2018-01-08
453
Создатели компьютерных вирусов становятся все более квалифицированными и изощренными. Они разрабатывают вирусы, которые все труднее обнаружить. Например, вирус-невидимка скрывает созданные им изменения в файле или загрузочных записях с помощью изменения системных функций, используемых программами для чтения файлов или физических блоков с информационного носителя, чтобы программы, пытающиеся прочитать эти области, "видели" исходную, неинфицированную форму соответствующего файла, а не фактическую, инфицированную форму. В результате, вирусные модификации оказываются невидимыми для антивирусных программ. Для этого, однако, требуется, чтобы вирус находился в памяти, когда выполняется ваша антивирусная программа.
Кроме того, создатели вирусов разрабатывают полиморфные вирусы, которые продуцируют непохожие друг на друга (хотя и полностью работоспособные) копии самих себя, в расчете на то, что программы-сканеры не смогут обнаружить все разновидности этого вируса. Один из методов изготовления полиморфного вируса заключается в использовании различных схем шифрования, требующих разных программ дешифровки. Для надежного обнаружения вируса такого типа вирусному сканеру придется использовать несколько сигнатур (по одной для каждого возможного метода шифрования). Более сложный полиморфный вирус изменяет в этих копиях последовательность команд, чередуя их с "шумовыми командами", переставляя взаимно-независимые команды или даже используя разные последовательности команд, приводящие к одинаковому результату. Вирусный сканер, основанный на использовании сигнатур не позволяет надежно обнаруживать этот тип вируса.
|
|
|
Самой сложной на сегодня формой полиморфизма является вирус MtE "Mutation Engine", разработанный одним болгарским специалистом по прозвищу Dark Avenger. Этот вирус имеет форму объектного модуля.
Появление полиморфных вирусов еще больше усложнило и без того трудную и дорогостоящую задачу сканирования вирусов; добавление все новых строк поиска в простые сканеры не является адекватным ответом на появление этих вирусов.
Неисполняемые вирусы
Не всегда оказывается возможным провести четкое разграничение между исполняемыми и неисполняемыми файлами. Некоторые файлы, не являющиеся непосредственно исполняемыми, содержат код или данные, которые могут - при определенных условиях - выполняться или интерпретироваться.
В настоящее время вирусы могут инфицировать загрузочные сектора, главные загрузочные записи, СОМ-файлы, ЕХЕ-файлы, ВАТ-файлы и драйверы устройств. PostScript-файлы также могут быть носителями вируса (правда, этого нельзя сказать ни об одном из известных в данный момент вирусов).
|
|
|
В тоже время некоторые компьютерные вирусы являются просто плодом человеческой фантазии.
Черви
Черви похожи на вирусы. Правда, их цель заключается в простом бесконечном размножении - до захвата всей памяти компьютера или сети, т.е. до полной невозможности продолжения работы. Первое использование этого термина связано с описанием программы, которая копировала себя в сети, задействуя при этом никем не используемые ресурсы и, не принося никакого вреда пользователям.
Для понимания сущности вирусов-червей полезно почитать научно- фантастическую литературу. Джон Браннер в своей книге описывает программу-червь, действующую в сети. Он пишет: "Эта программа работает постоянно, пока существует сеть. Даже если один ее сегмент прекращает функционировать, на какой-то другой станции начинает действовать ее дублер. Происходит автоматическое деление червя, и из резервных элементов в нужном месте создается нужная структура.
Некоторые поставщики программного обеспечения пользуются технологией червя для инсталляции и модернизации сетевого программного обеспечения. Самый одиозный червь был создан Робертом Моррисом и получил название Internet Worm. Моррис, используя известные (и весьма серьезные) бреши Internet, запустил в сеть вирус, который заполонил сотни компьютеров в Internet. Не исключено, что свои идеи Моррис черпал именно из научно-фантастической литературы.
Троянские кони
Троянский конь - это программа, выполняющая какую-то недокументированную функцию, задуманную ее разработчиком, о которой даже не подозревают пользователи этой программы (а если бы знали, то наверняка не одобрили бы). Некоторые специалисты считают вирусы той или иной разновидностью троянских коней, особенно, если такой вирус может переходить на другие программы (превращая их, таким образом, также в троянских коней). Другие специалисты полагают, что вирус, который не причиняет никакого преднамеренного ущерба (например, просто размножается), не является троянским конем. Невзирая на эти тонкости, многие пользуются термином "троянский конь" для обозначения только не размножающейся "злокачественной" программы. Таким образом, совокупность троянских коней и совокупность вирусов не пересекаются друг с другом.
Троянский конь может быть просто "черным ходом" к какому-то приложению, о существовании которого вы даже не подозреваете. Примером "доброкачественного" троянского коня являются хорошо известные Easter egg (Пасхальные яйца), которые разработчики помещают в коммерческое программное обеспечение. Easter egg - это небольшие программы, активируемые нажатием некоторой секретной комбинации клавиш. Эти программы могут отображать на экране фамилию автора, выполнять клип, демонстрирующий бригаду разработчиков, или сыграть увертюру "1812-й год".
Вирус может существовать только внутри какой-то другой программы, которая затем автоматически инфицирует другие программы. Троянский конь - это программа, которая делает вид, будто выполняет что-то полезное, а на самом деле занимается вредительством. Троянские кони не инфицируют другие программы; они не путешествуют с одного компьютера на другой, поэтому встречаются значительно реже, чем вирусы. Троянские кони обычно инсталлируются на вашей системе как вполне "законные" программы. Если, например, вы позаимствуете у кого-нибудь "копию" Microsoft Word, то это может действительно быть Microsoft Word, но, кроме этого, он может делать и кое-что другое - например, сохранять скрытую копию каждого создаваемого вами документа. Троянского коня очень непросто обнаружить. Если вы хотите избежать загрузки троянского коня, приобретайте программы только у надежных поставщиков.
