Компьютерные информационные технологии

Загрумзочный вимрус -- компьютерный вирус, записывающийся в первый сектор гибкого или жёсткого диска и выполняющийся при загрузке компьютера с идущих после главной загрузочной записи (MBR), но до первого загрузочного сектора раздела.

Загрузочные вирусы, как правило, относятся к группе резидентных вирусов. Загрузочные вирусы заражают MBR или загрузочный сектор раздела жесткого диска, системной дискеты или загрузочного компакт-диска (Boot Record, BR), подменяя находящиеся в них программы начальной загрузки и загрузки операционной системы своим кодом. Исходное содержимое этих секторов при этом сохраняется в одном из свободных секторов диска или непосредственно в теле вируса.

После заражения MBR, являющегося первым сектором нулевой головки нулевого цилиндра жесткого диска, вирус получает управление сразу по завершении работы процедуры проверки оборудования (POST), программы BIOS Setup (если она была вызвана пользователем), процедур BIOS и его расширений. Получив управление, загрузочный вирус выполняет следующие действия:

Ш копирование своего кода в конец оперативной памяти компьютера, уменьшая тем самым размер ее свободной части;

Ш переопределение «на себя» нескольких прерываний BIOS, в основном связанных с обращением к дискам;

Ш загрузка в оперативную память компьютера истинной программы начальной загрузки, в функции которой входит просмотр таблицы разделов жесткого диска, определение активного раздела, загрузка и передача управления программе загрузки операционной системы активного раздела;

Ш передача управления истинной программе начальной загрузки.

Аналогичным образом работает и загрузочный вирус в BR, замещая программу загрузки операционной системы.

Обычной формой заражения компьютера загрузочным вирусом является случайная попытка загрузки с несистемной дискеты, загрузочный сектор которой заражен вирусом. Эта ситуация возникает, когда зараженная дискета остается в дисководе при выполнении перезагрузки операционной системы. После заражения главного загрузочного сектора жесткого диска вирус распространяется при первом обращении к любой незараженной дискете.

В связи с тем, что загрузочные сектора магнитных дисков имеют небольшой размер (512 байт), при их заражении сложным вирусом необходимо найти дополнительные места размещения той части его кода, которая не поместилась в зараженных объектах. Для решения этой задачи могут использоваться:

· занесение кода вируса в свободные сектора диска с пометкой их как дефектных для защиты от перезаписи;

· помещение кода вируса в редко занимаемые свободные сектора в конце одного из разделов жесткого диска, которые остаются помеченными как свободные;

· перенос части кода вируса в зарезервированные для последующего применения операционной системой сектора диска.

Изменение принятого по умолчанию в BIOS порядка использования дисковых устройств при загрузке обеспечит не только защиту от несанкционированной загрузки незащищенной операционной системы, но и устранит один из каналов заражения компьютера загрузочными вирусами (но останутся другие, связанные с распространением комбинированных вирусов).

2.Механизм заражения файловыми вирусами

Макровирус -- это разновидность компьютерных вирусов, разработанных на макроязыках, встроенных в такие прикладные пакеты ПО, как Microsoft Office. Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносятся из одного зараженного файла в другие. Большая часть таких вирусов написана для MS Word.

Вирусы в файлах документов, созданных программами пакета Microsoft Office, распространяются с помощью включенных в них макросов (процедур на языке программирования Visual Basic for Applications, VBA, или WordBasic, WB). Макровирусов относятся к группе резидентных вирусов, так как часть их кода постоянно присутствует в оперативной памяти компьютера во все время работы программы из пакета Microsoft Office.

Языки программирования макросов, особенно VBA, являются универсальными языками, поддерживающими технологию объектно-ориентированного программирования, имеющими большую библиотеку стандартных макрокоманд и позволяющими создавать достаточно сложные процедуры. Кроме того, поддерживаются автоматически выполняемые макросы, связанные с определенными событиями (например, открытием документа) или определенными действиями пользователя (например, при вызове команды сохранения документа в файле).

Язык программирования VBA вполне может быть использован авторами макровирусов для создания весьма опасного кода. Первый макровирус появился в 1995 г., а в настоящее время их насчитывается десятки тысяч. Кроме того, известно немало вирусов, заражающих как программные файлы, так и файлы документов.

Простейший макровирус в документе Microsoft Word заражает остальные файлы документов следующим образом:

§ при открытии зараженного документа управление получает содержащийся в нем макрос с кодом вируса;

§ вирус помещает в файл шаблонов normal.dot другие макросы со своим кодом (например, FileOpen, FileSaveAs и FileSave);

§ вирус устанавливает в реестре Windows и (или) в инициализационном файле Microsoft Word соответствующий флаг о произведенном заражении;

§ при последующем запуске Microsoft Word первым открываемым файлом фактически является уже зараженный файл шаблонов normal.dot, что позволяет коду вируса автоматически получать управление, а заражение других файлов документов может происходить при их сохранении с помощью стандартных командMicrosoft Word.

Особенностью макровирусов является и то, что они могут заражать файлы документов на компьютерах различных платформ, а не только IBM PC. Заражение будет возможно, если на компьютере будут установлены офисные программы, полностью совместимые с программами из пакета Microsoft Office.

Большинство известных макровирусов размещают свой код только в макросах. Однако существуют и такие разновидности вирусов в файлах документов, в которых код вируса хранится не только в макросах. Эти вирусы включают в себя небольшой по объему макрос-загрузчик основного кода вируса, который вызывает встроенный в Microsoft Office редактор макросов, создает новый макрос с кодом вируса, выполняет его, после чего для скрытия следов своего присутствия удаляет созданный макрос. Основной код вируса в этом случае присутствует в виде массива строк либо в теле макроса-загрузчика, либо в области переменных зараженного документа.

Заражение файла шаблонов normal.dot - не единственный способ распространения макровирусов на компьютере пользователя. Возможно также заражение файлов дополнительных шаблонов, размещенных в папке Startup внутри папки Microsoft Office. Еще один способ заражения файлов документов пользователя макровирусами состоит в их внедрении в файлы надстроек над Microsoft Word, размещающихся в папке Addlns папки Microsoft Office. Макровирусы, не помещающие свой код в общий шаблон normal.dot, можно отнести к группе нерезидентных вирусов. Эти макровирусы для заражения других файлов либо применяют стандартные макрокоманды для работы с файлами и папками языка VBA, либо используют список последних редактированных пользователем файлов, который содержится в подменю «Файл» программы Microsoft Word и других программ пакета Microsoft Office.

В табличном процессоре Microsoft Excel не используется файл шаблонов normal.dot, поэтому для заражения других файлов документов пользователей используются файлы из папки Startup. Особенностью макровирусов, заражающих файлы электронных таблиц Excel, является то, что для их написания может использоваться не только язык программирования VBA, но и язык макрокоманд старых версий Microsoft Excel, поддержка которого обеспечена и в более поздних версиях этого табличного процессора.

В системе управления базами данных Microsoft Access для автоматического получения управления при возникновении некоторого события (например, открытия базы данных) предназначены макросы, написанные на специальном языке сценариев, имеющем весьма ограниченные возможности. Но в этих автоматически выполняемых макросах-сценариях (например, в макросе AutoExec, автоматически получающем управление при запуске Microsoft Access) могут вызываться полноценные макросы, написанные на языке VBA. Поэтому для заражения базы данных Microsoft Access вирусу необходимо создать или заменить автоматически выполняемый макрос-сценарий и скопировать в заражаемую базу модуль с макросами, содержащими основную часть кода вируса.

Известны комбинированные вирусы, которые могут заражать и базы данных Microsoft Access, и документы Microsoft Word. Подобный вирус состоит из двух основных частей, каждая из которых заражает файлы документов своего типа («.doc» или «.mdb»). Но обе части такого вируса способны переносить свой код из одного приложения Microsoft Office в другое. При переносе кода вируса из Microsoft Access в папке Startup создается зараженный файл дополнительных шаблонов («.dob-файл), а при переносе кода вируса из Microsoft Word создается зараженный файл базы данных Access, который передается в качестве параметра запускаемому кодом вируса приложению Microsoft Access (msaccess.exe).

Макровирус Melissa заражает файлы документов и шаблонов Microsoft Word, а также рассылает свои копии в сообщениях электронной почты (при наличии такой возможности на компьютере пользователя). Данный вирус также редактирует содержимое реестра Windows и отключает антивирусную защиту Microsoft Word. Для рассылки своих копий через электронную почту вирус Melissa использует стандартные средства VBA для запуска других приложений (в частности, Microsoft Outlook) и вызова их процедур (например, для работы с адресной книгой, создания и отправки электронного сообщения). К отправленным вирусом сообщениям присоединяется зараженный файл с редактируемым в данный момент пользователем документом Microsoft Word (при этом возможна и утечка конфиденциальной информации пользователя).

4.Концепция информационной безопасности в Республике Беларусь