На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

СВЯЗАННЫЕ с ВИРУСАМИ ОПАСНОСТИ

При разработке антивирусной стратегии компании следует помнить, что боль­шинство вирусов не распространяется с помощью Internet. Наоборот, основными путями распространения вирусов являются продаваемое программное обеспече­ние, системы электронной почты в изолированныхиуниверситетскихлокальных сетях, а также дискеты, используемые служащими в их домашних компьютерах.
Многие компании, предоставляющие пробные версии своих программ, тща­тельно проверяют копии на наличие вирусов. Мне редко приходилось встре­чаться со случаями заражения компьютеров через загруженные пробные версии программ или другое профессиональное программное обеспечение. С другой сто­роны, известны сотни случаев, когда продавцы-посредники поставляли своим клиентам зараженные диски. Если учесть все типы программ, которые могут быть заражены вирусами, то количество пострадавших таким образом покупате­лей составляет сотни тысяч.
Кроме того, существует опасность заражения машины через программное обес­печение, поставляемое вашим местным продавцом ПО. Такие продавцы обыч­но не проверяют дискеты на наличие вирусов. Вся их работа заключается в пе­ремещении дискет основного поставщика в свои фирменные упаковки. Если же кто-то уже использовал эти дискеты на зараженном компьютере, то с большой долей вероятности можно утверждать, что эти диски уже заражены. Чтобы из­бежать подобных проблем, многие компании (включая и Microsoft) начали запа­ковывать отдельные дискеты и только затем помещать их в коробки.
Хозяева сайтов, электронных досок объявлений, а также авторы программного обеспечения не желают потерять свое место под солнцем из-за каких-то вирусов. Поэтому любой разработчик Web-сайта (Web-master), желающий и дальше иметь прибыль от своей работы, должен тщательно проверять каждый файл на наличие троянских коней, стелс-вирусов и т. д. Конечно же, это ни в коей мере не осво­бождает вас от проверки программ, загружаемых с помощью Internet. Однако еще раз напомним, что большинство вирусов поступает через дискеты, поэтому вы должны уделять основное внимание их проверке. Стоит все же отметить, что в последнее время возросло количество вирусов, распространяемых с помощью Internet. Немалую роль в этом сыграло и открытие макровирусов.
ВИРУСЫ   И  ЭЛЕКТРОННА ПОЧТА
Корпоративные системы электронной почты доставляют много хлопот систем­ным администраторам. Приведу следующий пример. Не так давно появился один из самых известных «мнимых» вирусов — вирус Good Times. Предполага­лось, что он распространяется с помощью сообщений электронной почты. Ви­русу приписывались самые невероятные способности. В частности, указыва­лось, что он «...разрушает центральный процессор с помощью использования бесконечного цикла я-ой степени сложности». Так как многие пользователи не понимают, как распространяются вирусы, то вирус Good Times довольно скоро стал известен во всем мире.
На самом деле обычные текстовые сообщения электронной почты не могут со­держать никаких вирусов. Дело в том, что текстовые сообщения относятся к файлам данных, которые не являются программами и не могут выполняться на машине. Как мы помним, вирусы могут заражать только исполняемые програм­мы (не считая макровирусов).
То же самое можно сказать практически обо всех сообщениях электронной по­чты. Однако у вас, наверное, уже случались такие ситуации, когда файл с данными на самом деле оказывался исполняемым файлом. Некоторые Web-бро­узеры и диалоговые служебные программы (вроде America Online) выполняют программы сразу после их загрузки.
Гораздо чаще пользователям приходится иметь дело с пересыл кой файлов данных текстовых процессоров (например, документы Microsoft Word). Однако благодаря недавним разработкам в области текстовых процессоров эти файлы перестали
быть просто файлами данных. В большинстве случаев такие файлы содержат
внедренные макрокоманды, с помощью которых можно существенно ускорить работу. На самом деле макрокоманда является некоторой разновидностью про­грамм. Благодаря этому стало возможным создание макровирусов. Макровирус — это макрокоманда, которая воспроизводит себя в каждом новом документе.
Большинство современных макровирусов не представляют собой большой опасно­сти. Однако потенциально они обладают огромными возможностями. Дело в том, что макрокоманды обладают доступом к набору операций, с помощью которых можно производить различные (в том числе и разрушительные) дейст­вия в системе. Например, с помощью макрокоманды можно удалить с жесткого диска системные файлы.
Наилучшим методом защиты от вирусов, передаваемых с помощью электронной почты, является установка на каждом компьютере надежного антивирусного программного обеспечения. Для защиты от макровирусов вам, возможно, по­надобится пересмотреть свою стратегию защиты. В частности, вы должны буде­те рассказать всем своим пользователям о том, что такое макровирус, и попро­сить их проверять все приходящие документы.
СОЗДАНИЕ для ИСПОЛНЯЕМОГО
В этом разделе я расскажу о том, как вирус может заразить ЕрМ исполняемый файл и как создатели вирусов могут защитить ^ЩЦ/Р их от обнаружения.
Практически у каждого создателя вирусов есть свой собствен­ный, оригинальный метод заражения ЕХЕ-файлов. Здесь я расскажу о наиболее простом методе. Прежде всего вирус создает в памяти дополнительную область для своего размещения. После он прочитыва-
ет заголовок ЁХЕ-файла и переделывает его так, чтобы он содержат инфор­мацию и о месте в памяти, занимаемом вирусом. С этого момента и начина­ется процесс заражения программы.
Далее приводятся действия вируса, проникшего в ЕХЕ-фай.г.
Вирус считывает текущий заголовок файла и сохраняет его для шего использования. В этом заголовке хранится информация о длине ■ файла, значении контрольной суммы (2) и т. д.
2. После этого вирус определяет, какое количество памяти он должен бавить к текущему разы еру файла, чтобы разместить там свое тело.
3. Вирус копирует свое тело в файл. Размер вируса и внесенных им изме­нений в заголовок файла составляют сигнатуру вируса.
Вирус снова записывает информацию заголовка в программу. Теперь головок содержит информацию о месте, занимаемом вирусом.
Вирус сохраняет измененную на диске,
Описанный выше тип вирусов называется вирусом-паразитом. Вирус-пара­зит добавляет свое тело к программе и после этого продолжает свою жизнь
наравне с программой. Если же вы удалите инфицированный файл, то вме­сте ним исчезнет и вирус. Кроме вирусов-паразитов существуют так назы­ваемые загрузочные вирусы, размещающие свое тело в подпрограмме за­грузки операционной системы. Этот тип вирусов совершенно отличен от ви­русов-паразитов. Дело в том, что загрузочные вирусы паразитируют не на исполняемых программах, а на операционной системе.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика