Наша взаимовыгодная связь https://banwar.org/
Поздеев Василь
Макро-віруси і Скрипт-віруси
Макро-віруси (macro viruses) є програмами на мовах (макромови), вбудованих в деякі системи обробки даних (текстові редактори, електронні таблиці і т.д.), а також на скрипт-мовах, таких як VBA (Visual Basic for Applications) , JS (Java Script). Для свого розмноження такі віруси використовують можливості макромов і при їхній допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інші. Найбільшого поширення набули макро-віруси для Microsoft Office. Існують також макро-віруси, що заражають документи Ami Pro і бази даних. Для існування вірусів у конкретній системі (редакторі) необхідна наявність вбудованого в систему макромови з можливостями:
1. прив'язки програми на макромові до конкретного файлу;
2. копіювання макропрограми з одного файлу в інший;
3. можливість отримання управління макропрограми без втручання користувача (автоматичні або стандартні макроси).
Даним умовам задовольняють редактори Microsoft Word, Office і AmiPro, а також електронна таблиця Excel і база даних Microsoft Access. Ці системи містять в собі макромови: Word - Word Basic; Excel, Access - VBA. При цьому:
1. макропрограми прив'язані до конкретного файлу (AmiPro) або знаходяться всередині файлу (Word, Excel, Access);
2. макромова дозволяє копіювати файли (AmiPro) або переміщати макропрограми в службові файли системи і редаговані файли (Word, Excel);
3. при роботі з файлом за певних умов (відкриття, закриття і т.д.) викликаються макропрограми (якщо такі є), які визначені спеціальним чином (AmiPro) або мають стандартні імена (Word, Excel).
Дана особливість макромов призначена для автоматичної обробки даних у великих організаціях або в глобальних мережах і дозволяє організувати так званий "автоматизований документообіг". З іншого боку, можливості макромов таких систем дозволяють вірусу переносити свій код в інші файли, і таким чином заражати їх. Віруси отримують управління при відкритті або закритті зараженого файлу, перехоплюють стандартні файлові функції і потім заражають файли, до яких яким-небудь чином йде звернення. За аналогією з MS-DOS можна сказати, що більшість макро-вірусів є резидентними: вони активні не тільки в момент відкриття / закриття файлу, але до тих пір, поки активний сам редактор.
Word / Excel / Office-віруси: загальні відомості
Фізичне розташування вірусу всередині файлу залежить від його формату, який в разі продуктів Microsoft надзвичайно складний - кожний файл-документ Word, таблиця Excel являють собою послідовність блоків даних (кожний з яких також має свій формат), об'єднаних між собою за допомогою великої кількості службових даних . Цей формат зветься OLE2 - Object Linking and Embedding.
Структура файлів Word, Excel і Office (OLE2) нагадує ускладнену файлову систему дисків: "кореневої каталог" файлу-документа або таблиці вказує на основні підкаталоги різних блоків даних, кілька таблиць FAT містять інформацію про розташування блоків даних в документі і т.д. Більш того, система Office Binder, що підтримує стандарти Word і Excel дозволяє створювати файли, одночасно містять один або кілька документів в форматі Word і одну або кілька таблиць в форматі Excel. При цьому Word-віруси здатні вражати Word-документи, а Excel-віруси - Excel-таблиці, і все це можливо в межах одного дискового файлу. Те ж справедливо і для Office. Більшість відомих вірусів для Word несумісні з національними (в тому числі з російської) версіями Word, або навпаки - розраховані тільки на локалізовані версії Word і не працюють під англійською версією. Однак вірус в документі все одно залишається активним і може заражати інші комп'ютери зі встановленою на них відповідної версією Word. Віруси для Word можуть заражати комп'ютери будь-якого класу. Зараження можливе в тому випадку, якщо на даному комп'ютері встановлено текстовий редактор, повністю сумісний з Microsoft Word версії 6 або 7 або вище (наприклад, MS Word for Macintosh).
Те ж справедливо для Excel і Office. Слід також зазначити, що складність форматів документів Word, таблиць Excel і особливо Office має таку особливість: в файлах-документах і таблицях присутні "зайві" блоки даних, тобто дані, які ніяк не пов'язані з редагований текст або таблицями, або є випадково опинилися там копіями інших даних файлу. Причиною виникнення таких блоків даних є кластерна організація даних в OLE2-документах і таблицях - навіть якщо введений всього один символ тексту, то під нього виділяється один або навіть кілька кластерів даних. При збереженні документів і таблиць в кластерах, не заповнених "корисними" даними, залишається "сміття", який потрапляє в файл разом з іншими даними. Кількість "сміття" в файлах може бути зменшено скасуванням пункту настройки Word / Excel "Allow Fast Save", однак це лише зменшує загальну кількість "сміття", але не прибирає його повністю. Наслідком цього є той факт, що при редагуванні документа його розмір змінюється незалежно від вироблених з ним дій - при додаванні нового тексту розмір файлу може зменшитися, а при видаленні частини тексту - збільшитися.
Те ж і з макро-вірусами: при зараженні файлу його розмір може зменшитися, збільшитися або залишитися незмінним. Слід також відзначити той факт, що деякі версії OLE2.DLL містять невеликий недолік, в результаті якого при роботі з документами Word, Excel і особливо Office в блоки "сміття" можуть потрапити випадкові дані з диска, включаючи конфіденційні (видалені файли, каталоги і т . Д.). У ці блоки можуть потрапити також команди вірусу. В результаті після лікування заражених документів активний код вірусу видаляється з файлу, але в блоках "сміття" можуть залишитися частина його команд. Такі сліди присутності вірусу іноді видимі за допомогою текстових редакторів і навіть можуть викликати реакцію деяких антивірусних програм. Однак ці залишки вірусу абсолютно нешкідливі: Word і Excel не звертають на них ніякої уваги.
Word / Excel / Office-віруси: принципи роботи
При роботі з документом Word версій 6 і 7 або вище виконує різні дії: відкриває документ, зберігає, друкує, закриває і т.д. При цьому Word шукає і виконує відповідні "вбудовані макроси" - при збереженні файлу по команді File / Save викликається макрос FileSave, при збереженні по команді File / SaveAs - FileSaveAs, при друку документів - FilePrint і т.д., якщо, звичайно, такі макроси визначені. Існує також кілька "авто-макросів", автоматично викликаються при різних умовах. Наприклад, при відкритті документа Word перевіряє його на наявність макросу AutoOpen. Якщо такий макрос присутній, то Word виконує його. При закритті документа Word виконує макрос AutoClose, при запуску Word викликається макрос AutoExec, при завершенні роботи - AutoExit, при створенні нового документа - AutoNew.
Схожі механізми (але з іншими іменами макросів і функцій) використовуються і в Excel / Office, в яких роль авто- і вбудованих макросів виконують авто- і вбудовані функції, присутні в будь-якому макросе або макросах, причому в одному макросі можуть бути присутні кілька вбудованих і авто-функцій. Автоматично (тобто без участі користувача) виконуються також макроси / функції, асоційовані з будь-якої кнопкою або моментом часу або датою, тобто Word / Excel викликають макрос / функцію при натисканні на яку-небудь конкретну клавішу (або комбінацію клавіш) або при досягненні якого-небудь моменту часу. У Office можливості з перехоплення подій дещо розширені, але принцип використовується той же.
Макро-віруси, що вражають файли Word, Excel або Office як правило користуються одним з трьох перерахованих вище прийомів - у вірусі або присутній авто-макрос (авто-функція), або перевизначений один із стандартних системних макросів (асоційований з яким-небудь пунктом меню) , або макрос вірусу викликається автоматично при натисканні на будь-яку клавішу або комбінацію клавіш. Існують також напів-віруси, які не використовують усіх цих прийомів і розмножуються, тільки коли користувач самостійно запускає їх на виконання. Таким чином, якщо документ заражений, при відкритті документа Word викликає заражений автоматичний макрос AutoOpen (або AutoClose при закритті документа) і, таким чином, запускає код вірусу, якщо це не заборонено системної змінної DisableAutoMacros. Якщо вірус містить макроси зі стандартними іменами, вони отримують управління при виклику відповідного пункту меню (File / Open, File / Close, File / SaveAs). Якщо ж перевизначений будь-якої символ клавіатури, то вірус активізується тільки після натискання на відповідну кнопку.
Більшість макро-вірусів містять всі свої функції у вигляді стандартних макросів Word / Excel / Office. Існують, однак, віруси, що використовують прийоми приховування свого коду і зберігають свій код в вигляді не макросів. Відомо три подібних прийому, всі вони використовують можливість макросів створювати, редагувати і виконувати інші макроси. Як правило, подібні віруси мають невеликий (іноді - поліморфний) макрос-завантажувач вірусу, який викликає вбудований редактор макросів, створює новий макрос, заповнює його основним кодом вірусу, виконує і потім, як правило, знищує (щоб приховати сліди присутності вірусу). Основний код таких вірусів присутній або в самому макросі вірусу у вигляді текстових рядків (іноді - зашифрованих), або зберігається в області змінних документа або в області Auto-text.
Алгоритм роботи Word макро-вірусів
Більшість відомих Word-вірусів при запуску переносять свій код (макроси) в область глобальних макросів документа ( "загальні" макроси), для цього вони використовують команди копіювання макросів MacroCopy, Organizer.Copy або за допомогою редактора макросів - вірус викликає його, створює новий макрос , вставляє в нього свій код, який і зберігає в документі. При виході з Word глобальні макроси (включаючи макроси вірусу) автоматично записуються в DOT-файл глобальних макросів (зазвичай таким файлом є NORMAL.DOT). Таким чином, при наступному запуску редактора MS-Word вірус активізується в той момент, коли WinWord вантажить глобальні макроси, тобто відразу. Потім вірус перевизначає (або вже містить в собі) один або кілька стандартних макросів (наприклад, FileOpen, FileSave, FileSaveAs, FilePrint) і перехоплює, таким чином, команди роботи з файлами. При виклику цих команд вірус заражає файл, до якого йде звернення. Для цього вірус конвертує файл в формат Template (що унеможливлює подальші зміни формату файлу, тобто конвертація в якийсь або не Template формат) і записує в файл свої макроси, включаючи Auto-макрос. Таким чином, якщо вірус перехоплює макрос FileSaveAs, то заражається кожен DOC-файл, що зберігається через перехоплений вірусом макрос. Якщо перехоплений макрос FileOpen, то вірус записується в файл при його зчитуванні з диска.
Другий спосіб впровадження вірусу в систему використовується значно рідше - він базується на так званих "Add-in" файлах, тобто файлах, які є службовими доповненнями до Word. В цьому випадку NORMAL.DOT не змінюється, а Word при запуску завантажує макроси вірусу з файлу (або файлів), визначеного як "Add-in". Цей спосіб практично повністю повторює зараження глобальних макросів за тим винятком, що макроси вірусу зберігаються не в NORMAL.DOT, а в будь-якому іншому файлі. Можливо також впровадження вірусу в файли, розташовані в каталозі STARTUP, - Word автоматично завантажує файли-темплейти з цього каталогу, але такі віруси поки не зустрічалися. Розглянуті вище способи впровадження в систему представляють собою деякий аналог резидентних DOS-вірусів. Аналогом нерезидентності є макро-віруси, які не переносять свій код в область системних макросів - для зараження інших файлів-документів вони або шукають їх за допомогою вбудованих в Word функцій роботи з файлами, або звертаються до списку останніх редагованих файлів (Recently used file list) . Потім такі віруси відкривають документ, заражають його і закривають.
Алгоритм роботи Excel макро-вірусів
Методи розмноження Excel-вірусів в цілому аналогічні методам Word-вірусів. Відмінності полягають в командах копіювання макросів (наприклад, Sheets.Copy) і у відсутності NORMAL.DOT - його функцію (в вірусному сенсі) виконують файли в STARTUP-каталозі Excel. Слід зазначити, що існує два можливих варіанти розташування коду макро- вірусів в таблицях Excel. Переважна більшість таких вірусів записують свій код у форматі VBA (Visual Basic for Applications), проте існують віруси, що зберігають свій код в старому форматі Excel версії 4.0. Такі віруси по своїй суті нічим не відрізняються від VBA-вірусів, за винятком відмінностей у форматі розташування кодів вірусу в таблицях Excel. Незважаючи на те, що в нових версіях Excel (починаючи з версії 5) використовуються більш досконалі технології, можливість виконання макросів старих версій Excel була залишена для підтримки сумісності. З цієї причини все макроси, написані в форматі Excel 4, цілком працездатні в усіх наступних версіях, незважаючи на те, що Microsoft не рекомендує використовувати їх і не включає необхідну документацію в комплект поставки Excel.
Алгоритм роботи вірусів для Access
Оскільки Access є частиною пакета Office Pro, то віруси для Access є такі ж макроси на мові Visual Basic, як і інші віруси, що заражають додатки Office. Однак в даному випадку замість авто-макросів в системі присутні автоматичні скрипти, які викликаються системою при різних подіях (наприклад, Autoexec). Дані скрипти потім можуть викликати різні макропрограми. Таким чином, при зараженні баз даних Access вірусу необхідно замінити будь-якої авто-скрипт і скопіювати в заражають базу свої макроси. Зараження скриптів без додаткових макросів не представляється можливим, оскільки мова скриптів досить примітивний і не містить необхідних для цього функцій.
Слід зазначити, що в термінах Access скрипти називаються макросами (macro), а макроси - модулями (module), проте в подальшому буде використовуватися уніфікована термінологія - скрипти і макроси. Лікування баз даних Access є більш складним завданням, ніж видалення інших макро-вірусів, оскільки в разі Access повинні забезпечити надійне зберігання не тільки вірусні макроси, а й авто-скрипти. А так так значна частина роботи Access покладена саме на скрипти і макроси, то некоректне видалення або деактивація якого-небудь елементу може призвести до неможливості операцій з базою даних. Те ж справедливо і для вірусів - некоректне заміщення авто-скриптів може привести до втрати даних, що зберігаються в базі.
AmiPro-віруси
При роботі з будь-яким документом редактор AmiPro створює два файли - безпосередньо текст документа (з розширенням імені SAM) і додатковий файл, який містить макроси документа і, можливо, іншу інформацію (розширення імені - SMM). Формат обох файлів досить простий - вони являють собою звичайний текстовий файл, в якому як редагований текст, так і команди управління присутні у вигляді звичайних текстових рядків. Документу можна поставити у відповідність будь-якої макрос з SMM-файлу (команда AssignMacroToFile). Цей макрос є аналогом AutoOpen і AutoClose в MS Word і викликається редактором AmiPro при відкритті або закритті файлу. Мабуть, в AmiPro відсутня можливість поміщати макроси в "загальну" область, тому віруси для AmiPro можуть заразити систему тільки при відкритті зараженого файлу, але не при завантаженні системи, як це відбувається з MS-Word після зараження файлу NORMAL.DOT. Як і MS Word, AmiPro дозволяє перевизначати системні макроси (наприклад, SaveAs, Save) командою ChangeMenuAction. При виклику перевизначених функцій (команд меню) управління отримують заражені макроси, тобто код вірусу.
стелс віруси
Представники цього класу використовують різні засоби для маскування своєї присутності в системі. Зазвичай це досягається шляхом перехоплення ряду системних функцій, відповідальних за роботу з файлами. "Стелс" - технології унеможливлюють виявлення вірусу без спеціального інструментарію. Вірус маскує і збільшення довжини ураженого об'єкта (файлу), і своє тіло в ньому, "підставляючи" замість себе "здорову" частина файлу.
В ході перевірки комп'ютера антивірусні програми зчитують дані - файли і системні області - з жорстких дисків і дискет, користуючись засобами операційної системи і BIOS. Стелс - віруси, або віруси-невидимки, після запуску залишають в оперативній пам'яті комп'ютера спеціальні модулі, що перехоплюють звернення програм до дискової підсистеми комп'ютера. Якщо такий модуль виявляє, що програма користувача намагається прочитати заражений файл або системну область диска, він на ходу підміняє читаються дані і таким чином залишається непоміченим, обманюючи антивірусні програми.
Також стелс - віруси можуть ховатися у вигляді потоків в системних і інших процесах, що також значно ускладнює їх виявлення. Такі стелс віруси неможливо навіть побачити в списку всіх запущених, в даний момент, в системі процесів.
Є простий способ відключіті Механізм маскування Стелс - вірусів. Досить завантажити комп'ютер з незараженной системної дискети і перевірити комп'ютер антивірусною програмою, що не запускаючи програм з диска комп'ютера (вони можуть виявитися зараженими). У цьому випадку вірус не зможе отримати управління економіки й встановити оперативної пам'яті резидентний модуль, який реалізує стелс - алгоритм, антивірус прочитає інформацію, дійсно записану на диску, і легко виявить "бацилу".
Більшість антивірусних програм протидіє спробам стелс - вірусів залишитися непоміченими, але, щоб не залишити їм жодного шансу, перед перевіркою комп'ютера антивірусною програмою комп'ютер слід завантажувати з дискети, на яку слід записати і антивірусні програми. Багато антивіруси настільки успішно протистоять стелс - вірусів, що виявляють їх при спробі замаскуватися. Такі програми зчитують перевіряються файли програм з диска, користуючись для цього кількома різними методами - наприклад, за допомогою операційної системи і через BIOS: якщо виявляються розбіжності, то робиться висновок, що в оперативній пам'яті, ймовірно, знаходиться стелс - вірус.
поліморфні віруси
До поліморфним вірусів належать ті з них, детектування яких неможливо (або вкрай важко) здійснити за допомогою так званих вірусних сигнатур - ділянок постійного коду, специфічних для конкретного вірусу. Досягається це двома основними способами - шифруванням основного коду вірусу з непостійним ключем і випадковим набором команд расшифровщика або зміною самого виконуваного коду вірусу. Існують також інші, досить екзотичні приклади поліморфізму - DOS-вірус "Bomber", наприклад, незашифрованому, проте послідовність команд, яка передає управління коду вірусу, є повністю полиморфной.
Поліморфізм різного ступеня складності зустрічається у вірусах всіх типів - від завантажувальних і файлових DOS-вірусів до Windows-вірусів і навіть макро-вірусів.
Більшість питань пов'язано з терміном "поліморфний вірус". Цей вид комп'ютерних вірусів представляється на сьогоднішній день найбільш небезпечним.
Поліморфні віруси - віруси, що модифікують свій код в заражених програмах таким чином, що два примірники одного і того ж вірусу можуть не збігатися ні в одному бите.
Такі віруси не тільки шифрують свій код, використовуючи різні шляхи шифрування, але і містять код генерації шифрувальника і розшифровує, що відрізняє їх від звичайних шифрувальних вірусів, що можуть шифрувати ділянки свого коду, але мають при цьому постійний код шифрувальника і розшифровує.
Поліморфні віруси - це віруси з самомодіфіцірующіміся розшифровщик. Мета такого шифрування: маючи заражений і оригінальний файли ви все одно не зможете проаналізувати його код за допомогою звичайного дизассемблирования. Цей код зашифрований і є безглуздим набором команд. Розшифровка виробляється самим вірусом вже безпосередньо під час виконання. При цьому можливі варіанти: він може розшифрувати себе всього відразу, а може виконати таку розшифровку "по ходу справи", може знову шифрувати вже відпрацьовані ділянки. Все це робиться заради труднощі аналізу коду вірусу.
поліморфні розшифровувача
Поліморфні віруси використовують складні алгоритми для генерації коду своїх розшифровувачів: інструкції (або їх еквіваленти) переставляються місцями від зараження до зараження, розбавляються нічого не міняють командами типу NOP, STI, CLI, STC, CLC, DEC невикористовуваний регістр, XCHG невикористовувані регістри і т. д.
Повноцінні ж поліморфні віруси використовують ще більш складні алгоритми, в результаті роботи яких в розшифровувача вірусу можуть зустрітися операції SUB, ADD, XOR, ROR, ROL і інші в довільній кількості і порядку. Завантаження і зміна ключів та інших параметрів шифровки проводиться також довільним набором операцій, в якому можуть зустрітися практично всі інструкції процесора Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP. ..) з усіма можливими режимами адресації. З'являються також поліморфік-віруси, розшифровщик яких використовує інструкції аж до Intel386, а влітку 1997 року виявлено 32-бітний поліморфік-вірус, що заражає EXE-файли Windows95. Зараз вже є поліморфні віруси, які також можуть використовувати різні команди сучасних процесорів.
В результаті на початку файлу, зараженого подібним вірусом, йде набір безглуздих на перший погляд інструкцій, причому деякі комбінації, які цілком працездатні, які не беруться фірмовими дизассемблера (наприклад, поєднання CS: CS: або CS: NOP). І серед цієї "каші" з команд і даних зрідка прослизають MOV, XOR, LOOP, JMP - інструкції, які дійсно є "робочими".
рівні поліморфізму
Існує розподіл поліморфних вірусів на рівні в залежності від складності коду, який зустрічається в розшифровщик цих вірусів. Такий поділ вперше запропонував д-р. Алан Соломон, через деякий час Весселін Бончев розширив його.
Рівень 1: віруси, які мають певний набір розшифровувачів з постійним кодом і при зараженні вибирають один з них. Такі віруси є "підлозі - поліморфними" і носять також назву "олігоморфние" (oligomorphic). Приклади: "Cheeba", "Slovakia", "Whale".
Рівень 2: розшифровщик вірусу містить одну або кілька постійних інструкцій, основна ж його частина непостійна.
Рівень 3: розшифровщик містить невикористовувані інструкції - "сміття" типу NOP, CLI, STI і т.д.
Рівень 4: в розшифровувача використовуються взаємозамінні інструкції і зміна порядку проходження (перемішування) інструкцій. Алгоритм розшифрування при цьому не змінюється.
Рівень 5: використовуються всі перераховані вище прийоми, алгоритм розшифрування непостійний, можливе повторне шифрування коду вірусу і навіть часткове шифрування самого коду расшифровщика.
Рівень 6: permutating-віруси. Зміні підлягає основний код вірусу - він ділиться на блоки, які при зараженні переставляються в довільному порядку. Вірус при цьому залишається працездатним. Подібні віруси можуть бути незашіфрованни.
Наведене вище поділ не вільно від недоліків, оскільки проводиться за єдиним критерієм - можливість детектувати вірус за кодом расшифровщика за допомогою стандартного прийому вірусних масок:
Рівень 1: для виявлення вірусу досить мати кілька масок
Рівень 2: детектування по масці з використанням "wildcards"
Рівень 3: детектування по масці після видалення інструкцій- "сміття"
Рівень 4: маска містить кілька варіантів можливого коду, тобто стає алгоритмічної
Рівень 5: неможливість виявлення вірусу по масці
Недостатність такого поділу продемонстрована у вірусі 3-го рівня поліморфічность, який так і називається - "Level3". Цей вірус, будучи одним з найбільш складних поліморфік-вірусів, за наведеним вище поділу потрапляє в Рівень 3, оскільки має постійний алгоритм расшафровкі, перед яким стоїть велика кількість команд- "сміття". Однак в цьому вірусі алгоритм генерування "сміття" доведений до досконалості: в коді расшифровщика можуть зустрітися практично всі інструкції процесора i8086.
Якщо зробити розподіл на рівні з точки зору антивірусів, що використовують системи автоматичної розшифровки коду вірусу (емулятори), то розподіл на рівні буде залежати від складності емуляції коду вірусу. Можливо детектування вірусу і іншими прийомами, наприклад, розшифрування за допомогою елементарних математичних законів і т.д.
Тому мені здається більш об'єктивним розподіл, в якому крім критерію вірусних масок беруть участь і інші параметри:
Ступінь складності поліморфік-коду (відсоток від усіх інструкцій процесора, які можуть зустрітися в коді расшифровщика)
Використання анти-емуляторние прийомів
Сталість алгоритму расшифровщика
Сталість довжини расшифровщика
Зміна виконуваного коду
Найбільш часто подібний спосіб поліморфізму використовується макро-вірусами, які при створенні своїх нових копій випадковим чином змінюють імена своїх змінних, вставляють порожні рядки або змінюють свій код будь-яким іншим способом. Таким чином, алгоритм роботи вірусу залишається без змін, але код вірусу практично повністю змінюється від зараження до зараження.
Рідше цей спосіб застосовується складними завантажувальними вірусами. Такі віруси впроваджують в завантажувальні сектора лише досить коротку процедуру, яка зчитує з диска основний код вірусу і передає на нього управління. Код цієї процедури вибирається з декількох різних варіантів (які також можуть бути розведені "порожніми" командами), команди переставляються між собою і т.д.
Ще рідше цей прийом зустрічається у файлових вірусів - адже їм доводиться повністю міняти свій код, а для цього потрібні досить складні алгоритми. На сьогоднішній день відомі всього два таких вірусу, один з яких ( "Ply") випадковим чином переміщує свої команди по своєму тілу і замінює їх на команди JMP або CALL. Інший вірус ( "TMC") використовує більш складний спосіб - кожен раз при зараженні вірус змінює місцями блоки свого коду і даних, вставляє "сміття", в своїх ассемблерних інструкціях встановлює нові значення офсетів на дані, змінює константи і т.д. В результаті, хоча вірус і не шифрує свій код, він є поліморфним вірусом - в коді не присутній постійного набору команд. Більш того, при створенні своїх нових копій вірус змінює свою довжину.
Віруси з вигляду деструктивних дій
По виду деструктивних дій віруси можна розділити на три групи:
Інформаційні віруси (віруси першого покоління)
Так звані віруси першого покоління - це все нині існуючі віруси, дії яких спрямовані на знищення, модифікацію або розкрадання інформації.
Апаратні віруси (віруси другого покоління)
Даний вид вірусів здатний вивести з ладу апаратну частину комп'ютера. Наприклад, стерти BIOS або зіпсувати його, порушити логічну структуру жорсткого фіску таким чином, що відновити її буде можливим тільки низькорівневим форматуванням (і то не завжди). Єдиним представником даного виду є найнебезпечніший з усіх, коли-небудь існували, вірус Win95.CIH "Чернобль". Свого часу цей вірус вивів з ладу мільйони комп'ютерів. Він стирав програму з BIOS, тим самим, виводячи з ладу комп'ютер, а та ж знищував всю інформацію з жорсткого диска так, що відновити її було практично неможливо.
В даний час "диких" апаратних вірусів не виявлено. Але вже зараз фахівці прогнозують появу нових подібного роду вірусів, які зможуть вражати BIOS. Захистом від таких вірусів планується зробити на кожній материнській платі спеціальні джампери, які будуть блокувати запис в BIOS.
Психотропні віруси (віруси третього покоління)
Ці віруси здатні вбити людину, впливаючи на нього через монітор або колонки комп'ютера. Відтворюючи певні звуки, заданої частоти або певне мерехтіння різних кольорів на екрані, психотропні віруси здатні викликати епілептичний напад (у людей схильних до цього), або зупинку серця, крововилив в мозок.
На щастя на сьогоднішній день про реальне існування таких вірусів не відомо. Багато фахівців ставлять під сумнів взагалі існування подібного виду вірусів. Але одне сказати можна точно. Давно вже винайдені психотропні технології по впливу на людину через звук або зображення (не плутати з 25 кадром). Епілептичний напад викликати у людини схильного до цього дуже просто. Кілька років тому в деяких ЗМІ розгорівся галас з приводу появи нового вірусу під назвою "666". Цей вірус після кожних 24 кадрів видає на екран спеціальну кольорову комбінацію, здатну змінити життєдіяльність глядача. В результаті людини охоплює гіпнотичний транс, мозок втрачає контроль над роботою організму, що може привести до хворобливого стану, зміни режиму роботи серця, артеріального тиску і т.п. Але колірні комбінації сьогодні не є забороненими законодавством. Тому вони можуть з'являтися на екранах цілком легально, хоча результати їх впливу можуть бути катастрофічними для всіх нас.
Прикладом подібного впливу може служити мультфільм "Покемони", після показу однієї з серій в Японії, сотні дітей потрапили до лікарень з моторошною головним болем, крововиливом в мозок. Деякі з них померли. У мультфільмі були кадри з яскравою генерацією певної палітри кольорів, як правило, це червоні спалахи на чорному тлі в певній послідовності. Після цього інциденту даний мультфільм до показу в Японії був ЗАБОРОНЕНО.
Можна навести ще один приклад. Всі напевно пам'ятають, що творилося в Москві після трансляції матчу нашої збірної з футболу зі збірною Японії (якщо не помиляюся). Але ж на великому екрані був все лише продемонстрований ролик, як людина з битою кришив машину. Це також є психотропну дію, бачачи ролик "люди" почали знищувати на своєму шляху все і вся.
Матеріали і дані були взяті з ресурсів:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info
07.11.06
читати ще в розділі
Наша взаимовыгодная связь https://banwar.org/. Запустив новый сайт, "Пари Матч" обещает своим клиентам незабываемый опыт и возможность выиграть крупные суммы.
