2015-06-04
461
Мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой новой информации вы при этом не узнаете. Но здесь пред-ставляется удобный случай кратко обсудить крайне «популярный» в по-следнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разруши-тельное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лече-нии данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.
Полиморфные вирусы
Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.
Полиморфные вирусы - вирусы, модифицирующие свой код в зара-женных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
|
|
|
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшиф-ровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоян-ный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и ориги-нальный файлы, вы все равно не сможете проанализировать его код с по-мощью обычного дизассемблирования. Этот код зашифрован и представ-ляет собой бессмысленный набор команд. Расшифровка производится са-мим вирусом уже непосредственно во время выполнения. При этом воз-можны варианты: он может расшифровать себя всего сразу, а может вы-полнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
