Операционная система Windows


 

Меню

Реклама
Похожие статьи:

Популярные записи



  • Несколько классических примеров компьютерных вирусив

    Как мы уже говорили, компьютерные вирусы подразделяются на два основных класса: файловые и бутовые. Рассмотрим некоторые из них более обстоятельно.

    <а name="_toc436884395">файлови вируси

    <а name="_toc436884396">вирус VIENNA Видень

    Другие названия вируса: 648, Restart перезагрузки, Time Bomb часовая бомба и ин.

    Один из первых наиболее примитивных вирусов. Найденный сначала в Вене, потом заполонил весь мир. При загрузке в память компьютера просматривает все COM-програми в текущем каталоге и в доступных через PATH пути поиска, что обычно установленные в AUTOEXEC. ОАО. Первобытный вариант этого вируса увеличивал длину жертвы на 648 байт. Первую найденную еще не зараженную программу или заражает, или, с вероятностью 1/8 в зависимости от системного времени, портит таким образом, что она при запуске приводит к перезагрузке системы. В последнем случае в начало жертвы записывается код Eaf0ff00f0, который на машинном языке означает теплый рестарт эквивалентное к действию клавиш Ctrl+alt+del. Если испорченная таким образом программа вызывается из AUTOEXEC. ОАО, процедура начальной загрузки операционной системы, зацикливается. Как признак заражения, вирус ставит во времени создание жертвы несуществующее число секунд 62. В дальнейшем появились много разновидностей вируса VIENNA больше 20, что отличаются от него длинами и вредными действиями.

    <а name="_toc436884397">вирус CASCADE Каскад, водоспад

    Другие названия вируса: Letterfall буквопад, Letter и ин.

    Существует два варианта вируса за длиной 1701 или 1704 байт. Заражает только COM-програми, резидентный. Влечет обсыпку символов на экране, который сопровождается характерным шуршанием. При этом блокируется возможность работы с клавиатурой. Хранит работоспособность только на машинах типа PC Xt/at.

    <а name="_toc436884398">вирус BLACK FRIDAY Черная пъятниця

    Другие названия вируса: Israeli Virus израильский вирус, Ierusalem Иерусалим, Black Hole черная дыра и ин.

    Вирус получил указанные названия, поскольку впервые был обнаружен в израильском университете и из-за своих характерных действий. Он заражает EXE - и COM-файли, увеличивая их размеры на 1813 байт, и остается резидентным в памяти ПК. При этом заражение может происходить неоднократно, что приводит к невероятному разрастанию зараженных файлов. Инфицированный данным вирусом ПК замедляет свою работу в несколько тысяч раз. При выведении информации на дисплей в нижнем левом кутье екрана появляется черный прямоугольник дыра. Наконец, если время работы приходится на пятницу 13-го числа, то зараженные файлы уничтожаются.

    Характерным признаком вируса является наличие в его теле соединений Msdos а также COMMAND. COM.

    <а name="_toc436884399">вирус DARK AVENGER Черный месник

    Другие названия вируса: Eddie, Sofia.

    Вирус получил свои названия по текстовой строке Eddie lives... somewhere in time. This program was written in the sity of Sofia C 1988-89 Dark avenger, что содержится в его теле. Вирус заражает EXE - и COM-файли, является резидентным, его длина в байтах 1800. Вирус очень опасен, поскольку на инфицированном компьютере файлы заражаются не только при выполнении, но и во время их проглядывания и копирования. Он также уничтожает COM-файли, длина которых лежит в пределах от 64k1800байт к 64k. Периодически уничтожает информацию в одном из секторов винчестера.

    <а name="_toc436884400">бутови вируси

    <а name="_toc436884401">вирус PING PONG название не нуждается в перекладу

    Другие названия вируса: Italian Bouncing итальянский прыгунок, Ball мячик.

    Вирус заражает Boot-сектор дискет и записывает свое тело в свободных иногда и в занятые кластеры, замечая их как плохие Bad. Как и все бутовые вирусы являются резидентными. На ПК, зараженному данным вирусом, время от времени появляется ромб Ascii-код4, который, перемещаясь по экрану, отражается от его границь и рамок, образованных символами псевдографики.

    <а name="_toc436884402">вирус STONED Закамъянилий

    Другое название вируса: Marijuana Марихуана.

    Внешняя проявка с вероятностью 1/8 во время загрузки системы на экран выдается текст Your PC is now Stoned, после чего работа нормально продолжается. Этот вирус записывается в абсолютный начальный сектор диска, который на винчестерах содержит PARTITIONTABLE. Иногда например, когда жесткий диск разбит на разделы с помощью известной системы ADM это приводит к грустным последствиям, а именно, к потере доступа к информации, расположенной на диске. Для визуального распознавания вируса на диске может служить пылкий призыв: LEGALISE MARIJUANA!.

    Заметим, что в настоящий момент существует около 90 штаммов разновидностей вируса Stoned, и он до сих пор остается очень распространенным.

    <а name="_toc436884403">вирус BRAIN Мозок

    Один из наиболее знаменитых вирусов. Он считается первым, что получил широкое распространение разработанный в январе 1986 года. Заражает только стандартно видформатовани дискеты емкостью 360к. На зараженных дискетах появляется метка cbrain. Занимает на диске три кряду расположенных кластеры, замечая их как плохие.

    Наконец, для любителей футбола приведем последний пример продукта, судя по всему, отечественного производства.

    <а name="_toc436884404">вирус DINAMO название не нуждается в перекладу

    Это бутовый вирус, который при некоторых обстоятельствах выдает на экран вечную мечту киевских болельщиков: Dinamo Kiev champion!!!.

    <а name="_toc436884405">

    Наиболее распространены современные компьютерные вируси

    Уже упоминавшийся антивирусный опытный центр SARC фирмы Symantec Corporation опубликовал в конце 1996 г. список 10 наиболее распространенных во всем мире компьютерных вирусов. Некоторые из них, распространенные, в частности, и в нашей стране, рассмотрим более обстоятельно.

    <а name="_toc436884406">макро-вируси Word Word Macro Viruses

    Макро-вирусы, которые действуют в среде известного и широко распространенного во всем мире текстового процессора Word for Windows версии 6 и выше фирмы Microsoft, используют макросы языка Wordbasic для заражения образуемых в этом процессоре документов и шаблонов документов MS Word documents and templates файлов из роширеннями DOC и DOT.

    Эти вирусы используют несколько свойств окружения MS Word, для автоматического выполнения инфицированного макро-кода. Сразу, когда инфицированный документ открывается и начинает работать вирус, то, как правило, вирус заражает шаблон документа пользователя NORMAL. DOT. Этот шаблон является основой большинства других документов и шаблонов и именно через него макро-вирус заражает последние. В своей работе вирусы используют стандартные макросы языка Wordbasic, такие как Autoopen, Filesaveas, Autoexec, System и другие.

    На первый взгляд кажется, что макро-вирусы не подчиняются старому правилу: Вирусы заражают только выполняемые программы заметим, что в Boot-сектори также находится некоторый код, который выполняется во время загрузки системы. Но это не так. Документы, которые готовятся с помощью текстового процессора MS Word, имеют достаточно сложную структуру, куда кроме сугубо текстовых фрагментов включаются рисунки, графика и тому подобное, а также макросы языка Wordbasic. Именно последние компоненты под управлением системы MS Word могут использоваться в качестве компоненты вирусного кода.

    Среди макро-вирусов наиболее распространенными является: ANTI-DMV или MDMADMV, Atom, Boom, Colors или Rainbow, Concept, Concept. FR. B, DMV, FORMATC при некоторых условиях форматирует диск C:, Friendly, Hot впервые появился у России, Imposter, Infezione, Irish, NOP, Nuclear при печатании зараженного файла-документа выводит сообщение: And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!, Parasite, Polite, Wazzu, Xenixos.

    <а name="_toc436884407">antiexe

    Другие названия вируса: Cmos4, D3, Newbug, New Bug.

    Это бутовый вирус, который заражает Boot-сектор гибкого и Master Boot запись жесткого дисков. Использует Stealth-технологию. Как и все бутовые вирусы, ANTIEXE является резидентным. Ищет некоторые EXE-файли и повреждает их.

    <а name="_toc436884408">anticmos

    Другие названия вируса: Lenart.

    Это бутовый вирус, который заражает Boot-сектор гибкого и Master Boot запись жесткого дисков. Портит информацию о конфигурации компьютера, которая записана в енергонезалежний памяти CMOS.

    Штаммами разновидностями указанного вируса являются вирусы ANTICMOS. A и ANTICMOS. B.

    <а name="_toc436884409">one_half

    Другие названия вируса: Free Love, One_half, One Half.3544

    One_half это файлово-бутовый, резидентный, полиморфный вирус, который использует Stealth-технологию. Заражает COM - и EXE-файли, увеличивая их длину на 3544 байт и Master Boot запись жесткого диска.

    Во время холодной перезагрузки системы из инфицированного жесткого диска One_half зашифровывает два цилиндра в конце жесткого диска. При каждой следующей перезагрузке системы количество зашифрованных цилиндров растет. Пока вирус находится в памяти, информация, которая содержится в этих цилиндрах, доступна. Когда вирус зашифрует приблизительно половину жесткого диска, он выводит на экран сообщение Dis is one half. Press any key to continue.... Шифровка информации, которая проводит One_half, значительно усложняет работу антивирусных программ, которым нужно не только вылечить компьютер, но и возобновить зашифрованную информацию.

    One_half не заражает некоторые антивирусные программы SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV.

    <а name="_toc436884410">tchechen 1912, 1914

    Эти вирусы не входят в десятку наиболее распространенных в мире, но на территории СНГ, по-видимому, стоят или не самом первом месте.

    Очень опасные резидентные полиморфные вирусы. При старте вирусы считывают 2-й сектор жесткого диска и записывают у него слово МИР и число 4, которое в дальнейшем будет счетчиком стартов инфицированных программ. Потом пытаются найти в ROM BIOS текстовые строки Megatrends, AWARD. Если этот поиск успешен, то вирусы выключают в CMOS-пам'яти опцию Virus Warning on Boot контроль записи к Boot-сектору. При достижении счетчика в 2-ом секторе значения 0 вирусы заменяют слово МИР на ненужное слово из 3 букв и записывают в MBR жесткого диска троянский код. Этот код при загрузке системы самостоятельно отдает управление активному Boot-сектору жесткого диска, но приблизительно через месяц после записи данного кода в MBR уничтожает содержание всего первого жесткого диска. После чего планировалось выведение на экран такого текста Tchechen.1914 содержит ошибку в данном выведении: POLITICAL Pro$titute$ OF THE WORLD, UNITE! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN' WAR BY TV YOUЪRE GLAD -your ASS IS SO FAR FROM. WAIT, YOUЪLL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT!!! The Tchechen, C RUSSIAN Bear,1995.

    Tchechen.1914 неработоспособный на процессоре Pentium.