HTML-вирусы

4.3 HTML-вирусы.

Вирусы данного типа встречаются редко, так что информация о них

представляет скорее "академический" интерес, нежели практический.

Суть такова: на самой языке HTML, который используется для размет-

ки гипертекстовых документов, никакие вирусы, конечно, написать

нельзя. Но для создания динамических страниц, организации взаимо-

действия с пользователем и прочих действий используются програм-

мное вставки (скрипты) в HTML-документы. Известные HTML-вирусы ис-

пользуют скрипты, написанные на языке VISUAL BASIC. С их помощью

находя HTM и HTML-файлы на локальной машине и записываются в них.

Иногда такие вирусы как-нибудь проявляют себя (например, выводят

сообщения). Малому распространению вирусов данного типа (равно как

и малому их числу) способствует то, что при стандартных настрой-

ках браузера выполнение "опасных"(к таковым относятся и те, в ко-

торых происходит обращение к файлам локального компьютора) скрип-

тов запрещено. Обычные же, "безопасности", скрипты не могут произ-

водить описанные манипуляции.

4.4 Java-вирусы.

В настоящее время известны два вируса, написанные на языке JAVA.

Опасности они практически не представляют. Кратко поясним, в чем

суть. исполняемые модули программ, написанных на JAVA (CLASS-фай-

лы), бывают двух типов: приложения и апплеты. Приложения выпол-

няются под управлением интерпреатора и являются почти обычными

программами (почти, ибо имеют все же некоторые ограничения, напри-

мер, в области работы с памятью). Апплеты, в отличие от приложе-

ний, могут выполняться под управлением броузеров, но на них накла-

дываются значительно более серьезные ограничения для обеспечения

безопасности: апплеты в частности, не имеют почти никакого досту-

па к файловой системе компьютера (в отличии от случая со скритами,

отключить данное ограничение в браузере невозможно). таким обра-

зом, JAVA-вирусы могут быть оформлены только как приложения и для

подавляющего большинства пользователей опасности не предоставляют.

Как правило, каждая конкретная разновидность вируса может зара-

жать только один или два типа файлов. Чаще всего встречаются виру-

сы, заражающие исполнимые файлы. Некоторые вирусы заражают

только EXE файлы, некоторые - только COM , а большинство - и те и

другие. На втором месте по распространенности загрузочные вирусы.

Некоторые вирусы заражают и файлы, и загрузочные области дисков.

Вирусы, заражающие драйверы устройств, встречаются крайне редко;

обычно такие вирусы умеют заражать и исполнимые файлы.

Вирусы, меняющие файловую систему.

В последнее время получили распространение вирусы нового типа -

вирусы, меняющие файловую систему на диске. Эти вирусы обычно на-

зываются DIR. Такие вирусы прячут свое тело в некоторый участок

диска ( обычно - в последний кластер диска ) и помечают его в таб-

лице размещения файлов (FAT) как конец файла. Для всех COM- и

EXE-файлов содержащиеся в соответствующих элементах каталога ука-

затели на первый участок файла заменяются ссылкой на участок дис-

ка, содержащий вирус, а правильный указатель в закодированном ви-

де прячется в неиспользуемой части элемента каталога. Поэтому при

запуске любой программы в память загружается вирус, после чего он

остается в памяти резидентно, подключается к программам DOS для

обработки файлов на диске и при всех обращениях к элементам ката-

лога выдает правильные ссылки.

Таким образом, при работающем вирусе файловая система на диске

кажется совершенно нормальной. При поверхностном просмотре зара-

женного диска на "чистом" компьютере также ничего странного не

наблюдается. Разве лишь при попытке прочесть или скопировать с за-

раженной дискеты программные файлы из них будут прочтены или ско-

пированы только 512 или 1024 байта, даже если файл гораздо длин-

нее. А при запуске любой исполнимой программы с зараженного таким

вирусом диска этот диск, как по волшебству, начинает казаться ис-

правным (неудивительно, ведь компьютер при этом становится зара-

женным).

При анализе на "чистом" компьютере с помощью программ ChkDsk или

NDD файловая система зараженного DIR-вирусом диска кажется совер-

шенно испорченной. Так, программа ChkDsk выдает кучу сообщений о

пересечениях файлов ( "... cross linked on cluster..." ) и о це-

почках потерянных кластеров ("... lost clusters found in...

chains"). Не следует исправлять эти ошибки программами ChkDsk или

NDD - при этом диск окажется совершенно испорченным. Для исправле-

ния зараженных этими вирусами дисков надо использовать только спе-

циальные антивирусные программы ( например, последние версии

Aidstest).

"Невидимые" и самомодифицирующиеся вирусы.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют

довольно хитрые приемы маскировки. Я расскажу о двух из них: "не-

видимых" (Stealth) и самомодифицирующихся вирусах:

"Невидимые" вирусы.

Многие резидентные вирусы (и файловые, и загрузочные) предотвра-

щают свое обнаружение тем, что перехватывают обращения DOS (и тем

самым прикладных программ) к зараженным файлам и областям диска и

выдают их в исходном виде. Разумеется, этот эффект наблюдается

только на зараженном компьютере - на "чистом" компьютере измене-

ния в загрузочных областях диска можно легко обнаружить.

Замечу, что некоторые антивирусные программы могут все же обнару-

живать "невидимые" вирусы даже на зараженном компьютере. Такие

программы для этого выполняют чтение диска, не пользуясь услугами

DOS (например, ADinf ).

Некоторые антивирусные программы (например, AVSP) используют для

борьбы с вирусами свойство "невидимых" файловых вирусов "вылечи-

вать" зараженные файлы. Они считывают (при работающем вирусе) ин-

формацию из зараженных файлов и записывают их на диск в файл или

файлы, где эта информация хранится в неискаженном виде. Затем, уже

после загрузки с "чистой" дискеты, исполнимые файлы восстанавли-

ваются в исходном виде.

Самомодифицирующиеся вирусы.

Другой способ, применяемый вирусами для того, чтобы укрыться от

обнаружения, - модификация своего тела. Многие вирусы хранят

большую часть своего тела в закодированном виде, чтобы с помощью

дизассемблеров нельзя было разобраться в механизме их работы. Са-

момодифицирующиеся вирусы используют этот прием и часто меняют па-

раметры этой кодировки, а кроме того, изменяют и свою стартовую

часть, которая служит для раскодировки остальных команд вируса.

Таким образом, в теле подобного вируса не имеется ни одной пос-

тоянной цепочки байтов, по которой можно было бы идентифицировать

вирус. Это, естественно, затрудняет нахождение таких вирусов прог-

раммами-детекторами.

Однако программы-детекторы все же научились ловить "простые" са-

момодифицирующиеся вирусы. В этих вирусах вариации механизма рас-

шифровки закодированной части вируса касаются только использова-

ния тех или иных регистров компьютера, констант шифрования, добав-

ления "незначащих" команд и т.д. И программы-детекторы приспособи-

лись обнаруживать команды в стартовой части вируса, несмотря на

маскирующие изменения в них. Но в последнее время появились виру-

сы с чрезвычайно сложными механизмами самомодификации. В них стар-

товая часть вируса генерируется автоматически по весьма сложным

алгоритмам: каждая значащая инструкция расшифровщика передается

одним из сотен тысяч возможных вариантов, при этом используется

более половины всех команд Intel-8088. Проблема распознования та-

ких вирусов надежного решения пока не получила.

Что могут и чего не могут компьютерные вирусы.

У многих пользователей ЭВМ из-за незнания механизма работы ком-

пьютерных вирусов, а также под влиянием различных слухов и неком-

петентных публикаций в печати создается своеобразный комплекс

боязни вирусов ("вирусофобия"). Этот комплекс имеет два проявления: