Компьютерные вирусы

| Категория реферата: Рефераты по информатике, программированию
| Теги реферата: ответ 4, сочинение на тему онегин
| Добавил(а) на сайт: Юрия.

Известно три версии вируса. Они достаточно похожи друг на друга и отличаются лишь незначительными деталями кода в различных подпрограммах.
Версии вируса имеют различные длины, строки текста и дату срабатывания процедуры стирания дисков и Flash BIOS:

Длина Текст Дата срабатывания Обнаружен "в живом виде"

1003 CCIH 1.2 TTIT 26 апреля
Да
1010 CCIH 1.3 TTIT 26 апреля
Нет
1019 CCIH 1.4 TATUNG 26 каждого месяца Да - во многих странах[1]

[16] Macro.Word97.Melissa
Заражает файлы документов и шаблонов MS Word и рассылает свои копии в сообщениях электронной почты при помощи MS Outlook. Вирус распространяется чрезвычайно быстро: процедура рассылки зараженных писем отсылает большое количество вирусных копий по адресам из всех списков адресной книги MS
Outlook. Вирус также изменяет системный реестр, выключает антивирусную защиту MS Word.
Для рассылки своих копий через электронную почту вирус использует возможность Visual Basic активизировать другие приложения MS Windows и использовать их процедуры. Вирус вызывает MS Outlook, считывает из базы адресов Outlook адреса электронной почты и посылает по этим адресам сообщение. Это сообщение содержит:

Тема: "Important Message From [UserName]" (UserName берется из базы адресов)

Тело письма: "Here is that document you asked for ... don't show anyone else ;-)"
К сообщению также присоединен документ (естественно зараженный), причем вирус присоединяет тот документ, который в данный момент редактируется
(активный документ). Как побочный эффект подобного распространения передаются файлы пользователя, которые могут содержать конфиденциальные данные.
Количество рассылаемых писем зависит от конфигурации адресной книги Outlook
(базы адресов e-mail) на конкретном компьютере. Вирус открывает каждый список в адресной книге и отылает зараженное сообщение по 50 первым адресам из каждого списка. Если в списке меньше 50 адресов, вирус отсылает сообщение на все из них. Для каждого списка создается одно зараженное письмо, поле адресата которого содержит первые 50 адресов из списка.
Вирус использует электронную почту для своего распространения только один раз - для этого проверяется специальная "метка" в системном реестре:

HKEY_CURRENT_USERSoftwareMicrosoftOffice "Melissa?"

= "... by Kwyjibo"
Если этот ключ не найден, то вирус посылает сообщения электронной почты с приложенными зараженными документами и создает этот ключ в реестре.
Вирус способен распространяться не только в версии Word97, но и в Word2000.
Эта особенность вируса связана с возможность Word2000 преобразовывать файлы старого формата в новый при их открытии. При этом в новый формат конвертируются все необходимые секции файла, включая макро-программы
(включая код вируса). Как результат, вирус получает возможность распространяться в среде Word 2000.
При запуске вируса в Word 2000 он производит дополнительные действия: выключает (устанавливает в минимум) установки безопасности (антивирусную защиту).
Код вируса хранится в одном макро модуле "Melissa" и состоит из одной авто- процедуры: в зараженных документах это "Document_Open", в NORMAL.DOT
(область глобальных макросов) - "Document_Close". Вирус заражает NORMAL.DOT при открытии зараженного документа и записывается в другие документы при их закрытии. При заражении вирус копирует свой код построчно из зараженного объекта в файл-жертву. В случае заражения области глобальных макросов вирус переименовывает свою процедуру в "Document_Close", когда же происходит заражение документов, то вирусная процедура переименовывается в
"Document_Open". В результе вирус заражает Word при открытии зараженного документа, а при закрытии других документов они, в свою очередь, оказываются зараженными.
Вирус также содержит процедуру-эффект, которая срабатывает в случае если день равен минутам в момент активации вирусного кода. Эта процедура вставляет следующий текст в редактируемый документ:
Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game's over. I'm outta here.
Этот текст, так же, как и прозвище автора вируса ("Kwyjibo"), взят из телевизионного мульт-сериала "Симпсоны" ("Simpsons").
Вирус также содержит комментарии в своем коде:

WORD/Melissa written by Kwyjibo

Works in both Word 2000 and Word 97

Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!

Word -> Email | Word 97 Word 2000 ... it's a new age!

[17] Explorer, семейство
Неопасные резидентные зашифрованные вирусы. Перехватывают INT 21h и записываются в конец запускаемых EXE-файлов. Также ищут и поражают *.SYS- файлы. Уничтожают файлы CHKLIST.MS и CHKLIST.CPS. В зависимости от своих внутренних счетчиков перехватывают INT 15h, 1Ch и проявляются каким-то видео-эффектом.

[18] I-Worm.LoveLetter
Этот интернет червь вызвал массовые поражения компьютеров и сетей в начале мая 2000. Червь распространяется в электронных письмах и при активизации рассылает себя с зараженных компьютеров. При своем распространении червь использует почтовую систему Microsoft Outlook и рассылает себя по всем адресам, которые хранятся в адресной книге Outlook. В результате пораженный компьютер рассылает столько зараженных писем, сколько адресов хранится в адресной книге.
Червь написан на скрипт-языке Visual Basic Script (VBS). Запускается только в операционных системах с установленным Windows Scripting Host (WSH) (в
Windows 98, Windows 2000 он установлен по умолчанию).При размножении червь использует функции Outlook, которые доступны только в Outlook98/2000.
При активизации червь рассылает свои копии по электронной почте, инсталлирует себя в систему, выполняет деструктивные действия, скачивает из
Интернет и устанавливает в систему троянский файл. Червь также способен распространяться через IRC-каналы.
Уничтожение файлов
Червь ищет все файлы на всех доступных дисках. Для файлов с разными расширениями червь выполняет различные действия:
VBS, VBE: записывает вместо них свою копию.
JS, JSE, CSS, WSH, SCT, HTA: переименовывает их с расширением .VBS и записывает в них свою копию.
JPG, JPEG: добавляет к именам файлов расширение .VBS и записывает в них свою копию (например, PIC1.JPG.VBS). Оригинальный файл червь удаляет.
MP2, MP3: создает новый файл с именем MP-файла и расширением .VBS и записывает в него свою копию. У первоначальных MP-файлов устанавливает атрибут "скрытый".

[19] I-Worm.Sircam (см.приложение 2 , рис 4)
Опасный сетевой червь, распространяющийся по сети Интернет и ресурсам локальных вычислительных сетей. Файл-носитель червя представляет собой
Windows-приложение, размером около 130 Кб, написанное на языке программирования Delphi. В процессе распространения червь может прикреплять к своим файлам дополнительные файлы DOC, XLS, ZIP и других форматов (см. ниже), так что размер вложенного файла может превышать 130 Кб.
После запуска (например, двойным щелчком на вложенном зараженном файле), червь внедряется в систему, рассылает зараженные сообщения (содержащие вложенные файлы с копией червя), заражает компьютеры, подключенные к доступной ЛВС (если в сети существуют диски, доступные для записи), а также, в зависимости от системной даты, выполняет встроенную деструктивную процедуру.
Деструктивные процедуры.
В зависимости от текущей системной даты и времени, червь с вероятностью 5% удаляет все файлы и поддиректории на диске, где установлена Windows.
При каждой загрузке операционной системы с вероятностью 2% червь создает файл SirCam.Sys в корневой директории текущего диска и записывает в него следующий текст:

[SirCam_2rP_Ein_NoC_Rma_CuiTzeO_MicH_MeX]

[SirCam Version 1.0 Copyright L 2001 2rP Made in / Hecho en - Cuitzeo,

Michoacan Mexico]
С каждым разом червь добавляет этот файл, тем самым постепенно поглощая свободное место на диске. Эти и многие другие текстовые строки в теле червя содержатся в зашифрованом виде.

[20] IIS-Worm.CodeRed (AKA "Code Red", "Bady") ( см.приложение 2, рис.5)
Первый представитель данного семейства сетевых червей, "Code Red" (также известный под именем "Bady"), по данным ZDNet, он заразил около 12 000 серверов по всему миру и провел крупномасштабную DDoS атаку на Web сервер
Белого дома (www.whitehouse.gov), вызвав нарушение его нормальной работы.
"Bady" заражает только компьютеры под управлением Windows 2000 (без установленных сервисных пакетов), с установленным Microsoft Internet
Information Server (IIS) и включенной службой индексирования (Indexing
Service). Вместе с тем, именно это программное обеспечение чаще всего используется на коммерческих Web, FTP и почтовых серверах, что и определило широкое распространение червя. Масштабы эпидемии могли бы быть еще более внушительными, если бы червь поражал и другие версии Windows, например
Windows NT и Windows XP. Однако автор червя умышленно "нацелил" его только на системы Windows 2000.
Для проникновения на удаленные компьютеры червь использует обнаруженную в июне 2001 г. брешь в системе безопасности IIS, которая позволяет злоумышленникам запускать на удаленных серверах посторонний программный код. Для этого "Bady" посылает на случайно выбранный удаленный сервер специальный запрос дающий компьютеру команду запустить основную программу червя, которая в свою очередь попытается таким же образом проникнуть на другие серверы. Одновременно в памяти компьютера может существовать сразу сотни активных процессов червя, что существенно замедляет работу сервера.

Важной особенностью "Bady" является то, что в процессе работы он не использует никаких временных или постоянных файлов. Данный червь уникален: он существует либо в системной памяти зараженных компьютеров, либо в виде
TCP/IP-пакета при пересылке на удаленные машины. Подобная "бестелесность" представляет серьезную проблему для защиты серверов, поскольку требует установки специальных антивирусных модулей на межсетевые экраны.
Помимо значительного замедления работы зараженных компьютеров, "Bady" имеет другие побочные действия. Во-первых, червь перехватывает обращения посетителей к Web сайту, который управляется зараженным IIS-сервером, и вместо оригинального содержимого передает им следующую страницу:

После показа фальсифицированной стартовой страницы взломанного Web сайта в течение 10 часов, червь автоматически возвращает все на свои места и посетители видят оригинальную версию сайта. Важно отметить, что данный эффект проявляется только на системах, где по умолчанию используется язык
"US English".
Во-вторых: между 20 и 27 числами каждого месяца включительно червь осуществляет DDoS (Distributed Denial of Service) атаку на сайт Белого дома
США (www.whitehouse.gov). Для этого копии червя на всех зараженных компьютерах посылают многочисленные запросы на соединение, что вызывает зависание сервера, обслуживающего данный Web-сайт.
Для нейтрализации, а также в качестве профилактической меры для предотвращения проникновения червя на сервер, мы рекомендуем пользователям немедленно установить "заплатку" для исправления "бреши" в системе безопасности IIS.

[21] I-Worm.MyLife ( см.приложение 2, рис:6,7. )
Вирус-червь. Распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам.
Червь является приложением Windows (PE EXE-файл), имеет размер около 30 K
(упакован UPX, размер распакованного файла - около 55 K), написан на Visual
Basic.
Деструктивная процедура
Червь проверяет текущее время, и если текущее значение минуты больше 45, червь запускает деструктивную процедуру: он удаляет файлы с раширениями
.SYS и .COM в корневой директории диска C:, файлы с расширениями .COM,
.SYS, .INI, .EXE в каталоге Windows, а также файлы с расширениями .SYS,
.VXD, .EXE, .DLL в системном каталоге Windows.

[22] I-Worm.Cervivec!(см.приложение 2,рис.8)
Интернет-червь Cervivec распространяется через Интернет в виде файлов, прикрепленных к зараженным письмам. Червь является приложением Windows (PE
EXE-файл), имеет размер около 230K (упакован UPX, размер распакованного файла - около 670K), написан на Delphi.

Червь активизируется только если пользователь сам запускает зараженные файл (при двойном щелчке на вложении). Затем червь инсталлирует себя в систему и запускает процедуры своего распространения. Для скрытия своей активности червь запускает видео-эффект: разноцветные "червяки", поедающие экран.[2]

Приложение 2