Характеристика «вирусоподобных» программ

К «вредным программам», помимо вирусов, относятся:

■ «троянские программы» (логические бомбы);

■ утилиты скрытого администрирования удаленных компьютеров;

■ «intended»-вирусы;

■ конструкторы вирусов;

■ полиморфик-генераторы.

«Троянские» программы (логические бомбы). К «троянским» программам относятся программы, нано­сящие какие-либо разрушительные действия в зависи­мости от каких-либо условий. Например, уничтожение информации на дисках при каждом запуске или но оп­ределенному графику и т. д. Большинство известных «троянских» программ являются программами, кото­рые маскируются под какие-либо полезные программы, новые версии популярных утилит или дополнения к ним. Очень часто они рассылаются по электронным конфе­ренциям. По сравнению с вирусами «троянские» про­граммы не получают широкого распространения по до­статочно простым причинам — они либо уничтожают себя вместе с остальными данными на диске, либо де­маскируют свое присутствие и уничтожаются постра­давшим пользователем. К «троянским» программам так же относятся так называемые «дропперы вирусов — зараженные файлы, код которых подправлен таким об­разом, что известные версия антивирусов не определя­ют присутствие вируса в файле. Например, файл шиф­руется или упаковывается неизвестным архиватором, что не позволяет антивирусу «увидеть» заражение.

Отметим еще один тин программ (программы — «злые шутки»), которые используются для устрашения пользо­вателя, свидетельствуя о заражении вирусом или о ка­ких либо предстоящих действиях с этим связанных, то есть сообщают о несуществующих опасностях, вынуж­дая пользователя к активным действиям. Например, к «злым шуткам» относятся программы, которые «пуга­ют» пользователя сообщениями" о форматировании дис­ка (хотя никакого форматирования на самом деле не происходит), детектируют вирусы в незараженных фай­лах, выводят странные вирусоподобные сообщения и т. д. К категории «злых шуток» можно отнести также заведомо ложные сообщения о новых «супер-вирусах». Такие сообщения периодически появляются в Интерне­те и обычно вызывают панику среди пользователей.

Утилиты скрытого администрирования. Утилиты скрытого администрирования являются разновидностью «логических бомб» («троянских программ»), которые используются злоумышленниками для удаленного ад­министрирования компьютеров в сети. По своей функ­циональности они во многом напоминают различные системы администрирования, разрабатываемые и рас­пространяемые различными фирмами-производителями программных продуктов. Единственная особенность этих программ заставляет классифицировать их как вредные «троянские» программы: отсутствие предупреждения об инсталляции и запуске. При запуске такая программа устанавливает себя в систему и затем следит за ней, при этом пользователю не выдается никаких сообщений о действиях программы в системе. Чаще всего ссылка на такую программу отсутствует в списке активных приложений. В результате пользователь может и не звать о ее присутствии в системе, в то время как его компьютер открыт для удаленного управления.

Внедренные в операционную систему утилиты скры­того управления позволяют делать с компьютером все, что в них заложил их автор; принимать/отсылать фай­лы, запускать и уничтожать их, выводить сообщения, стирать информацию, перезагружать компьютер и т. д. В' результате эти программы могут быть использованы для обнаружения и передачи конфиденциальной информации» для запуска вирусов, уничтожения данных и т. п.

«Intended»-вирусы. К таким вирусам относятся про­граммы, которые, на первый взгляд, являются стопро­центными вирусами, но не способны размножаться по причине ошибок. Например, вирус, который: при зара­жении не помещает в начало файла команду передача управления на код вируса, либо записывает в нее невер­ный адрес своего кода, либо неправильно устанавлива­ет адрес перехватываемого прерывания (в большинстве приводит к «зависанию» компьютера) и т. д. К катего­рии «intended» также относятся вирусы, которые по приведенным выше причинам размножаются только один раз — из «авторской» копии. Заразив какой-либо файл, они теряют способность к дальнейшему размно­жению. Появляются «intended»-вирусы чаще всего из-за неумелой перекомпиляции какого-либо уже существу­ющего вируса, либо по причине недостаточного знания языка программирования, либо по причине незнания технических тонкостей операционной системы.

Конструкторы вирусов. К данному виду «вредных» программ относятся утилиты, предназначенные для из­готовления новых компьютерных вирусов. Известны конструкторы вирусов для DOS, Windows и макровиру­сов. Они позволяют генерировать исходные тексты ви­русов, объектные модули, и/или непосредственно зара­женные файлы. Некоторые конструкторы снабжены стандартным оконным интерфейсом, где при помощи

системы меню можно выбрать тип вируса, поражаемые объекты (СОМ и/или ЕХЕ)^ наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, выбрать эффекты, сопровождающие работу вируса, и т. п.

Полиморфные генераторы, Полиморфик-генераторы, _ как и конструкторы вирусов,, не являются вирусами в прямом смысле этого слова, поскольку в их алгоритм не закладываются функции размножения, т. е- открытия, закрытия и записи в файлы, чтения и записи секторов и т. д. Главной функцией подобного рода программ явля­ется шифрование тела вируса и генерация соответствую­щего расшифровщика. Обычно полиморфные генерато­ры распространяются в виде файла-архива. Основным файлом в архиве любого генератора является объектный модуль, содержащий этот генератор.

 

Антивирусные программы