другом участке диска, например в конце корневого каталога диска
или в кластере в области данных диска ( обычно такой кластер
объявляется дефектным, чтобы программа вируса не была затерта при
записи данных на диск ).
3. Драйверы устройств:
Драйверы устройств, т.е. файлы, указываемые в предложении DEVICE
файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу
при каждом обращении к соответствующему устройству. Вирусы, зара-
жающие драйверы устройств, очень мало распространены, поскольку
драйверы редко переписывают с одного компьютера на другой. То же
самое относится и к системным файлам DOS ( MSDOS.SYS и IO.SYS ) -
их заражение также теоретически возможно, но для распространения
вирусов малоэффективно.
4. В последнее время с увеличение числа пользователей появились
INTERNET-вирусы. Вот некоторые из разновиднстей этих вирусов:
4.1 Вложенные файлы.
Рассмотрим типичную ситуацию: вы получили электронное письмо, во
вложении к которому находится документ Microsoft WORD. Конечно, вы
заходите поскорее познакомится с содержанием файла, благо при ис-
пользовании большинства современных почтовых программ для этого
достаточно щелкнуть мышкой на имени этого файла. И ЭТО - ОШИБКА!.
Если в файле содержится макрокомандый вирус ( а вирусы этого типа,
заражающие документы Microsoft WORD, Microsoft EXCEL и ряд других
популярных систем докуметооборота, получили в последнее время ог-
ромное распространение), он немедленно заразит вашу систему. Так
что же делать с вложенным документом?. Потратить несколько лишних
секунд: сохранить его на диск, проверить антивирусной программой
последней версии и только потом, если вирусов нет, открывать. Есть
другие решения. Например, имеются антивирусные программы, осущес-
твляющие автоматическую проверку приходящей электронной почты.
Если вы используете программу-сторож, то при открытии зараженного
файла обязательно получите предупреждение ( точнее, вам просто не
дадут открыть зараженный файл). Ведь сторожу совершенно безразлич-
но, напрямую вы открываете документ или "из-под" почтовой програм-
мы.
4.2 Троянские программы.
Известные троянские программы, распространяющиеся через Интернет,
по существу, представляют собой утилиты для удаленного администри-
рования компьютера. Проще говоря, посредством такой программы
злоумышленник может получить доступ к вашему компьютеру и выпол-
нить на нем различные операции (практически любые) без вашего ве-
дома и участия.
Характерным представителем описанного типа является программ BASK
ORIFICE (BO). BO является системой удаленного администрирования,
позволяющей пользователю контролировать компьютеры при помощи
обычной консули или графической оболочки. "В локальной сети или
через Интернет ВО предоставляет пользователю больше возможности на
удаленном WINDOWS-компьютере, чем имеет сам пользователь этого
компьютера", - это текст из "рекламного" объявления на одной их
хакерских web-страниц. Разумеется, возможность удаленного админис-
трирования вашего компьютера представляет серьезную опасность, но
не такую большую как кажется на первый взгляд. Обычные пользовате-
ли проводят в Сети не так много времени (качество телефонных ли-
ний этому способствует), да и что такого "интересного" с точки
зрения хакера, можно сделать на вашем компьютере? Оказывается,
можно, только администрировать ничего не надо. Существенный инте-
рес для хакера представляют пароли, которые вы используете для ра-
боты с сервером продайвера. Заполучить пароль, хакер может запрос-
то "просадить" все ваши денежки. К счастью, троянцев, умеющих вы-
полнять указанные функции, довольно мало и все они успешно детек-
тируются антивирусными программами.
4.3 HTML-вирусы.
Вирусы данного типа встречаются редко, так что информация о них
представляет скорее "академический" интерес, нежели практический.
Суть такова: на самой языке HTML, который используется для размет-
ки гипертекстовых документов, никакие вирусы, конечно, написать
нельзя. Но для создания динамических страниц, организации взаимо-
действия с пользователем и прочих действий используются програм-
мное вставки (скрипты) в HTML-документы. Известные HTML-вирусы ис-
пользуют скрипты, написанные на языке VISUAL BASIC. С их помощью
находя HTM и HTML-файлы на локальной машине и записываются в них.
Иногда такие вирусы как-нибудь проявляют себя (например, выводят
сообщения). Малому распространению вирусов данного типа (равно как
и малому их числу) способствует то, что при стандартных настрой-
ках браузера выполнение "опасных"(к таковым относятся и те, в ко-
торых происходит обращение к файлам локального компьютора) скрип-
тов запрещено. Обычные же, "безопасности", скрипты не могут произ-
водить описанные манипуляции.
4.4 Java-вирусы.
В настоящее время известны два вируса, написанные на языке JAVA.
Опасности они практически не представляют. Кратко поясним, в чем
суть. исполняемые модули программ, написанных на JAVA (CLASS-фай-
лы), бывают двух типов: приложения и апплеты. Приложения выпол-
няются под управлением интерпреатора и являются почти обычными
программами (почти, ибо имеют все же некоторые ограничения, напри-
мер, в области работы с памятью). Апплеты, в отличие от приложе-
ний, могут выполняться под управлением броузеров, но на них накла-
дываются значительно более серьезные ограничения для обеспечения
безопасности: апплеты в частности, не имеют почти никакого досту-
па к файловой системе компьютера (в отличии от случая со скритами,
отключить данное ограничение в браузере невозможно). таким обра-
зом, JAVA-вирусы могут быть оформлены только как приложения и для
подавляющего большинства пользователей опасности не предоставляют.
Как правило, каждая конкретная разновидность вируса может зара-
жать только один или два типа файлов. Чаще всего встречаются виру-
сы, заражающие исполнимые файлы. Некоторые вирусы заражают
только EXE файлы, некоторые - только COM , а большинство - и те и
другие. На втором месте по распространенности загрузочные вирусы.
Некоторые вирусы заражают и файлы, и загрузочные области дисков.
Вирусы, заражающие драйверы устройств, встречаются крайне редко;
обычно такие вирусы умеют заражать и исполнимые файлы.
Вирусы, меняющие файловую систему.
В последнее время получили распространение вирусы нового типа -
вирусы, меняющие файловую систему на диске. Эти вирусы обычно на-
зываются DIR. Такие вирусы прячут свое тело в некоторый участок
диска ( обычно - в последний кластер диска ) и помечают его в таб-
лице размещения файлов (FAT) как конец файла. Для всех COM- и
EXE-файлов содержащиеся в соответствующих элементах каталога ука-
затели на первый участок файла заменяются ссылкой на участок дис-
ка, содержащий вирус, а правильный указатель в закодированном ви-
де прячется в неиспользуемой части элемента каталога. Поэтому при
запуске любой программы в память загружается вирус, после чего он
остается в памяти резидентно, подключается к программам DOS для
обработки файлов на диске и при всех обращениях к элементам ката-
лога выдает правильные ссылки.
Таким образом, при работающем вирусе файловая система на диске
кажется совершенно нормальной. При поверхностном просмотре зара-
женного диска на "чистом" компьютере также ничего странного не
наблюдается. Разве лишь при попытке прочесть или скопировать с за-
раженной дискеты программные файлы из них будут прочтены или ско-
пированы только 512 или 1024 байта, даже если файл гораздо длин-
нее. А при запуске любой исполнимой программы с зараженного таким
вирусом диска этот диск, как по волшебству, начинает казаться ис-
правным (неудивительно, ведь компьютер при этом становится зара-
женным).
При анализе на "чистом" компьютере с помощью программ ChkDsk или
NDD файловая система зараженного DIR-вирусом диска кажется совер-
шенно испорченной. Так, программа ChkDsk выдает кучу сообщений о
пересечениях файлов ( "... cross linked on cluster..." ) и о це-
почках потерянных кластеров ("... lost clusters found in...
chains"). Не следует исправлять эти ошибки программами ChkDsk или
NDD - при этом диск окажется совершенно испорченным. Для исправле-
ния зараженных этими вирусами дисков надо использовать только спе-
циальные антивирусные программы ( например, последние версии
Aidstest).
"Невидимые" и самомодифицирующиеся вирусы.
Чтобы предотвратить свое обнаружение, некоторые вирусы применяют
довольно хитрые приемы маскировки. Я расскажу о двух из них: "не-
видимых" (Stealth) и самомодифицирующихся вирусах:
"Невидимые" вирусы.
Многие резидентные вирусы (и файловые, и загрузочные) предотвра-
щают свое обнаружение тем, что перехватывают обращения DOS (и тем
самым прикладных программ) к зараженным файлам и областям диска и
выдают их в исходном виде. Разумеется, этот эффект наблюдается
только на зараженном компьютере - на "чистом" компьютере измене-
ния в загрузочных областях диска можно легко обнаружить.
Замечу, что некоторые антивирусные программы могут все же обнару-
живать "невидимые" вирусы даже на зараженном компьютере. Такие
программы для этого выполняют чтение диска, не пользуясь услугами
DOS (например, ADinf ).
Некоторые антивирусные программы (например, AVSP) используют для
борьбы с вирусами свойство "невидимых" файловых вирусов "вылечи-
вать" зараженные файлы. Они считывают (при работающем вирусе) ин-
формацию из зараженных файлов и записывают их на диск в файл или