Декілька класичних прикладів комп ютерних вірусів

Декілька "класичних" прикладів комп'ютерних вірусів

Як ми вже казали, комп'ютерні віруси підрозділяються на два основних класи: файлові та бутові. Розглянемо деякі з них більш докладно.

Файлові віруси

Вірус VIENNA (Відень)

Інші назви вірусу: 648, Restart (перезавантаження), Time Bomb (часова бомба) та ін.

Один із перших найбільш примітивних вірусів. Знайдений спочатку у Відні, потім заполонив увесь світ. При завантаженні у пам'ять комп'ютера проглядає всі COM-програми у поточному каталозі та у доступних через PATH (шляхи пошуку, що звичайно встановлені в AUTOEXEC.BAT). Первісний варіант цього вірусу збільшував довжину жертви на 648 байт. Першу знайдену ще не заражену програму або заражає, або, з ймовірністю 1/8 (в залежності від системного часу), псує таким чином, що вона при запуску призводить до перезавантаження системи. В останньому випадку в початок жертви записується код EAF0FF00F0, який на машинній мові означає теплий рестарт (еквівалентне до дії клавіш Ctrl+Alt+Del). Якщо зіпсована таким чином програма викликається з AUTOEXEC.BAT, процедура початкового завантаження операційної системи зациклюється. Як ознаку зараження, вірус ставить у часі створення жертви неіснуюче число секунд (62). Надалі з'явилось багато різновидів вірусу VIENNA (більше 20), що відрізняються від нього довжинами та шкідливими діями.

Вірус CASCADE (Каскад, водоспад)

Інші назви вірусу: LetterFall (буквопад), Letter та ін.

Існує два варіанти вірусу за довжиною (1701 або 1704 байт). Заражає тільки COM-програми, резидентний. Спричиняє обсипання символів на екрані, що супроводжується характерним шелестінням. При цьому блокується можливість роботи з клавіатурою. Зберігає працездатність тільки на машинах типу PC XT/AT.

Вірус BLACK FRIDAY (Чорна п'ятниця)

Інші назви вірусу: Israeli Virus (ізраїльський вірус), Ierusalem (Єрусалим), Black Hole (чорна дірка) та ін.

Вірус одержав вказані назви, оскільки вперше був виявлений в ізраїльському університеті та із-за своїх характерних дій. Він заражає EXE- та COM-файли, збільшуючи їх розміри на 1813 байт, і залишається резидентним у пам'яті ПК. При цьому зараження може відбуватися неодноразово, що приводить до неймовірного розростання заражених файлів. Інфікований даним вірусом ПК сповільнює свою роботу в декілька тисяч разів. При виведенні інформації на дисплей у нижньому лівому куті екрана з'являється чорний прямокутник (дірка). Нарешті, якщо час роботи приходиться на п'ятницю 13-го числа, то заражені файли знищуються.

Характерною ознакою вірусу є наявність в його тілі сполучень MsDos а також COMMAND.COM.

Вірус DARK AVENGER (Чорний месник)

Інші назви вірусу: Eddie, Sofia.

Вірус одержав свої назви по текстовому рядку "Eddie lives ... somewhere in time. This program was written in the sity of Sofia (C) 1988-89 Dark avenger", що міститься у його тілі. Вірус заражає EXE- та COM-файли, є резидентним, його довжина в байтах 1800. Вірус дуже небезпечний, оскільки на інфікованому комп'ютері файли заражаються не тільки при виконанні, але і під час їх проглядання та копіювання. Він також знищує COM-файли, довжина яких лежить у межах від 64K1800байт до 64K. Періодично знищує інформацію в одному із секторів вінчестера.

Бутові віруси

Вірус PING PONG (назва не потребує перекладу)

Інші назви вірусу: Italian Bouncing (італійський стрибунець), Ball (м'ячик).

Вірус заражає Boot-сектор дискет і записує своє тіло у вільні (інколи і у зайняті) кластери, помічаючи їх як погані (Bad). Як і всі бутові віруси є резидентним. На ПК, зараженому даним вірусом, час від часу з'являється ромбик (ASCII-код4), який, переміщуючись по екрану, відбивається від його границь та рамок, утворених символами псевдографіки.

Вірус STONED (Закам'янілий)

Інша назва вірусу: Marijuana (Маріхуана).

Зовнішнє проявлення з ймовірністю 1/8 під час завантаження системи на екран видається текст "Your PC is now Stoned", після чого робота нормально продовжується. Цей вірус записується в абсолютний початковий сектор диска, який на вінчестерах містить PARTITIONTABLE. Інколи (наприклад, коли жорсткий диск розбитий на розділи за допомогою відомої системи ADM) це приводить до сумних наслідків, а саме, до втрати доступу до інформації, розташованої на диску. Для візуального розпізнання вірусу на диску може служити палкий заклик: "LEGALISE MARIJUANA!".

Зауважимо, що зараз існує близько 90 штамів (різновидів) вірусу Stoned, і він досі залишається дуже поширеним.

Вірус BRAIN (Мозок)

Один із найбільш знаменитих вірусів. Він вважається першим, що одержав широке розповсюдження (розроблений у січні 1986 року). Заражає тільки стандартно відформатовані дискети ємністю 360К. На заражених дискетах з'являється мітка "(c)Brain". Займає на диску три підряд розташованих кластери, помічаючи їх як погані.

Нарешті, для любителів футболу наведемо останній приклад продукту, судячи по всьому, вітчизняного виробництва.

Вірус DINAMO (назва не потребує перекладу)

Це бутовий вірус, який при деяких обставинах видає на екран вічну мрію київських уболівальників: "Dinamo (Kiev) champion!!!".

Найбільш поширені сучасні комп'ютерні віруси

Вже згадуваний антивірусний дослідний центр SARC фірми Symantec Corporation опублікував наприкінці 1996 р. список 10 найбільш поширених у всьому світі комп'ютерних вірусів. Деякі з них, розповсюджені, зокрема, і в нашій країні, розглянемо більш докладно.

Макро-віруси Word (Word Macro Viruses)

Макро-віруси, що діють у середовищі відомого та широко поширеного у всьому світі текстового процесора Word for Windows версії 6 та вище фірми MicroSoft, використовують макроси мови WordBasic для зараження утворюваних у цьому процесорі документів та шаблонів документів (MS Word documents and templates) файлів з роширеннями DOC та DOT.

Ці віруси використовують декілька властивостей "оточення" MS Word, для автоматичного виконання інфікованого макро-коду. Зразу, коли інфікований документ відкривається і починає працювати вірус, то, як правило, вірус заражає шаблон документа користувача NORMAL.DOT. Цей шаблон є основою більшості інших документів та шаблонів і саме через нього макро-вірус заражає останні. У своїй роботі віруси використовують стандартні макроси мови WordBasic, такі як AutoOpen, FileSaveAs, AutoExec, System та інші.

На перший погляд здається, що макро-віруси не підкоряються старому правилу: "Віруси заражають тільки виконувані програми" (зауважимо, що у Boot-секторі також знаходиться деякий код, що виконується під час завантаження системи). Але це не так. Документи, які готуються за допомогою текстового процесора MS Word, мають досить складну структуру, куди крім суто текстових фрагментів включаються малюнки, графіки тощо, а також макроси мови WordBasic. Саме останні компоненти під управлінням системи MS Word можуть використовуватися як компоненти вірусного коду.

Серед макро-вірусів найбільш поширеними є: Anti-DMV (або MDMADMV), Atom, Boom, Colors (або RainBow), Concept, Concept.FR.B, DMV, FormatC (при деяких умовах форматує диск C:), Friendly, Hot (вперше з'явився в Росії), Imposter, Infezione, Irish, NOP, Nuclear (при друкуванні зараженого файлу-документа виводить повідомлення: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!"), Parasite, Polite, Wazzu, Xenixos.

AntiEXE

Інші назви вірусу: CMOS4, D3, NewBug, New Bug.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Використовує Stealth-технологію. Як і всі бутові віруси, AntiEXE є резидентним. Шукає деякі EXE-файли та пошкоджує їх.

AntiCMOS

Інші назви вірусу: Lenart.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Псує інформацію про конфігурацію комп'ютера, що записана в енергонезалежній пам'яті CMOS.

Штамами (різновидами) вказаного вірусу є віруси AntiCMOS.A та AntiCMOS.B.

One_Half

Інші назви вірусу: Free Love, One_half, One Half.3544

One_Half це файлово-бутовий, резидентний, поліморфний вірус, який використовує Stealth-технологію. Заражає COM- та EXE-файли, збільшуючи їх довжину на 3544 байт та Master Boot запис жорсткого диска.

Під час холодного (пере)завантаження системи з інфікованого жорсткого диска One_Half зашифровує два циліндра у кінці жорсткого диска. При кожному наступному (пере)завантаженні системи кількість зашифрованих циліндрів зростає. Поки вірус знаходиться у пам'яті, інформація, що міститься у цих циліндрах, доступна. Коли вірус зашифрує приблизно половину жорсткого диска, він виводить на екран повідомлення "Dis is one half. Press any key to continue...". Шифрування інформації, що проводить One_Half, значно ускладнює роботу антивірусних програм, яким треба не тільки вилікувати комп'ютер, але і відновити зашифровану інформацію.

One_Half не заражає деякі антивірусні програми (SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV).

Tchechen 1912, 1914

Ці віруси не входять до десятки найбільш поширених у світі, але на території СНД, мабуть, стоять чи не найпершому місці.

Дуже небезпечні резидентні поліморфні віруси. При старті віруси зчитують 2-й сектор жорсткого диска і записують у нього слово "МИР" та число 4, яке надалі буде лічильником стартів інфікованих програм. Потім намагаються знайти в ROM BIOS текстові рядки Megatrends, AWARD. Якщо цей пошук успішний, то віруси вимикають у CMOS-пам'яті опцію Virus Warning on Boot (контроль запису до Boot-сектору). При досягненні лічильника у 2-у секторі значення 0 віруси замінюють слово "МИР" на непотрібне слово із 3 літер та записують в MBR жорсткого диска "троянський" код. Цей код при завантаженні системи самостійно віддає управління активному Boot-сектору жорсткого диска, але приблизно через місяць після запису даного коду в MBR знищує вміст всього першого жорсткого диска. Після чого планувалося виведення на екран такого тексту (Tchechen.1914 містить помилку в даному виведенні): "POLITICAL PRO$TITUTE$ OF THE WORLD, (UN)ITE! IN REWARD FOR THE SCORCHED EARTH OF TCHECHNYA. ENJOYIN' WAR BY TV YOU'RE GLAD -YOUR ASS IS SO FAR FROM. WAIT, YOU'LL SEE THE REAL BLOOD SOON..RIGHT AT YOUR WINDOW AND YOU WORTH IT!!! The Tchechen, (C) RUSSIAN BEAR,1995."

Tchechen.1914 непрацездатний на процесорі Pentium.