Испорченные и зараженные файлы

Вирусом могут быть “заражены” следующие виды файлов:

1. Исполняемые файлы, т.е. файлы с расширениями имен .COM и .EXE, а также оверлейные файлы, загружаемые при выполнении других программ. Вирусы, заражающие файлы, называются файловымивирусами. Вирус в зара­женных исполнимых файлах начинает свою работу при запуске той програм­мы, в которой он находится. Наиболее опасны те файловые вирусы, кото­рые после своего запуска остаются в памяти резидентно - они могут за­ражать файлы и вредить до следующей перезагрузки компьютера. А если они заразят любую программу, запускаемую из файла AUTOEXEC.BAT или CONFIG.SYS, то и при запуске с жесткого диска вирус снова начнет свою работу.

2.Загрузка операционной системы и главная загрузочная запись жесткого диска. Вирусы, поражающие эти области, называются загрузочны­ми вирусамиилибутовыми (от слова boot-загрузчик). Такой вирус начи­нает свою работу при начальной загрузке компьютера и становится рези­дентным, т.е. постоянно находится в памяти компьютера. Для заражения компьютера загрузочным вирусом достаточ­но иметь всего один раз зараженную дискету в дисководе А: в момент пе­резагрузки компьютера. При этом вирус заразит жесткий диск компьютера. И после этого при загрузке с жесткого диска компьютера будет запус­каться вирус.

3. Вирусы, меняющие файловую систему на диске, обычно называемые DIR - вирусами. Такие вирусы прячут свое тело в некоторый участок дис­ка (обычно - в последний кластер диска) и помечают его в таблице раз­мещения файлов (FAT) как конец файла. Для всех .COM и .EXE-файлов, со­держащихся в соответствующих элементах каталога, указатели на первый участок файла заменяются ссылкой на участок диска, содержащий вирус, а правильный указатель в закодированном виде прячется в неиспользуемой части элемента каталога. Поэтому при запуске любой программы в память загружается вирус, после чего он остается в памяти резидентно, подклю­чается к программам DOS для обработки файлов на диске и при всех обра­щениях к элементам каталога выдает правильные ссылки.

При анализе на “чистом” компьютере с помощью программ ChkDsk или NDD файловая система зараженного DIR-вирусом диска кажется совершенно испорченной. Так, программа ChkDsk выдает кучу сообщений о пересечени­ях файлов и о цепочках потерянных кластеров. Не следует исправлять эти ошибки программами ChkDsk или NDD- при этом диск окажется безнадежно испорченным. Для исправления зараженных этими вирусами дисков надо ис­пользовать только специальные антивирусные программы (например, пос­ледние версии Aidstest).

4. Драйверы устройств, т.е. файлы, указываемые в приложении Devi­se файла CONFIG.SYS. Вирус, находящийся в них, начинает свою работу при каждом обращении к соответствующему устройству. Вирусы, заражающие драйверы устройств, очень мало распространены, поскольку драйверы ред­ко переписывают с одного компьютера на другой.

5. Системные файлы DOS (MSDOS.SYS и IO.SYS) - их заражение воз­можно так называемыми вирусами семейства ЗАРАЗА, так как первый из них выводил сообщение: В ВООТ СЕКТОРЕ - ЗАРАЗА!. Вирус этого семейства де­лает следующее:

- копирует содержимое файла IO.SYS в конец логического диска;

сдвигает элементы корневого каталога, начиная с третьего, на один элемент к концу каталога;

- копирует первый элемент корневого каталога (соответствующий файлу IO.SYS) в освободившийся третий элемент корневого каталога и устанавливает в нем номер начального кластера, указывающий на место, куда было скопировано содержимое файла IO.SYS;

- записывает свое тело в место, где находится файл IO.SYS (как правило, в начале области данных логического диска): у первого элемента корневого каталога диска устанавливает признак “метка тома”.

В результате в корневом каталоге появятся два системных файла IO.SYS. При этом система перестанет загружаться с жесткого диска, так как вирус в своем теле хранит адрес начального сектора исходного файла IO.SYS.

6. Командные файлы - заражаются достаточно редко. Обычно эти ви­русы формируют с помощью команд командного файла (команд ECHO и др.) исполняемый файл на диске (как правило, в формате .COM), запускают этот файл, он выполняет размножение вируса и вредящие действия, после чего данный файл стирается. Вирус в зараженных командных файлах начи­нает свою работу при выполнении командного файла, в котором он нахо­дится. Иногда вызов зараженного командного файла вставляется в файл Autoexec.bat.

7. Документы Word для Windows. Так как сейчас редакторы Word для Windows более всего распространены, то в 1995 г. появилась новая разновидность вируса, заражающая файлы документов, созданные этими редакторами - макровирусы. Это стало возможным, пос­кольку в Word для Windows встроен мощный язык макрокоманд Visual Basic for Applications (VBA). При этом макрокоманды не видны в редактируемом документе - для их просмотра и редактирования надо выбрать в группе меню Tools (Сервис) пункт Macro (Макрос), а много ли пользователей вообще что-то слышали об этом пункте меню... Возможности WordBasic позволяют писать на нем вирусы. Запуск вируса происходит при открытии на редактирование зара­женных документов. При этом макрокоманды вируса записываются в гло­бальный шаблон Normal.dot, так что при новых сеансах работы с Word для Windows вирус будет автоматически активирован. При наличии вируса при сохранении редактируемых документов или записи документов или записи документов на диск под новым именем (командой Save As…) вирус копирует свои макрокоманды в записываемый на диск документ, так что тот оказы­вается зараженным.

В принципе, возможно заражение и других объектов, содержащих программы в какой либо форме - текстов программ, электронных таблиц и т.д. Электронные таблицы содержат макрокоманды, в том числе и макроко­манды, автоматически выполняющиеся при открытии таблицы. Поэтому они могут содержать вирусы. Подобные вирусы обнаружены в табличном процес­соре Excel.

Как правило, каждая конкретная разновидность вируса может зара­жать только один или два типа файлов. Чаще всего встречаются вирусы, заражающие исполнимые файлы. Некоторые вирусы заражают только .COM-файлы, некоторые - только .EXE-файлы, а большинство - и те и дру­гие. На втором месте по распространенности загрузочные вирусы. Некото­рые вирусы заражают и файлы, и загрузочные области дисков. Вирусы, за­ражающие драйверы устройств, встречаются крайне редко, обычно такие вирусы умеют заражать и исполнимые файлы.

Что вирус не может заразить? Вирус является программой, поэтому объекты, не содержащие программ и не подлежащие преобразованию в прог­раммы, не могут быть заражены вирусом. Например, графические файлы форматов .BMP, .PCX, GIF, WMF и др. содержат только описания рисунков, поэтому как бы их вирус не изменял, при просмотре или другом использо­вании графического файла можно получить искаженный рисунок или сообще­ние о неправильном формате файла, но вирус при этом не может быть за­пущен. Таким образом, не содержащие программы объекты вирус может только испортить, но не заразить. К числу таких объектов относятся текстовые файлы (кроме командных файлов и текстов программ), документы простых текстовых редакторов документов типа Лексикон или MultiEdit, информационные файлы баз данных и т. д.

Чтобы предотвратить свое обнаружение, некоторые вирусы применяют довольно хитрые приемы маскировки. Это “невидимые” и самомодифицирую­щиеся вирусы.