Cтраница 1
Автор вируса желал предоставить всем желающим возможность изучить устройство вируса и дополнительно снабдил комментариями и без того простой текст макрокоманд. Вирус состоит из пяти макрокоманд, общий объем которых составляет примерно ПО строк кода. Когда пользователь открывает зараженный документ, MS Word автоматически выполняет содержащуюся в нем макрокоманду AutoOpen, принадлежащую вирусу. Она просматривает названия всех макрокоманд, определенных в файле стилей NORMAL. DOT и при отсутствии в не макросов вируса, включает свой код. [1]
С точки зрения автора вируса недостаток перезаписывающего вируса заключается в том, что его очень легко обнаружить. В конце концов, при запуске инфицированная программа сможет распространить вирус, заразив еще несколько файлов, но она не выполнит то, что должна выполнять, и пользователь это мгновенно заметит. Соответственно, большинство вирусов прицепляются к программам, позволяя им нормально выполняться после того, как вирус выполнит свое черное дело. Такие вирусы называют паразитическими вирусами. [2]
Предположим, что автору вируса известно, что многие пользователи запускают программу prog. Он может просто создать программу, назвав ее prog. Этот файл будет запускаться каждый раз, когда кто-либо пытается запустить prog. Выполнив свою работу, программа prog. [3]
Предположим, что автору вируса известно, что многие пользователи запускают программу prog. Он может просто создать программу, назвав ее prog. Этот файл будет запускаться каждый раз, когда кто-либо пытается запустить pmg. Выполнив свою работу, программа prog. [4]
Чтобы минимизировать риск, автор вируса может отправить сообщение из какого-либо Интернет-кафе в другом городе. Он может принести вирус с собой на дискете и считать его самостоятельно или, если машины в Интернет-кафе не оборудованы устройствами чтения гибких дисков, попросить милую девушку за стойкой считать для него файл book. Вместо гибкого диска можно использовать удаленный FTP-сайт или принести с собой лэптоп и подключить его к Ethernet или порту USB. Подобная услуга часто предоставляется в Интернет-кафе, чтобы туристы с лэптопами могли получать свою электронную почту каждый день. [5]
Однако борьба на этом не заканчивается, поэтому автор вируса поступает следующим образом. [6]
Проблема данного подхода состоит в том, что авторы вирусов не собираются сидеть сложа руки. Они могут написать вирус, удаляющий файл с контрольными суммами. Что еще хуже, можно написать вирус, считающий такую контрольную сумму заново и заменяющий старое значение в файле checksum новым. Чтобы защититься от подобной атаки, антивирусная программа может попытаться спрятать файл контрольных сумм, но такой подход вряд ли будет долго работать, так как авторы вирусов обязательно тщательно изучат антивирусную программу. Лучший подход заключается в шифровании файла контрольных сумм. В идеале при шифровании должна использоваться смарт-карта с ключом, хранящимся вне компьютера, чтобы программы не могли до него добраться. [7]
Однако борьба на этом не заканчивается, поэтому автор вируса поступает следующим образом. [8]
Проблема данного подхода состоит в том, что авторы вирусов не собираются сидеть сложа руки. Они могут написать вирус, удаляющий файл с контрольными суммами. Что еще хуже, можно написать вирус, считающий такую контрольную сумму заново и заменяющий старое значение в файле checksum новым. Чтобы защититься от подобной атаки, антивирусная программа может попытаться спрятать файл контрольных сумм, но такой подход вряд ли будет долго работать, так как авторы вирусов обязательно тщательно изучат антивирусную программу. Лучший подход заключается в шифровании файла контрольных сумм. В идеале при шифровании должна использоваться смарт-карта с ключом, хранящимся вне компьютера, чтобы программы не могли до него добраться. [9]
Поскольку хвост вируса не должен выполняться каждый раз, когда запускается зараженная программа, количество мест его хранения гораздо больше и здесь многое зависит от изобретательности автора вируса. [10]
Как может аналитик из антивирусной лаборатории определить, какая часть файла представляет собой ключ к шифру, чтобы расшифровать его и восстановить исходный текст вируса. Что может сделать автор вируса для усложнения этой задачи. [11]
Еще один способ распространения вирусов заключается в публикации зараженной программы в одной из конференций USENET или на BBS. Кроме того, автор вируса может создать web - страницу, для просмотра которой требуется специальный плагин ( plug-in, сменный программный модуль), и тут же предложить загрузить этот плагин, который будет заражен вирусом. [12]
Как может аналитик из антивирусной лаборатории определить, какая часть файла представляет собой ключ к шифру, чтобы расшифровать его и восстановить исходный текст вируса. Что может сделать автор вируса для усложнения этой задачи. [13]
Еще один способ распространения вирусов заключается в публикации зараженной программы в одной из конференций USENET или на BBS. Кроме того, автор вируса может создать web - страницу, для просмотра которой требуется специальный плагин ( plug-in, сменный программный модуль), и тут же предложить загрузить этот плагин, который будет заражен вирусом. [14]
С распространением вирусов связана проблема избежания обнаружения. Тюрьмы славятся плохим компьютерным оснащением, поэтому авторы вирусов предпочитают избегать этих мест. Опубликование вируса в сети со своего домашнего компьютера означает серьезный риск. Когда вирус будет, в конце концов, обнаружен, полиция сможет проследить путь его появления в сети, найдя по временному штампу самое первое сообщение, содержащее этот вирус, а по этому сообщению можно найти и его отправителя. [15]