Испорченные и зараженные файлы
Вирусом могут быть “заражены” следующие виды файлов: 1. Исполняемые файлы, т.е. файлы с расширениями имен .COM и .EXE, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловымивирусами. Вирус в зараженных исполнимых файлах начинает свою работу при запуске той программы, в которой он находится. Наиболее опасны те файловые вирусы, которые после своего запуска остаются в памяти резидентно - они могут заражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при запуске с жесткого диска вирус снова начнет свою работу. 2.Загрузка операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочными вирусамиилибутовыми (от слова boot-загрузчик). Такой вирус начинает свою работу при начальной загрузке компьютера и становится резидентным, т.е. постоянно находится в памяти компьютера. Для заражения компьютера загрузочным вирусом достаточно иметь всего один раз зараженную дискету в дисководе А: в момент перезагрузки компьютера. При этом вирус заразит жесткий диск компьютера. И после этого при загрузке с жесткого диска компьютера будет запускаться вирус. 3. Вирусы, меняющие файловую систему на диске, обычно называемые DIR - вирусами. Такие вирусы прячут свое тело в некоторый участок диска (обычно - в последний кластер диска) и помечают его в таблице размещения файлов (FAT) как конец файла. Для всех .COM и .EXE-файлов, содержащихся в соответствующих элементах каталога, указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подключается к программам DOS для обработки файлов на диске и при всех обращениях к элементам каталога выдает правильные ссылки. При анализе на “чистом” компьютере с помощью программ ChkDsk или NDD файловая система зараженного DIR-вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдает кучу сообщений о пересечениях файлов и о цепочках потерянных кластеров. Не следует исправлять эти ошибки программами ChkDsk или NDD- при этом диск окажется безнадежно испорченным. Для исправления зараженных этими вирусами дисков надо использовать только специальные антивирусные программы (например, последние версии Aidstest). 4. Драйверы устройств, т.е. файлы, указываемые в приложении Devise файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы редко переписывают с одного компьютера на другой. 5. Системные файлы DOS (MSDOS.SYS и IO.SYS) - их заражение возможно так называемыми вирусами семейства ЗАРАЗА, так как первый из них выводил сообщение: В ВООТ СЕКТОРЕ - ЗАРАЗА!. Вирус этого семейства делает следующее: - копирует содержимое файла IO.SYS в конец логического диска; сдвигает элементы корневого каталога, начиная с третьего, на один элемент к концу каталога; - копирует первый элемент корневого каталога (соответствующий файлу IO.SYS) в освободившийся третий элемент корневого каталога и устанавливает в нем номер начального кластера, указывающий на место, куда было скопировано содержимое файла IO.SYS; - записывает свое тело в место, где находится файл IO.SYS (как правило, в начале области данных логического диска): у первого элемента корневого каталога диска устанавливает признак “метка тома”. В результате в корневом каталоге появятся два системных файла IO.SYS. При этом система перестанет загружаться с жесткого диска, так как вирус в своем теле хранит адрес начального сектора исходного файла IO.SYS. 6. Командные файлы - заражаются достаточно редко. Обычно эти вирусы формируют с помощью команд командного файла (команд ECHO и др.) исполняемый файл на диске (как правило, в формате .COM), запускают этот файл, он выполняет размножение вируса и вредящие действия, после чего данный файл стирается. Вирус в зараженных командных файлах начинает свою работу при выполнении командного файла, в котором он находится. Иногда вызов зараженного командного файла вставляется в файл Autoexec.bat. 7. Документы Word для Windows. Так как сейчас редакторы Word для Windows более всего распространены, то в 1995 г. появилась новая разновидность вируса, заражающая файлы документов, созданные этими редакторами - макровирусы. Это стало возможным, поскольку в Word для Windows встроен мощный язык макрокоманд Visual Basic for Applications (VBA). При этом макрокоманды не видны в редактируемом документе - для их просмотра и редактирования надо выбрать в группе меню Tools (Сервис) пункт Macro (Макрос), а много ли пользователей вообще что-то слышали об этом пункте меню... Возможности WordBasic позволяют писать на нем вирусы. Запуск вируса происходит при открытии на редактирование зараженных документов. При этом макрокоманды вируса записываются в глобальный шаблон Normal.dot, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован. При наличии вируса при сохранении редактируемых документов или записи документов или записи документов на диск под новым именем (командой Save As…) вирус копирует свои макрокоманды в записываемый на диск документ, так что тот оказывается зараженным. В принципе, возможно заражение и других объектов, содержащих программы в какой либо форме - текстов программ, электронных таблиц и т.д. Электронные таблицы содержат макрокоманды, в том числе и макрокоманды, автоматически выполняющиеся при открытии таблицы. Поэтому они могут содержать вирусы. Подобные вирусы обнаружены в табличном процессоре Excel. Как правило, каждая конкретная разновидность вируса может заражать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только .COM-файлы, некоторые - только .EXE-файлы, а большинство - и те и другие. На втором месте по распространенности загрузочные вирусы. Некоторые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, заражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы. Что вирус не может заразить? Вирус является программой, поэтому объекты, не содержащие программ и не подлежащие преобразованию в программы, не могут быть заражены вирусом. Например, графические файлы форматов .BMP, .PCX, GIF, WMF и др. содержат только описания рисунков, поэтому как бы их вирус не изменял, при просмотре или другом использовании графического файла можно получить искаженный рисунок или сообщение о неправильном формате файла, но вирус при этом не может быть запущен. Таким образом, не содержащие программы объекты вирус может только испортить, но не заразить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и текстов программ), документы простых текстовых редакторов документов типа Лексикон или MultiEdit, информационные файлы баз данных и т. д. Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Это “невидимые” и самомодифицирующиеся вирусы.
Популярное: Модели организации как закрытой, открытой, частично открытой системы: Закрытая система имеет жесткие фиксированные границы, ее действия относительно независимы... Как выбрать специалиста по управлению гостиницей: Понятно, что управление гостиницей невозможно без специальных знаний. Соответственно, важна квалификация... Как вы ведете себя при стрессе?: Вы можете самостоятельно управлять стрессом! Каждый из нас имеет право и возможность уменьшить его воздействие на нас... ©2015-2024 megaobuchalka.ru Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. (532)
|
Почему 1285321 студент выбрали МегаОбучалку... Система поиска информации Мобильная версия сайта Удобная навигация Нет шокирующей рекламы |