по комп'ютерних мережах, обчислюють адреси мережних комп'ютерів і записують за цими адресами свої копії. Відомі віруси-невидимки, звані стелс - вірусами, які дуже важко знайти й знешкодити, оскільки вони перехоплюють звернення ОС до ураженим файлом і секторів дисків і підставляють замість свого тіла незаражені ділянки диска. Найбільш важко знайти віруси - мутанти, що містять алгоритми шифрування-розшифровки, завдяки яким копії одного і того ж вірусу не жодної повторюваної ланцюжка байтів. Є й звані квазівірусние або «троянські» програми, які хоч і не здатні до самопоширення, але дуже небезпечні, оскільки, маскуючись під корисну програму, руйнують завантажувальний сектор і файлову структуру діска.1.4. Основні види вірусів і схеми їх функціонування
1.4.1 Завантажувальні віруси
Розглянемо схему функціонування дуже простого завантажувального вірусу, що заражає дискети. Ми свідомо обійдемо всі численні тонкощі, які неминуче зустрілися б при строгому алгоритмі його функціонування.
Що відбувається, коли ви вмикаєте комп'ютер? Насамперед управління передається програмі початкового завантаженні, що зберігається на постійно запам'ятовуючому пристрої (ПЗУ), тобто ПНЗ ПЗУ.
Ця програма тестує обладнання та при успішному завершенні перевірок намагається знайти дискету в дисководі А.
Всяка дискета розмічена на сектори і доріжки. Сектори об'єднуються в класи, але це для нас не суттєво.
Серед секторів кілька службових, використовуваних операційною системою для власних потреб (у цих секторах не можуть розміщуватися ваші дані). Серед службових се?? торів нас поки цікавить один - сектор початкового завантаження.
У секторі початкового завантаження зберігається інформація про дискеті - кількість поверхонь, кількість доріжок, кількість секторів тощо. Але нас зараз цікавить не ця інформація, а невелика програма початкового завантаження (ПНЗ), яка повинна завантажити саму операційну систему і передати їй управління.
Таким чином, нормальна схема початкового завантаження наступна:
ППЗ (ПЗУ) ППЗ (диск) СИСТЕМА
Тепер розглянемо вірус. У завантажувальних віруси виділяються дві частини-т.зв. голову і т.зв. хвіст. Хвіст, взагалі кажучи, може бути порожнім.
Нехай у вас є чиста дискета і вірус, під яким ми розуміємо комп'ютер з активним резидентним вірусом. Як тільки цей вірус виявить, що в дисководі з'явилася відповідна жертва - в нашому випадку незахищена від запису і ще незаражених дискета, він приступає до зараження. Заражаючи дискету, вірус виробляє такі дії.
виділяє певну область диска і позначає її як недоступну операційній системі, можна зробити по-різному, в простому і традиційному випадку зайняті вірусом сектори позначаються як збійні;
копіює у виділену область диска свій хвіст і оригінальний завантажувальний сектор;
заміщає програму початкового завантаження в завантажувальному секторі своєю головою;
організовує ланцюжок передачі управління відповідно до схеми.
Таким чином, голова вірусу тепер першою отримує управління, вірус встановлюється в пам'ять і передає управління оригінальному завантажувальному сектору. У ланцюжку:
ППЗ (ПЗУ) ППЗ (диск) СИСТЕМА
З'являється нова ланка:
ППЗ (ПЗУ) ВІРУСПНЗ (диск) СИСТЕМА
Мораль ясна: ніколи не залишайте (випадково) дискету в дисководі А. Ми розглянули схему функціонування простого бутового вірусу, що у завантажувальних секторах дискет. Як правило, віруси здатні заражати не тільки завантажувальні сектори дискет, а й завантажувальні сектори вінчестерів. При цьому на відміну від дискет, на вінчестері є два типи завантажувальних секторів, містять програми початкового завантаження, які отримують управління. При завантаженні комп'ютера з вінчестера перший бере на себе управління програма початкового завантаження в MBR (Master Boot Record - головний завантажувальний запис). Якщо ваш жорсткий диск розбитий на кілька розділів, то лише один з них позначений як завантажувальний. Програма початкового завантаження в MBR знаходить завантажувальний розділ вінчестера і передає управління на програму початкового завантаження цього розділу. Код останньої збігається з кодом програми початкового завантаження, що міститься на звичайних дискетах, відповідні завантажувальні сектори відрізняються тільки таблицями параметрів. Таким чином, на вінчестері є два об'єкти атаки завантажувальних вірусів - програма початкового завантаження в MBR і програми початкового завантаження в бут - секторі завантажувального диска.