Вопрос
Как даются названия вирусам?
Т.е. создал злостный программер вирус, запустил в сеть… А кто его назвал? Сам программер (если да, то где это имя вшито в вирус?) или программеры антивирусной проги (если да, то по каким принципам)?
И еще, как вирусы себя распространяют?
Просто вшивают свой код в начало кода проги, или еще как-то? Как они заражают работающую прогу, ведь например рабочий документ (с которым сейчас работает система) нельзя изменить/удалить?
Ответ
Диск может быть заражен через
1. MBR (Master Boot Record — только для HDD) — эта штука содержит некий код, который выполняется при загрузке компа. Содержимое MBR хорошо известно дляя различных операционных систем и любая сволоч может разработать программу, которая его заменяет на стартер вируса. Остается только разместить где-нибудь на диске (а пустого пространства там хватает) оригинальный MBR, тело вируса, обеспечить исполнение оригинального MBR, запрятать следы наличия вируса от мониторинговых программ. Ловится только с загрузочной дискетки, если ловится, хотя некоторые следы могут быть замечены, если вирус не очень тщательно их маскирует. При уничтожении вируса очень важно найти оригинальный MBR или содержимое винча будет недоступно.
2. Boot Record. Все то же самое, только присутствует и на дискетках. Тело вируса прячется обычно в BAD-блоках, которые только помечены как BAD. Любой BAD-кластер — возможное гнездилище вируса.
3. Файл command.com. Его содержимое хорошо изучено и места подключения вируса хорошо известны. Тело вируса либо подсоединяется к самому файлу. Признак заражения — изменение размера файла. (Проверяйте новые файлы перед их запуском на вирусы)
4. Любой исполнимый файл (.com, .exe, .dll, и еще чертова уйма прочих). Заголовок файла имеет стандартный формат и вирусу достаточно изменить адрес точки запуска программы. Тело вируса дописывается в файл, что изменяет его размер. (Проверяйте новые файлы перед их запуском на вирусы). Эти вирусы являются зависимыми от процесора и операционной системы, на которых работают. 1. 2. менее прихотливы в этом смысле. Заражение производится непосредственно запуском зараженного файла. Вирус находит ресурс, который еще не заражен и цепляется к нему.
5. Документ Word и т.д. В документ добавляются макросы написанные на Visual Basic. Мелкомягккие пытаются создать продукт, обладающий огромными возможностями и не могут контролировать все последствия(оставляют дыры). При открытие документа запускается макрос вируса и копирует себя в файл общего шаблона normal.dot. Word всегда его грузит и вы наслаждаетесь вирусом. Вирус работает только в Word'е и легко ловится антивирусом, если уже известен, или даже самостоятельно (просто прибить макросы вируса, но их знать надо). Такие вирусы есть (или могут быть)для любой скриптовой машины, которая позволяет сделать достаточную гадость на компьютере. Наилучшей защитой тут являются песочницы, т. е. такой скрипт работает только с какими-то ресурсами, которые полностью уничтожаются или восстанавливаются в первоначальное состояние после окончания работы скрипта и не влияют на работу системы в целом.
6. В форточках есть огромное количество возможностей запустить вирус. Начиная от дописки к какому-нибудь системному файлу и кончая добавлением нового системного файла. Файлов этих много и еще один фиг заметишь, как и изменение существующего.
7. Виндоуз содержит очень много особенностей, которые позволяют выдать исполняемый файл за ну, например, текстовый. При попытке открыть его происходит заражение. Этому способствует то, что почти всегда расширения файлов не показываются и если в качестве расширений использовать определенные данные, то тип файла определяется по ним, а эти данные ни где не отображаются.
8. Погоня за гибкостью и интегрированностью с Internet Explorer'ом добавляет опасных дыр в систему. Открытие интернет страницы может загрузить кусок кода, который может делать на комьютере все, что угодно. Антивирусные мониторы и фаервол делают брожение по интернету почти безопасным. Кроме того, ни кто вас не заставляет бродить там, где вам бродить не безопасно :-)
9. Outlook и Outlook Express открывают письмо автоматически и без спросу получателя. Если письмо создать с вложенным HTML, который запустит некий зловредный кусок кода, то вы опять будете заражены. Тут опять-таки нужен монитор входящей почты. А еще лучше — отказаться от использования Outlook-ов и перейти на The Bat! с установленным антивирусным плагином.
10. Черви могут передаваться и по локальной сети. Я не знаю конкретных механизмов, но мой друг недавно чистил в своей сети один такой. Только вычистишь одну машину — три другие уже подхватили эту заразу. Тут надо просто останавливать всю сеть. и чистить все машины по очереди.
Из конференции Expert_FAQ
Copyright 
2000-2004 Сообщество Чайников
Контактная информация