Общие сведения о вирусах

Компьютерные вирусы

Вирус представляет собой злонамеренную компьютерную программу, способную после входа в компьютерную систему скрываться, а также исполнять часть своего кода во вред пользователю и дуплицировать себя через линии связи или при помощи инфицированных дисков, заражая другие программы и файлы данных.

Структура вируса

В самом распространенном случае компьютерный вирус состоит из двух частей - головы, первой получающей управление, и хвоста, расположенного отдельно от головы. В свою очередь, хвост вируса может состоять из нескольких частей или вовсе отсутствовать (например некоторые файловые вирусы).

Для получения управления вирус записывает свою голову в одно из перечисленных мест:

- загрузочные модули (СОМ-, ЕХЕ-файлы);

- МВR (Master Boot Record - главная загрузочная запись) дискеты или винчестера;

- драйвер;

- объектный модуль;

- ВАТ-файл;

- исходный текст программы на алгоритмическом языке (в расчете на его компиляцию);

- файлы-документы, созданные приложениями обработки данных, которые поддерживают работу на макроязыках и т.д.

Размножение и проявление вируса

Следует различать два основных действия (фазы), выполняемые компьютерным вирусом: размножение и проявление. Размножение обычно является первым и обязательным действием вируса при получении им управления. Фаза проявления, на которой выполняются несанкционированные действия, может чередоваться с размножением, начинаться через определенный (инкубационный) период или при сочетании некоторых условий. Она может заключаться в изощренных визуальных или звуковых эффектах, включать нанесение повреждений файловой системе или исключительно состоять из него. Повреждения могут быть массированными, например, когда стирается FАТ и другие системные блоки, или, наоборот, распределенными, когда довольно часто выполняются небольшие, трудно обнаруживаемые повреждения. У ряда вирусов фаза проявления отсутствует, т.е. помимо размножения они никаких несанкционированных действий не выполняют. В то же время любой вирус обладает рядом побочных эффектов, которые не были предусмотрены при создании вируса, но которые фактически относятся к его проявлениям. Наиболее частым побочным эффектом является зависание операционной системы или потеря работоспособности некоторых (чаще всего резидентных) программ. Другим важным побочным эффектом является появление некоторых необъяснимых сообщений операционной системы.

Симптомы заражения

Помимо очевидных симптомов заражения, отмеченных выше, существуют также определенные признаки, указывающие на поражение компьютера вирусами. К таким симптомам можно отнести следующие проявления:

■ изменение длины командного процессора command.com;

■ выдача сообщений об ошибке при чтении информации;

■ изменение длины и (или) даты создания программы;

■ замедление выполнения программы;

■ возрастание времени загрузки операционной системы;

■ зацикливание при загрузке;

■ потеря работоспособности некоторых резидентных программ или драйверов;

■ аварийное завершение ранее нормально функционировавших программ;

■ необъяснимые зависания или перезагрузки системы;

■ уменьшение объема системной памяти или свободной памяти после загрузки;

■ резкое уменьшение доступной дисковой памяти, хотя файлы не добавлялись и не удалялись;

■ появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы.

Приведенные признаки могут наблюдаться даже на здоровых компьютерах по абсолютно не связанным с вирусами причинам. Тем не менее, появление каких-то аномалий должно сразу насторожить пользователя. Если после перезагрузки с защищенной дискеты некоторые из этих признаков исчезают, то есть смысл провести более или менее полное тестирование с помощью антивирусных программ, а также сравнить содержимое boot-сектора и таблицы разделов с их оригиналами.

Проникновение вирусов в компьютер

Причина заражения вирусами компьютера непосредственно связана с неосторожным переносом на него инфицированных программ и различных документов из Internet, с другого инфицированного компьютера, зараженного компакт-диска/дискеты или другого носителя информации.

Без сомнения, на первом месте в отмеченном выше ряду стоит Internet. При этом наибольшее число заражений приходится на макровирусы, которые проникают преимущественно при обмене письмами с вложенными документами Word. В большинстве случаев пользователь зараженного редактора рассылает зараженные письма адресатам, сам при этом не подозревая, что стал звеном процесса вирусного заражения (пользователи, получившие такие письма, в свою очередь, заражают другие компьютеры и т.д.).

Для уменьшения вероятности заражения через вложенные документы достаточно потратить всего лишь несколько секунд, сохранив документ на диске, а затем проверив его антивирусной программой. Только в том случае, если вирусов в файле не обнаружено, его можно открывать. Есть и другой, еще более простой путь - использовать антивирусную программу, осуществляющую автоматическую проверку приходящей электронной почты.

Среда обитания вируса

По среде обитания вирусы можно разделить на следующие подгруппы:

■ файловые вирусы - вирусы, непосредственно внедряющиеся в выполняемый файл (наиболее распространенный тип вирусов), создающие файлы-двойники либо использующие особенности организации файловой системы;

■ загрузочные (бутовые) вирусы — вирусы, записывающиеся в загрузочный сектор (boot-сектор) флоппи-диска и в boot-сектор или МВR винчестера;

■ макровирусы - это вирусы, заражающие текстовые документы, электронные таблицы или базы данных различных приложений, имеющих встроенные макроязыки;

■ сетевые вирусы - вирусы, использующие для своего распространения компьютерные сети или электронную почту.

Некоторые вирусы могут принадлежать одновременно к различным подгруппам, например файлово-загрузочный вирус или сетевой макровирус.

Макровирусы

Немного о макросах

Макрос - это набор команд и инструкций, выполняемых как одна команда. Если при работе с одним из приложений обработки данных какая-либо задача выполняется часто, ее можно автоматизировать с помощью макроса. Макросы зачастую используются для следующих целей:

■ для ускорения часто выполняемых операций редактирования или форматирования;

■ для объединения нескольких команд, например для вставки таблицы с указанными размерами и границами и определенным числом строк и столбцов;

■ для упрощения доступа к параметрам в диалоговых окнах;

■ для автоматизации обработки сложных последовательных действий в задачах.

Для создания макроса в большинстве программ существует два метода: использование средства для записи макросов и прямое программирование (в редакторе Visual Basic Editor).

Среда обитания макровируса

Макровирусы - это программы, написанные на встроенных в некоторые приложения обработки данных (Word, Excel, Access) макроязыках, которые средствами этих приложений переносят себя из одного зараженного файла-документа в другие. Таким образом, средой обитания макровирусов может быть только соответствующее приложение, в котором вирусы получают управление при открытии или закрытии зараженного файла. Однако существуют также вирусы, использующие интеграцию некоторых программ, благодаря чему они способны заражать документы сразу нескольких приложений.

Инициализация вируса

Для того чтобы макровирусу стать активным, в большинстве случаев ему достаточно проникнуть в область глобальных макросов документа. Для этого вирусы используют различные для разных приложений команды копирования либо открывают встроенный редактор макросов. В последнем случае вирус создает новый макрос и вставляет в него свой код, который затем сохраняется. При выходе из программы макросы со всеми изменениями записываются в специальный файл-шаблон (для Word - файл Normal.dot), что позволяет макровирусу автоматически активироваться при последующем запуске Word.

Заражение

Проникнув в систему, макровирусы перехватывают стандартные файловые функции и заражают файлы, к которым выполнялось обращение. Для этого они, как правило, используют один из трех приемов:

■ используют свой собственный автомакрос (макрос, вызываемый автоматически при различных условиях);

■ переопределяют один из стандартных системных макросов приложения;

■ макровирус вызывается автоматически при нажатии на какую-либо комбинацию клавиш.

Таким образом, при вызове команд, выполняемых этими макросами, вирус заражает файл, к которому идет обращение (запись, чтение и т.д.). При заражении вирус конвертирует файл в шаблон (Template) и записывает в него свои макросы. Впоследствии изменить формат такого файла будет невозможно.

При заражении некоторые макровирусы проверяют наличие своей копии в заражаемом объекте и повторно себя не копируют. Другие макровирусы не делают этого и переписывают свой код при каждом заражении. Если при этом в заражаемом файле или области системных макросов уже определен макрос, имя которого совпадает с макросом вируса, то такой макрос оказывается уничтоженным.