COMWIT arrow WIEDZA arrow WIRUSY arrow PODZIAŁ WIRUSÓW
PODZIAŁ WIRUSÓW Wyślij znajomemu

Wirusy pasożytnicze

    Większość znanych wirusów to wirusy pasożytnicze, które wykorzystują swoje ofiary do transportu, modyfikując ich strukturę wewnętrzną . jedynym ratunkiem dla zainfekowanych obiektów jest użycie szczepionki lub w ostateczności kopii zapasowych, gdyż zarażane pliki z reguły nie są przez wirusa leczone. Wyjątek stanowią wirusy wykorzystujące pliki tylko do transportu między komputerami, mające za główny cel infekcję tablicy partycji lub BOOT-sektora dysku twardego. Po zainfekowaniu któregoś z tych obiektów wirus zmienia działanie i leczy wszystkie używane pliki znajdujące się na dysku twardym, a infekuje inne pliki już znajdujące się na dyskietkach lub dopiero na nie kopiowane. Pliki pasożytnicze możemy podzielić ze względu na miejsce zajmowane w zainfekowanych plikach następująco:
· Wirusy nadpisujące, lokują się na początku pliku,często nie zapamiętując poprzedniej zawartości pliku co nieodwracalnie niszczy plik;
· Wirusy lokujące się na końcu pliku, najpopularniejsza odmiana wirusów pasożytniczych, która modyfikuje pewne ustalone struktury na początku pliku tak, aby wskazywały na wirusa, po czym dopisuje się na jego końcu;
· Wirusy nagłówkowe, lokujące się w nagłówku plików EXE przeznaczonych dla systemu DOS. Zwykle wirusy te nie przekraczają rozmiaru jednego sektora i infekują poprzez przejęcie funkcji BIOS służących do zapisu i odczytu sektorów;

  

Wirusy plików wsadowych

    Wirusy plików wsadowych wykorzystują do transportu pliki BAT. Często potrafią infekować nie tylko pliki BAT, ale takżę pliki COM, EXE czy sektory tablicy partycji. Po uruchomieniu zainfekowanego pliku wsadowego tworzony jest plik uruchamialny COM lub EXE, zawierający właściwy kod infekujący pliki BAT. Po utworzeniu jest on wykonywany a nastepnie kasowany. Ze względu na to, iż procesor nie rozróżnia kodu i danych, można utworzyć plik, który będzie mógł się wykonywać zarówno jako typowy plik BAT, jak i plik COM. Po uruchomieniu zainfekowanego zainfekowanego ten sposób pliku BAT wirus kopiuj się do pliku tymczasowego o rozszerzeniu COM i wykonuje się tym razem jako kod maszynowy.

  

Makrowirusy

    Najmłodszą rodziną wirusów są tzw. makrowirusy, które pojawiły się jako skutek uboczny rozszerzenia możliwości pakietów biurowych, takich jak Microsoft Office, a także Lotus SmartSuite oraz Corel WordPerfect Suite - języki pozwalające na tworzenie makr. Język Word Basic, a potem Visual Basic for Applications, wywodzące się jeszcze od prostego Basica, mają na tyle duże możliwości, że pozwalają na bardzo proste tworzenie wirusa. Dzięki temu twórcy wirusów zostali wyposażeni w nowe, łatwe do opanowania narzędzie. Już od wielu lat napisanie wirusa nie wymaga znajomości asemblera można, bowiem posłużyć się językiem wysokiego poziomu, ale VBA jest od nich jeszcze prostszy. Makrowirusy infekują pliki danych, w których istnieje możliwość zapisu makropoleceń. Wirusy te mogą infekować dokumenty niezależnie od platformy systemowej, gdyż operują one na poziomie aplikacji, a nie systemu operacyjnego. Zazwyczaj wirus uaktywnia się w chwili otwarcia zainfekowanego szablonu w środowisku aplikacji Microsoft Word. Następnie zaraża zdrowe zbiory z rozszerzeniem DOC i zapisuje je jako szablony, ponieważ dokumenty nie mogą zawierać makr. W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr, np. AutoOpen lub FileSaveAs, zostaje zastąpionych kodem wirusa. Co prawda, standardowo szablony używają rozszerzenia DOT, w odróżnieniu od DOC zarezerwowanego dla dokumentów. Nie ma jednak przeszkody, aby szablon również miał rozszerzenie DOC i udawał zwykły dokument.

  

Wirusy Boot-sektora

    Nosicielem może być również sektor startowy dysku twardego (MBR - Master Boot Record) lub dyskietki (Boot sector). Wynika to z faktu, że komputer, próbując po uruchomieniu wczytać system, wykonuje program zawarty w pierwszym sektorze dysku lub dyskietki (w zależności od ustawień w BIOS-ie). Wirus może ulokować się w MBR, np. niszcząc jego zawartość i uniemożliwiając dostęp do dysku. W innym przypadku wirus najpierw przenosi kod inicjujący system z sektora startowego w inny obszar dysku, a potem zajmuje jego miejsce. Jest on o tyle groźny, że ładuje się przed startem systemu, czyli również zanim zacznie działać jakiekolwiek oprogramowanie antywirusowe i może przejąć nad nim kontrolę.

     Do replikacji wirusy mogą także wykorzystywać jednostki alokacji plików (JAP), na jakie tablica FAT dzieli DOS-ową partycję dysku twardego. Aby uzyskać dostęp do pliku, DOS odszukuje w katalogu dyskowym numer jego pierwszej jednostki alokacji, po czym kolejno (zgodnie z FAT) czyta wszystkie jednostki zajmowane przez plik. Oczywiście jednostki mogą być bezładnie rozrzucone po całym dysku. Wirus atakujący JAP (Link Virus) zmienia w katalogu wartość pierwszej jednostki alokacji dla jednego lub wielu plików na numer wskazujący jednostkę alokacji zawierającą kod wirusa. Wczytanie takiego pliku powoduje uruchomienie wirusa, który w dalszej kolejności może, ale nie musi, załadować właściwy program, jeśli oczywiście zapamięta oryginalny numer jego pierwszej JAP.

  

Wirusy utajnione

    Jedną z metod uczynienia wirusa niewykrywalnym jest jego utajnienie. Na ogół kod wirusa jest widoczny w kodzie zarażonego programu. Możemy się o tym przekonać oglądając zarażony program np. edytorem binarnym. Metoda utajniania polega na podsuwaniu programom czytającym zarażony plik, obrazu jego sprzed infekcji.
    Wirus wykorzystujący technikę STEALTH przechwytuje odpowiednie przerwania i na żądanie odczytu odkaża nosiciela (wirusy plikowe) lub podsuwa oryginalny kod ze swojej przechowalni (wirusy dyskowe). W przypadku wirusów plikowych plik odkażony po zamknięciu jest ponownie infekowany. Wirusy dyskowe ukrywają swój kod na dysku również w inny sposób. Formatują sobie dodatkową ścieżkę, na której umieszczają swój kod. Do tak spreparowanej ścieżki system operacyjny nie ma dostępu i kod wirusa nie jest narażony na wykrycie. Wirusy typu STEALTH przekłamują odczyty rozmiaru pliku, odejmując od oryginalnego rozmiaru wielkość wirusa.Użytkownik komputera nie zauważy, więc faktu powiększenia się rozmiarów zbiorów na skutek infekcji. Aby ukryć fakt rezydowania w pamięci komputera wirusy typu STEALTH podsuwają programom oryginalne adresy wektorów przerwań oraz ukrywają zajęte przez siebie bloki pamięci oznaczając je najczęściej jako nieprzydzielone.

  

Wirusy polimorficzne

    Od dawna twórcy wirusów marzyli, aby ich "dzieła" były niewykrywalne przez skanery antywirusowe. Rozwiązanie było proste: wczesne skanery antywirusowe posługiwały się próbką (łańcuchem bajtów charakterystycznych) ze złapanego i przeanalizowanego wirusa. Taki skaner przeszukując plik porównywał jego strukturę ze składowanymi w swojej bazie próbkami. W razie wykrycia podobieństwa wszczynany był alarm. Wystarczyło stworzyć wirusa, z którego nie można było pobrać próbki. Aby było to możliwe wirus po każdym swoim powieleniu powinien wyglądać inaczej.
    Początkowo wprowadzono procedury szyfrujące kod wirusa za pomocą stałego lub zmiennego klucza. Ta procedura zawsze wyglądała jednakowo i z niej można było wyznaczyć bajty charakterystyczne. Następnie programiści poszli dalej. Aby "zamydlić oczy" skanerowi wprowadzono do kodu procedury deszyfrującej dodatkowych, nieistotnych dla algorytmu instrukcji, zmienianych podczas każdej infekcji. W odpowiedzi na to autorzy skanerów antywirusowych wprowadzili do swoich próbek tzw. znaki zastępcze (np. bajt ignorowany, przyjmujący dowolną wartość).

  

Wirusy opancerzone (Amory)

    Dobry wirus musi nie tylko się ukrywać, ale również musi być odporny na jego analizę. Aby zapobiec deasemblacji kodu wirusa, autorzy wstawiają do jego kodu wiele pojedynczych bajtów dobranych w taki sposób, aby przy próbie przetłumaczenia go występowały przekłamania. Procesor wykonujący rozkazy kodu wirusa w jednoznaczny sposób "wie" jakie rozkazy pobrał i ma wykonać, lecz program tłumaczący ten kod w mniejszym lub większym stopniu nie jest w stanie zinterpretować instrukcji które zostały obstawione "lewymi bajtami".

  

Wirusy sprzęgające

    Wirusy takie nie zmieniają zawartości żadnego pliku. Ich "praca" polega na zmianie jednostki alkolacji pliku (JAP). JAP "mówi" gdzie zapisany jest na dysku dany program. Wirusy sprzęgające dopisują tam adres swojego kodu, przez co uruchomienie zarażonego programu spowoduje wykonanie najpierw kodu wirusa. Najbardziej znanym wirusem sprzęgającym jest DIR-2. Podczas pracy na zarażonym systemie tym wirusem nie dzieją się żadne dziwne rzeczy jednak, jeśli uruchomimy komputer z niezarażonej dyskietki i spróbujemy skopiować jakiś plik z zarażonego dysku, zostanie stworzony plik z kodem wirusa.

 
Projekty Garay | Modelki | Sandacz | Druk Ksiek | Bielizna Damska Producent