Структура КВ

Наиболее распространенными типами компьютерных вирусов в MS DOS являются файловые нерезидентные, файловые резидентные и бутовые вирусы.

Условно выделяют две части КВ – голову и хвост.

Голова – часть вируса, первой получающая управление.

Хвост – это части вируса, расположенные отдельно от головы. Вирус без хвоста называют несегментированным.

Основные объекты заражения – исполняемые файлы типа .COM, .EXE, .OVL, драйверы .SYS и загрузочная дорожка. При многократном заражении инфицированный файл может содержать тела нескольких вирусов.

Файловый нерезидентный вирус при запуске зараженной программы выполняет следующие действия:

1. восстанавливает начало программы в оперативной памяти;

2. находит очередную жертву;

3. проверяет зараженность жертвы;

4. внедряет тело вируса в программу- жертву;

5. передает управление программе-вирусоносителю.

Файловый резидентный вирус помимо файлов заражает оперативную память ПК.

Резидентный вирус можно представить как состоящий из двух относительно независимых частей: инсталлятора (программа установки) и модуля обработки прерываний. При запуске зараженной программы инсталлятор выполняет следующие действия:

1. восстанавливает начало программы в оперативной памяти;

2. проверяет зараженность ОЗУ;

3. перехватывает требуемые прерывания;

4. передает управление зараженной программе.

Прерывания – это программы операционной системы, выполняющие стандартные действия с файлами, экраном, клавиатурой и т.д. Большинство обычных программ используют прерывания. Для размножения вирусы используют функции работы с файлами. При обращении любой программы к этим функциям происходит заражение по сценарию нерезидентного вируса.

Бутовый вирус – это специализированная разновидность резидентного файлового вируса, который заражает загрузочный сектор гибкого ил жесткого диска. Распространяются бутовые вирусы путем заражения бут-сектора дискет, причем как системных, так и несистемных. Отличительная особенность – голова вируса располагается в загрузочном секторе, а хвост – в неиспользуемых областях диска.

При загрузке с зараженного диска бутовый вирус получает управление и сначала копирует себя в старшие адреса памяти. Затем он уменьшает размер доступной памяти, чтобы защитить резидентную часть вируса, и адрес прерывания 13h, чтобы перехватить обращения к диску, после этого вирус запускает стандартный системный загрузчик.

При чтении любой дискеты вирус проверяет ее на зараженность и инфицирует загрузочный сектор. Теперь при загрузке с этой дискеты произойдет заражение компьютера.

Вирусы-черви обычно состоят из двух частей:

- загрузчика;

- исполняемой части.

Вирус-червь сначала на атакуемую машину, проникает лишь небольшая часть вируса, называемая головой или загрузчиком, которая и подтягивает основное тело червя (исполняемая часть). Собственно говоря, голов у вируса может быть и несколько. Так, достопочтенный вирус Морриса имел две головы, одна из которых пролезала через отладочный люк в sendmail, а другая проедала дыру в finger.