в одном из секторов винчестера.

Бутове вирусы

Вирус PING PONG (название не нуждается в переводе)

Другие названия вируса: Italian Bouncing (итальянский попрыгунчик), Ball (мячик).

Вирус заражает Boot-сектор дискет и записывает свое тело в свободные (иногда и в занятые) кластеры, замечая их как плохие (Bad). Как и все бутовые вирусы являются резидентным. На ПК, зараженном данным вирусом, время от времени появляется ромбик (ASCII-код4), который, перемещаясь по экрану, отражается от его границ и рамок, образованных символами псевдографики.

Вирус STONED (окаменевшей)

Другое название вируса: Marijuana (Марихуана).

Внешнее проявление с вероятностью 1/8 при загрузке системы на экран выдается текст "Your PC is now Stoned", после чего работа нормально продолжается. Этот вирус записывается в абсолютный начальный сектор диска, на винчестерах содержит PARTITIONTABLE. Иногда (например, когда жесткий диск разбит на разделы с помощью известной системы ADM) это приводит к печальным последствиям, а именно, к потере доступа к информации, расположенной на диске. Для визуального распознавания вируса на диске может служить горячий призыв: "LEGALISE MARIJUANA!".

Заметим, что сейчас существует около 90 штаммов (разновидностей) вируса Stoned, и он до сих пор остается очень распространенным.

Вирус BRAIN (Мозг)

Один из самых знаменитых вирусов. Он считается первым, получивший широкое распространение (разработан в январе 1986 года). Заражает только стандартно отформатированные дискеты емкостью 360л.с.. На зараженных дискетах появляется метка "(c) Brain". Занимает на диске три подряд расположенных кластеры, замечая их как плохие.

Наконец, для любителей футбола приведем последний пример продукта, судя по всему, отечественного производства.

Вирус DINAMO (название не нуждается в переводе)

Это бутовый вирус, который при некоторых обстоятельствах выдает на экран вечную мечту киевских болельщиков: "Dinamo (Kiev) champion !!!".

Наиболее распространенные современные компьютерные вирусы

Уже упоминавшийся антивирусный исследовательский центр SARC фирмы Symantec Corporation опубликовал в конце 1996 г.. Список 10 наиболее распространенных во всем мире компьютерных вирусов. Некоторые из них, распространенные в том числе и в нашей стране, рассмотрим более подробно.

Макро-вирусы Word (Word Macro Viruses)

Макро-вирусы, действующих в среде известного и широко распространенного во всем мире текстового процессора Word for Windows версии 6 и выше фирмы MicroSoft, используют макросы языка WordBasic для заражения образуемых в этом процессоре документов и шаблонов документов (MS Word documents and templates ) файлов с роширенням DOC и DOT.

Эти вирусы используют несколькосвойств "окружения" MS Word, для автоматического выполнения инфицированного макро-кода. Сразу, когда инфицированный документ открывается и начинает работать вирус, то, как правило, вирус заражает шаблон документа пользователя NORMAL.DOT. Этот шаблон является основой большинства других документов и шаблонов и именно через него макро-вирус заражает последние. В своей работе вирусы используют стандартные макросы языка WordBasic, такие как AutoOpen, FileSaveAs, AutoExec, System и другие.

На первый взгляд кажется, что макро-вирусы не подчиняются старому правилу: "Вирусы заражают только выполняемые программы" (заметим, что в Boot-секторе также находится некоторый код, выполняемый при загрузке системы). Но это не так. Документы, которые готовятся с помощью текстового процессора MS Word, имеют довольно сложную структуру, куда помимо чисто текстовых фрагментов включаются рисунки, графики и т.д., а также макросы языка WordBasic. Именно последние компоненты под управлением системы MS Word могут использоваться как компоненты вирусного кода.

Среди макро-вирусов наиболее распространенными являются: Anti-DMV (или MDMADMV), Atom, Boom, Colors (или RainBow), Concept, Concept.FR.B, DMV, FormatC (при некоторых условиях форматирует диск C :), Friendly, Hot (впервые появился в России), Imposter, Infezione, Irish, NOP, Nuclear (при печати зараженного файла-документа выводит сообщение: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!" ) Parasite, Polite, Wazzu, Xenixos.

AntiEXE

Другие названия вируса: CMOS4, D3, NewBug, New Bug.

Это бутовый вирус, который заражает Boot-сектор гибкого и Master Boot запись жесткого диска. Использует Stealth-технологию. Как и все бутовые вирусы, AntiEXE является резидентным. Ищет некоторые EXE-файлы и повреждает их.

AntiCMOS

Другие названия вируса: Lenart.

Это бутовый вирус, который заражает Boot-сектор гибкого и Master Boot запись жесткого диска. Портит информацию о конфигурации компьютера, записана в энергонезависимой памяти CMOS.

штаммов (разновидностями) указанного вируса являются вирусы AntiCMOS.A и AntiCMOS.B.

One_Half

Другие названия вируса: Free Love, One_half, One Half.3544

One_Half это файлово-бутовый, резидентный, полиморфный вирус, который использует Stealth-технологию. Заражает COM- и EXE-файлы, увеличивая их длину на 3544 байт и Master Boot запись жесткого диска.

Во время холодного (пере) загрузки системы с инфицированного жесткого диска One_Half зашифровывает два цилиндра в конце жесткого диска. При каждом (пере) загрузке системы количество зашифрованных цилиндров растет. Пока вирус находится в памяти, информация, содержащаяся в этих цилиндрах, доступна. Когда вирус зашифрует примерно половину жесткого диска, он выводит на экран сообщение "Dis is one half. Press any key to continue ...". Шифрования информации, проводит One_Half, значительно усложняет работу антивирусных программ, которым нужно не только вылечить компьютер, но и восстановить зашифрованную информацию.

One_Half не заражают некоторые антивирусные программы (SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV).

Tchechen 1912, 1914

Эти вирусы не входят в десятку наиболее распространенных в мире, но на территории СНГ, пожалуй, стоят ли первом месте.

Очень опасные резидентные полиморфные вирусы. При старте вирусы считывают 2-й сектор жесткого диска и записывают в него слово "МИР" и число 4, которое в дальнейшем будет счетчиком стартов инфицированных программ. Затем пытаются найти в ROM BIOS текстовые строки Megatrends, AWARD. Если этот поиск успешен, то вирусы выключают в CMOS-памяти опцию Virus Warning on Boot (контроль записи в Boot-сектора). При достижении счетчика в втором секторе значение 0 вирусы заменяют слово "МИР" на ненужное слово с 3 букв и записывают в MBR жесткого диска "троянский" код. Этот код при загрузке системы самостоятельно отдает управление активному Boot-сектора жесткого диска, но примерно через месяц после записи данного кода в MBR уничтожает содержимоевсего первого жесткого диска. После чего планировалось вывода на экран такого текста (Tchechen.1914 содержит ошибку в данном выводе): "POLITICAL PRO $ TITUTE $ OF THE WORLD, (UN) ITE! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN" WAR BY TV YOU ' RE GLAD -YOUR ASS IS SO FAR FROM. WAIT, YOU'LL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT !!! The Tchechen, (C) RUSSIAN BEAR, 1995 ".

Tchechen.1914 нетрудоспособен на процессоре Pentium.

Загрузка...