Коллектив авторов - Защита от хакеров корпоративных сетей

Распространение

Под механизмом распространения подразумевается способ перехода вируса с одного компьютера на другой. Раньше этот процесс осуществлялся с помощью дискет или ленточных накопителей. Кроме того, вирусы могли распространяться внутри небольших частных сетей. В наши дни, когда значительная часть информации передается через Интернет, скорость распространения вирусов и червей многократно возросла, поскольку они могут распространяться через серверы общего доступа.

Первый тип вирусов можно назвать паразитическим. Он распространяется, присоединяясь к файлам таким образом, что они остаются в рабочем состоянии. В системе MS-DOS для этой цели обычно использовались файлы с расширениями. COM и. EXE. В наши дни список доступных для паразитирования типов файлов увеличился. При этом вовсе не обязательно, чтобы файлы были исполняемыми. Например, макровирусы присоединяются к стандартному шаблону normal.dot, который устанавливается по умолчанию вместе с приложением Microsoft Word.

В данном случае механизм распространения включается при запуске инфицированного файла. Соответственно, если вирус присоединяется к редко используемому файлу, это несколько ограничивает возможности его действия. Однако структура MS-DOS (на основе которой построена операционная система Windows) такова, что некоторые приложения запускаются автоматически при старте операционной системы. Следовательно, вирусу всего лишь требуется инфицировать (случайно или намеренно) одно из таких приложений, и долгая жизнь ему гарантирована.

Вирусы второго типа поражают загрузочный сектор. Они копируют себя в загрузочную область жесткого диска (или дискеты) и запускаются при старте системы. Вирусы этого типа особенно вредоносны, потому что начинают действовать до момента полной загрузки системы, до включения имеющихся антивирусных программ.

В соответствии с логикой загрузочного процесса вирусы, поражающие загрузочный сектор, делятся на две категории. После включения питания начинается самотестирование системы (Power On Self Test, POST), а затем базовая система ввода/вывода (Basic Input/Output System, BIOS) приступает к инициализации, то есть к проверке загрузочного диска на целостность. В зависимости от конфигурации BIOS проверяться может загрузочная дискета, загрузочный компакт-диск и, наконец, загрузочный жесткий диск.

Жесткий диск является загрузочным при наличии главной загрузочной записи (master boot record, MBR), которая представляет собой небольшой код, расположенный в самом начале жесткого диска (первый сектор первого цилиндра первого диска). Этот код обеспечивает распознавание записей в таблице разделов, описывающей размещение и размер логических дисков в рамках одного устройства. Код главной загрузочной записи ищет раздел, помеченный как загрузочный, и передает управление коду, расположенному в начале раздела (загрузочному сектору). А теперь представим, что произойдет при наличии в этом секторе вируса.

У вируса есть две возможности перехватить управление. Во-первых, он может располагаться в главной загрузочной записи, что даст ему возможность в любом случае контролировать ситуацию (при этом вирус будет читаться и загружаться через таблицу разделов). Во-вторых, он может находиться в загрузочном секторе раздела (предпочтительно активном, потому что в противном случае вирус просто не будет активирован). Обычно вирусы второго типа меняют местоположение загрузочной записи и вставляют внутрь нее свой код. При загрузке системы они активируются, выполняют предписанные действия (модифицируют вызов BIOS, изменяют данные и т. п.), а затем передают управление перемещенному ими коду (ведь только они знают, где он теперь находится).

Возникает закономерный вопрос: а что происходит, если вирус инфицирует одновременно главную загрузочную запись и загрузочный сектор, а возможно, распространяет свое влияние и на файлы? Такая ситуация называется множественным заражением.

Но почему это имеет такое значение? Независимо от того, инфицируется ли файл, загрузочный сектор или главная загрузочная запись, как только вредоносный код будет выполнен, вирус сделал свое дело, не так ли? Это верно, но только отчасти. Чем раньше вирус овладевает загрузочным процессом, тем больше его шанс выжить. В мире компьютеров жизнь – это всего лишь наборы фрагментов кода. Запускаемый раньше других код влияет на вид системы для остального программного обеспечения. Поясним это с помощью аналогии, понятной каждому. Представьте себе матрицу: окружающий мир управляется чем-то, расположенным в высшем слое реальности. Соответственно, это что-то определяет, как мир будет выглядеть для нас. Вирус, проникнув в систему, при следующей загрузке начинает действовать. Почему бы не изменить систему так, чтобы можно было просматривать жесткий диск? Вирус может перехватывать вызов главной загрузочной записи (предполагаем, что речь идет о вызове от антивирусной программы) и затем направлять этот вызов к ее реальному местонахождению. В результате антивирусная программа будет считать, что диск не инфицирован. Такая тактика называется маскировкой и часто используется для того, чтобы вирус не был обнаружен.