Комп'ютерні віруси та методи боротьби з ними

Вже згадуваний антивірусний дослідний центр SARC фірми Symantec Corporation опублікував наприкінці 1996 р. список 10 найбільш поширених у всьому світі комп'ютерних вірусів. Деякі з них, розповсюджені, зокрема, і в нашій країні, розглянемо більш докладно.

Макро-віруси Word (Word Macro Viruses)

Макро-віруси, що діють у середовищі відомого та широко поширеного у всьому світі текстового процесора Word for Windows версії 6 та вище фірми MicroSoft, використовують макроси мови WordBasic для зараження утворюваних у цьому процесорі документів та шаблонів документів (MS Word documents and templates) — файлів з роширеннями DOC та DOT.

Ці віруси використовують декілька властивостей "оточення" MS Word, для автоматичного виконання інфікованого макро-коду. Зразу, коли інфікований документ відкривається і починає працювати вірус, то, як правило, вірус заражає шаблон документа користувача NORMAL.DOT. Цей шаблон є основою більшості інших документів та шаблонів і саме через нього макро-вірус заражає останні. У своїй роботі віруси використовують стандартні макроси мови WordBasic, такі як AutoOpen, FileSaveAs, AutoExec, System та інші.

На перший погляд здається, що макро-віруси не підкоряються старому правилу: "Віруси заражають тільки виконувані програми" (зауважимо, що у Boot-секторі також знаходиться деякий код, що виконується під час завантаження системи). Але це не так. Документи, які готуються за допомогою текстового процесора MS Word, мають досить складну структуру, куди крім суто текстових фрагментів включаються малюнки, графіки тощо, а також макроси мови WordBasic. Саме останні компоненти під управлінням системи MS Word можуть використовуватися як компоненти вірусного коду.

Серед макро-вірусів найбільш поширеними є: Anti-DMV (або MDMADMV), Atom, Boom, Colors (або RainBow), Concept, Concept.FR.B, DMV, FormatC (при деяких умовах форматує диск C:), Friendly, Hot (вперше з'явився в Росії), Imposter, Infezione, Irish, NOP, Nuclear (при друкуванні зараженого файлу-документа виводить повідомлення: "And finally I would like to say: STOP ALL FRENCH NUCLEAR TESTING IN THE PACIFIC!"), Parasite, Polite, Wazzu, Xenixos.

AntiEXE

Інші назви вірусу: CMOS4, D3, NewBug, New Bug.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Використовує Stealth-технологію. Як і всі бутові віруси, AntiEXE є резидентним. Шукає деякі EXE-файли та пошкоджує їх.

AntiCMOS

Інші назви вірусу: Lenart.

Це бутовий вірус, який заражає Boot-сектор гнучкого та Master Boot запис жорсткого дисків. Псує інформацію про конфігурацію комп'ютера, що записана в енергонезалежній пам'яті CMOS.

Штамами (різновидами) вказаного вірусу є віруси AntiCMOS.A та AntiCMOS.B.

One_Half

Інші назви вірусу: Free Love, One_half, One Half.3544

One_Half — це файлово-бутовий, резидентний, поліморфний вірус, який використовує Stealth-технологію. Заражає COM- та EXE-файли, збільшуючи їх довжину на 3544 байт та Master Boot запис жорсткого диска.

Під час холодного (пере)завантаження системи з інфікованого жорсткого диска One_Half зашифровує два циліндра у кінці жорсткого диска. При кожному наступному (пере)завантаженні системи кількість зашифрованих циліндрів зростає. Поки вірус знаходиться у пам'яті, інформація, що міститься у цих циліндрах, доступна. Коли вірус зашифрує приблизно половину жорсткого диска, він виводить на екран повідомлення "Dis is one half. Press any key to continue...". Шифрування інформації, що проводить One_Half, значно ускладнює роботу антивірусних програм, яким треба не тільки вилікувати комп'ютер, але і відновити зашифровану інформацію.