Методы и средства защиты информации


Вирусные методы разрушения информации


Компьютерным вирусом называется программа, которая может “заражать” другие программы, включая в них свою (возможно, модифицированную) копию. Эта копия, в свою очередь, также способна к дальнейшему размножению. Следовательно, заражая программы, вирусы способны распространяться от одной программы к другой. Зараженные программы (или их копии) могут передаваться через дискеты или по сети на другие ЭВМ.

Упрощенно процесс заражения вирусом программных файлов можно представить следующим образом.

1.     Код зараженной программы изменен таким образом, чтобы вирус получал управление первым, до начала работы программы-носителя.

2.     При получении управления вирус находит на диске какую-нибудь не зараженную программу и вставляет собственную копию в начало (или в конец) этой программы. Возможны случаи, когда вирус включает себя в середину программы.

3.     Если вирус дописывается не в начало программы, то он корректирует ее код (или даже уничтожает программу) с тем, чтобы получить управление первым.

4.     После размножения (или вместо него в отдельных случаях) вирус может производить различные разрушающие действия.

5.     После этого управление обычно передается программе-носителю (как правило, она сохраняется вирусом) и она выполняет свои функции, делая незаметными для пользователя действия вируса.

Для более эффективного размножения вирус при первом получении управления становится резидентным, т.е. постоянно присутствует в оперативной памяти во время работы компьютера и размножает свои копии, как говорилось раньше, при каждом обращении пользователя к программе для ее выполнения, копирования, изменения или просмотра.

Одной из разновидностей вирусов являются вредоносные программы типа “Троянский конь”. К ним обычно относят специально созданные программы, которые, попадая в вычислительные системы (обычно под видом заведомо полезных программ), начинают скрытно выполнять несанкционированные действия.


Еще одним типом вирусов являются так называемые черви, которые воспроизводятся, копируя себя в памяти одного или нескольких компьютеров (в случае сети), независимо от наличия в ней других программ.

В качестве программ-носителей вирусов могут выступать следующие носители.

  • Выполняемые файлы, т.е. файлы с расширением COM, EXE, DLL, OVL и т.п. Так как вирус начинает работу при запуске зараженной программы, особенно опасно заражение часто используемых программ. При заражении программы многими из современных вирусов, использующих особенности формата выполняемых файлов для системы Windows, длина программы остается неизменной. Возможно также распространение вируса в программах, написанных на языке программирования высокого уровня, если они работают в среде интерпретатора этого языка, например VBA (Visual Basic for Application), который встраивается в такие популярные программы, как Microsoft Word, Microsoft Excel, Microsoft Outlook, Microsoft PowerPoint, CorelDraw, AutoCAD и др.


  • Программы операционной системы и драйверы устройств (обычно имеют расширения SYS, BIN, VXD и т.п.).




  • Программа-загрузчик операционной системы, находящаяся в первом секторе диска. Так как программа-загрузчик невелика, то вирус обычно размещает себя в дополнительных секторах на диске, которые помечает как “плохие” (bad).


  • Объектные файлы и библиотеки (расширения OBJ, LIB, TPU и т.п.). Такие файлы и библиотеки, полученные из ненадежного источника, могут содержать, помимо полезного кода, встроенный вирус. При использовании зараженных библиотек вирус автоматически будет попадать во все создаваемые на основе таких библиотек программы.


  • Вирусы часто производят какие-либо разрушительные действия. Но, в отличии от способности к размножению, разрушение не является неотъемлемой функцией вируса. Хотя воздействие вируса на систему, программы, данные и аппаратуру могут быть весьма разнообразными, однако если в такой размножающейся программе есть ошибки, не предусмотренные ее автором, то последствия могут быть непредсказуемы.


    Кроме того, надо учитывать, что само размножение имеет следствием сокращение доступного дискового пространства и увеличение времени работы программ.

    Действия вируса ведут чаще всего к отказу от выполнения той или иной функции или к выполнению функции, не предусмотренной программой. При этом создается впечатление, что происходят программные сбои или ошибки оборудования. Это впечатление усиливается способностью вируса выдавать ложное сообщение или искусственно вызывать ошибки системы. Неправильные действия системы, как правило, замечаются пользователем и могут быть им прекращены для предотвращения катастрофических последствий. Если наблюдаемые действия вызваны именно вирусом, то нужно как можно быстрее прекратить работу на компьютере и провести проверку программ и оборудования. Подозрение на появление вируса возможно в следующих случаях:

    • отключения какой-то стандартной функции системного или прикладного программного обеспечения (например, отключение перезагрузки, которая при нормальной работе должна происходить после нажатия комбинации клавиш <Ctrl+Alt+Del>);


    • проявления ошибок или сбоев при выполнении прежде стабильно работавших программ (например, переполнения буфера или деления на 0), самопроизвольной перегрузки или “зависания” операционной системы;


    • выполнения операций, не предусмотренных алгоритмом программы (например, изменение данных в файле, не санкционированное пользователем, в том числе шифрование);


    • изменения атрибутов файла (например, дата создания файла, его длина и т.п.);


    • разрушения файлов, отдельных управляющих блоков или самой файловой системы (несанкционированное форматирование жесткого диска, неожиданное исчезновение отдельных файлов и т.п.);


    • слишком частых обращений к диску;


    • появления ложных, раздражающих или отвлекающих сообщений;


    • блокирования доступа к системным ресурсам (исчерпание дискового пространства из-за многократного повторного заражения, отключение механизма передачи параметров в запускаемые программы, существенное замедление работы путем выполнения холостого цикла при каждом прерывании от системного таймера и т.п.);




    • появления на экране дисплея световых пятен, черных областей и других визуальных аномалий;


    • проявления звуковых или визуальных эффектов (например, “осыпание символов” на экране, замедление перерисовки объектов на экране, воспроизведение мелодии и т.п.);


    • имитации аппаратных отказов;


    • сообщений антивирусных средств.


    • Наиболее распространенным разрушительным действием вируса является уничтожение информации (программ и данных). К сожалению, простого метода восстановления удаленных файлов в такой операционной системе, как MS DOS, не существует, хотя принципиально возможно восстановить файл путем просмотра всего дискового пространства с помощью специальных средств.

      Труднее обнаружить не уничтожение, а изменение содержимого файла. Такие действия вируса особенно опасны, так как файлы могут быть существенно искажены, но заметить это удается слишком поздно. Например, вирус может заменить в файле данных все символы “5” на символы “7”. В этом случае искажение файла вызовет самые тяжелые последствия. Даже если такие искажения будут сразу обнаружены, потребуется значительное время, прежде чем эти данные можно будет снова нормально использовать. Вирусом могут быть вызваны изменения в программах, что порождает различные ошибки, сбои или отказы в работе программного обеспечения. Посредством изменения вирус способен разрушить аппаратные средства.

      Примером таких действий являются следующие события:

      • интенсивное использование плохо охлаждаемого элемента конструкции для вывода его из строя или возгорания в результате перегрева;


      • “прожигание” пятна на экране;


      • нарушение работы периферийного оборудования, в результате задания ему неправильных режимов функционирования;


      • низкоуровневое изменение системных областей жесткого диска, вследствие чего диск невозможно восстановить без специального оборудования.


      • Важно иметь в виду, что вирус поражает определенные объекты, вторично их (как правило) не заражая, но зараженный объект сам становится источником информации.


        Содержание раздела