Поиск: 
Расширенный поиск | Последние запросы
FREE-REFERATS.ru

Банк бесплатных рефератов

Бесплатные рефераты > Темы > Компьютеры и программы > Реферат "Нерезидентные компьютерные вирусы"

Рефераты по Компьютеры и программы - "Нерезидентные компьютерные вирусы"

Страница: 1 2 3 4 5 6 7 8 9 10
Нерезидентные компьютерные вирусы
Скачать реферат "Нерезидентные компьютерные вирусы"
Содержание


НЕРЕЗИДЕНТНЫЕ ФАЙЛОВЫЕ ВИРУСЫ


 Ниже приводятся  описания нерезидентных  файловых вирусов,  изу-
ченных автором  на момент выхода данной работы. В целях системати-
зации описываемые вирусы разбиты на несколько групп. Как для самих
групп, так  и вирусов внутри группы изложение ведется в основном в
хронологическом порядке (по появлению в Киеве).



                      4.1. Венская группа

 Венская группа  берет свое  начало с  вируса С-648.  Для  данной
группы характерен  механизм поиска  зараженных файлов, который вы-
полняется во всех каталогах, сцепленных командой PATH, и использо-
вание поля секунд для отметки зараженных файлов. В настоящее время
включает три штамма, наиболее распространенным из которых является
исторически первый є  С-648. Указанные штаммы отличаются по методу
включения троянской  компоненты, которая вызывает уничтожение COM-
файлов путем  перехода на  подпрограмму перезагрузки  операционной
системы. Большинство штаммов используют для этой цели текущее зна-
чение таймера  (см.ниже), однако некоторые  (которыми мы не распо-
лагаем) є значение  даты создания  файла. Наиболее  распространены
штаммы с длинами 648, 623, 627 байтов.


          4.1.1. Базисный вирус С-648 (Vienna є Вена)

 Название вируса  С-648 связано с тем, что после запуска заражен-
ной программы  вирус активируется  и ищет  файл-жертву. Если файл-
жертва был  найден в  определенный момент времени (среди последних
трех битов  16-ричного представления секунд нет ни одной единицы),
то вместо  заражения программы,  содержащейся в  этом файле, С-648
вставляет в начало этой программы команды перехода на подпрограмму
"теплого рестарта",  делая тем  самым программу  в соответствующем
СОМ-файле неработоспособной.  "Убитые" вирусом  программы не могут
быть восстановлены  без наличия  информации о  начале программы, а
зараженные могут  "излечиваться" с  помощью соответствующего фага.
Формально вирус  С-648 є файловый  нерезидентный вирус, поражающий
файлы типа СОМ. Функционирует на версиях MS DOS, начиная с 2.0.
 Стратегия заражения є поиск файла с расширением СOM в каталогах,
сцепленных в PATH. Заражение СOMMAND.COM выполняется так же, как и
заражение любого  другого COM-файла:  никаких механизмов по поиску
размещения командного  процессора вирус не содержит. При заражении
он дописывается  в конец программы и одновременно вставляет в пер-
вые три  байта COM-файла команду перехода на тело вируса. При этом
размер файла  увеличивается на  648 байтов,  дата создания файла и
атрибуты файла  не меняются. Заражение выполняется однократно. Ми-
нимальный размер  заражаемых файлов є  10 байтов (0Ah), максималь-
ный є (FA00h). Поскольку вирус определяет тип файла только по рас-
ширению, заражение EXE-файлов с расширением COM выполняется непра-
вильно. Это  приводит к потере работоспособности зараженных файлов
указанного типа: их запуск обычно ведет к зависанию системы. После
обработки такой программы фагом работоспособность восстанавливает-
ся.

 Для отличения  зараженных файлов  от  незараженных  используются
младшие четыре  бита времени создания файла (для зараженных файлов
они все  устанавливаются в единицу, что соответствует несуществую-
щему количеству секунд є 62 с.). Следует отметить, что как команда
DIR, так  и распространенные оболочки типа Norton Commander не по-
казывают поле секунд, выдавая содержимое каталога на экран. Поэто-
му это изменение достаточно хорошо скрыто от пользователя.
 При запуске инфицированной программы управление сначала получает
сам вирус.  Получив управление,  вирус устанавливает  свою область
передачи данных, осуществляет поиск файлов типа COM на всех дисках
и во всех каталогах, сцепленных с помощью команды PATH. При нахож-
дении такого  файла вирус  прежде всего проверяет его время созда-
ния, по  которому определяет,  заражен уже этот файл или нет. Если
файл отмечен как незараженный и его длина больше десяти байтов, то
он рассматривается как "потенциальная жертва" и вирус приступает к
его заражению. При этом вирус не проверяет, не является ли файл на
самом деле файлом типа EXE (начинающимся с "MZ"), ошибочно или на-
меренно "замаскированным"  под файл  типа COM.  Указанные файлы  в
случае заражения уничтожаются.
 Следует отметить,  что защита  файлов  атрибутами  READ  ONLY  и

Страница: 1 2 3 4 5 6 7 8 9 10

© 2003-2016 Free-Referat.ru - Рефераты, Курсовые, Дипломы, Доклады, Шпаргалки
Notice: Undefined index: r in /home/bitrix/ext_www/free-referat.ru/index.php on line 264 Notice: Undefined index: in /home/bitrix/ext_www/free-referat.ru/index.php on line 264