Виды вирусов

Вирусы загрузочного сектора заражают загрузочные секторы дискет и / или жестких дисков. Brain задействовал некоторые скрытые методы, чтобы спрятать свой код. Исходный загрузочный сектор и тело вируса были скрыты на зараженной дискете в секторах, помеченных как «битые» в таблице размещения файлов. Это обмануло систему, заставив думать, что сектора бесполезны, хотя вирус использовал их. Еще одна более продвинутая техника скрытности, используемая Brain, – это прерывание. Обычно, когда генерируется программное прерывание, вызывается специальная функция обработчика прерываний . В процессорах серии 8086 таблица векторов прерываний расположена в самых младших 1024 байтах памяти. Поскольку обычные приложения в то время могли обращаться ко всей памяти в системе, вирус мог легко заменить записи в таблице обработчиков прерываний, чтобы указывать на свой собственный обработчик. Каждый раз, когда выполнялось чтение или запись сектора с использованием прерывания, вирус Brain сначала проверял содержимое чтения, определяя, принадлежал ли сектор вирусу и в случае, если это так, возвращался исходный сектор, сохраненный в заранее определенном месте на диске. Это примитивная техника скрытности, которую антивирусные продукты легко обойти, например, с помощью туннелирования прерываний .
Brain также породил еще одно интересное явление, часто встречающееся у компьютерных вирусов и червей, а именно конкуренция. Существовал еще один индонезийский вирус по имени Denzuko, который избавлял машину от вируса Brain. Если Denzuko обнаруживал зараженную дискету, он удалял вирус Brain и сам заражал диск. Кроме того, Denzuko использовал тот же идентификационный код, что и Brain. Есть более свежие примеры вирусной конкуренции, например, CodeRed и CodeGreen. Некоторые черви могли использовать других червей на той же машине для своих собственных целей. Другие черви использовали уязвимости в коде своих конкурентов для собственного распространения.
В конце 1988 года быстро распространяющийся червь напал на Интернет. Функциональность червя была основана на смешанной атаке. Смешанную атаку можно свободно определить как стратегию распространения червя, которая состоит из эксплуатации нескольких уязвимостей . Червь Морриса использовал несколько дыр в безопасности в целевых системах, чтобы проникнуть в них и в конечном итоге распространиться на новые машины. Червь не был принципиально вредоносным, так как не содержал деструктивной нагрузки, но нанес некоторый ущерб из-за увеличения сетевого трафика и нагрузки на атакованные компьютеры, вызванной тем, что на одном компьютере было запущено несколько экземпляров червя. В отличие от большинства современных червей, он распространялся на компьютеры под управлением UNIX, работающих на системах Sun Microsystems Sun 3 или VAX. Было возможно дополнительно расширить функциональность червя, добавив поддержку большего количества систем, но в то время червь атаковал только эти системы.
Смешанная атака, используемая Моррисом, состояла из нескольких шагов. Червь использовал уязвимость переполнения буфера в fingerd и ошибку в опции отладки в программе sendmail для доступа к целевому компьютеру. Он также пытался получить доступ к цели с помощью rsh, но, поскольку rshd может не работать или не принимать соединение, другие две опции были предоставлены в качестве резервной копии. Это основа смешанной атаки червя Морриса. После установления соединения с целевым компьютером на нем запускалась программа начальной загрузки, которая, в свою очередь, пыталась загрузить остальную часть червя с машиной. После того, как все тело червя было передано на целевую машину, запускалось основное тело червя. Основная часть в свою очередь пытается распространить червя, используя информацию о других машинах в сети, найденных на целевом компьютере.
В конце концов, создатель червя, Роберт Т. Моррис, был осужден и приговорен к общественным работам и штрафу. Инцидент вызвал много дискуссий о проблемах безопасности, этике в отношении компьютеров, а также о законах и методах предотвращения подобных инцидентов в будущем. Червь Морриса стал важной вехой в истории компьютерной безопасности, поскольку он глубоко повлиял на сообщество пользователей компьютеров.
Вирус 1260 появился в 1990 году и был первым полиморфным вирусом

. Основная идея полиморфного вируса состоит в том, чтобы модифицировать тело вируса при его распространении с компьютера на компьютер . Тело вируса может быть зашифровано с помощью переменных ключей, XOR или аналогичных методов. Также может использоваться более сложное шифрование, но это увеличивает размер и сложность программы дешифрования. Смысл полиморфных вирусов заключается в том, чтобы сделать дешифратор переменным для того, чтобы его нельзя было использовать для обнаружения вируса посредством сканирования сигнатур. Вирус 1260 вставлял ненужные инструкции в свой дешифратор. Эти инструкции не имели функционального значения в коде: они просто использовались для того, чтобы код вируса казался различным от поколения к поколению.
После 1260 появилось много других различных полиморфных вирусов. Антивирусные продукты, естественно, должны были развивать свои способности, чтобы обнаруживать эти новые методы невидимости. Еще одним тревожным событием в 1990 году стало появление первого комплекта для создания вирусов, Virus Construction Set (VCS). Хотя VCS был довольно простым набором, идея программы, которую могут использовать даже новички для создания вирусов, была, безусловно, плохой новостью для антивирусных продуктов. В последующие годы количество и сложность комплектов для создания вирусов росло, что способствовало появлению уже большого числа компьютерных вирусов в дикой природе.
В 1995 году появился новый вид вируса. Concept был первым макровирусом . Он заражал документы Microsoft Word, что означает, что вирус не зависит напрямую от платформы, на которой работает текстовый процессор: он работает как на IBM PC, так и на Macintosh. Вирус был написан на языке WordBASIC, специально созданный для Microsoft Word в то время.
Вирус распространялся, когда пользователь открывал зараженный документ. Функция автоматического выполнения макросов в Word упрощала распространение вируса в среде. Концепция макровируса подразумевала несколько макросов, и в случае с Concept это были макросы AAAZAO, AAAZFS, AutoOpen и Payload (макрос AutoOpen запускался автоматически при открытии зараженного файла). Concept также заражал глобальный файл шаблона NORMAL.DOT, поэтому будущие файлы, созданные с помощью команды «Сохранить как», также оказывались заражены. NORMAL.DOT – это файл шаблона, который открывался при запуске Word, что делало его идеальным местом для размещения кода вируса, который был способен перехватывать типичные пользовательские команды, такие как «Сохранить», «Сохранить как», «Новый файл», «Выход», «Печать файла» и т.д.
Concept открыл совершенно новый канал для распространения вирусов, используя идею о том, что пользователи чаще обмениваются файлами данных, чем исполняемыми программами. В последующие годы было создано гораздо больше вирусов, использующих ту же концепцию. В 1996 году был обнаружен вирус под названием XM / Laroux, который был первым вирусом, заражающим листы Microsoft Excel.
Макровирусы впервые за долгие годы создали новую проблему для антивирусных продуктов. Поскольку макровирусы, как правило, устойчивы к ошибкам, макро-код может развиваться сам по себе, например, посредством небольшого повреждения или если антивирусная программа только частично обработает файл (возможно, зараженный несколькими вирусами одновременно). В некоторых случаях вирус тем не менее продолжает функционировать, но сигнатура вируса изменяется из-за его мутации. Этого может быть достаточно, чтобы предотвратить обнаружение вируса антивирусным программным продуктом.
Мелисса – это так называемый вирус массовой рассылки, что означает, что основным средством ее распространения являлась массовая рассылка по электронной почте. Макровирус Мелисса был обнаружен 26 марта 1999 года. Адреса электронной почты захватывались из Microsoft Outlook 98 или Outlook 2000. Вирус отправлял себя первым пятидесяти контактам в каждой из адресных книг Outlook. Мелисса использовала макросы для заражения документов Microsoft Word