Троянские кони (логические бомбы)
К троянским коням относятся программы, наносящие какие-либо разрушительные
действия, т.е. в зависимости от каких-либо условий или при каждом
запуске уничтожающая информацию на дисках, "завешивающая"
систему и т.п.
Большинство известных мне троянских коней являются программами,
которые "подделываются" под какие-либо полезные программы,
новые версии популярных утилит или дополнения к ним. Очень часто
они рассылаются по BBS-станциям или электронным конференциям.
По сравнению с вирусами "троянские кони" не получают
широкого распространения по достаточно простым причинам - они
либо уничтожают себя вместе с остальными данными на диске, либо
демаскируют свое присутствие и уничтожаются пострадавшим пользователем.
К "троянским коням" также можно отнести "дропперы"
вирусов - зараженные файлы, код которых подправлен таким образом,
что известные версии антивирусов не определяют вируса в файле.
Например, файл шифруется каким-либо специальным образом или упаковывается
редкоиспользуемым архиватором, что не позволяет антивирусу "увидеть"
заражение.
Следует отметить также "злые шутки" (hoax). К ним относятся
программы, которые не причиняют компьютеру какого-либо прямого
вреда, однако выводят сообщения о том, что такой вред уже причинен,
либо будет причинен при каких-либо условиях, либо предупреждают
пользователя о несуществующей опасности. К "злым шуткам"
отностяся, например, программы, которые "пугают" пользователя
сообщениями о форматировании диска (хотя никакого форматирования
на самом деле не происходит), детектируют вирусы в незараженных
файлах (как это делает широко известная программа ANTITIME), выводят
странные вирусоподобные сообщения (драйвер диска CMD640X от какого-то
коммерческого пакета) и т.д. - в зависимости от чувства юмора
автора такой программы. Видимо, к "злым шуткам" относится
также строка "CHOLEEPA" во втором секторе винчестеров
фирмы Seagate.
К такой же категории "злых шуток" можно отнести также
заведомо ложные сообщения о новых супер-вирусах. Такие сообщения
периодически появляются в электронных конференциях и обычно вызывают
панику среди пользователей.
Утилиты скрытого администрирования (backdoor)
Троянские кони этого класса по своей сути является достаточно
мощными утилитами удаленного администрирования компьютеров в сети.
По своей функциональности они во многом напоминают различные системы
администрирования, разрабатываемые и распространяемые различными
фирмами-производителями программных продуктов.
Единственная особенность этих программ заставляет классифицировать
их как вредные троянские программы: отсутствие предупреждения
об инсталляции и запуске. При запуске троянец устанавливает себя
в системе и затем следит за ней, при этом пользователю не выдается
никаких сообщений о действиях троянца в системе. Более того, ссылка
на троянца может отсутствовать в списке активных приложений. В
результате "пользователь" этой троянской программы может
и не знать о ее присутствии в системе, в то время как его компьютер
открыт для удаленного управления.
Будучи установленными на компьютер, утилиты скрытого управления
позволяют делать с компьютером все, что в них заложил их автор:
принимать/отсылать файлы, запускать и уничтожать их, выводить
сообщения, стирать информацию, перезагружать компьютер и т.д.
В результате эти троянцы могут быть использованы для обнаружения
и передачи конфиденциальной информации, для запуска вирусов, уничтожения
данных и т.п. - пораженные компьютеры оказываются открытыми для
злоумышленных действий хакеров.
Intended-вирусы
К таким вирусам относятся программы, которые на первый взгляд
являются стопроцентными вирусами, но не способны размножаться
по причине ошибок. Например, вирус, который при заражении "забывает"
поместить в начало файлов команду передачи управления на код вируса,
либо записывает в нее неверный адрес своего кода, либо неправильно
устанавливает адрес перехватываемого прерывания (что в подавляющем
большинстве случаев завешивает компьютер) и т.д.
К категории "intended" также относятся вирусы, которые
по приведенным выше причинам размножаются только один раз - из
"авторской" копии. Заразив какой-либо файл, они теряют
способность к дальнейшему размножению.
Появляются intended-вирусы чаще всего при неумелой перекомпиляции
какого-либо уже существующего вируса, либо по причине недостаточного
знания языка программирования, либо по причине незнания технических
тонкостей операционной системы.
Конструкторы вирусов
Конструктор вирусов - это утилита, предназначенная для изготовления
новых компьютерных вирусов. Известны конструкторы вирусов для
DOS, Windows и макро-вирусов. Они позволяют генерировать исходные
тексты вирусов (ASM-файлы), объектные модули, и/или непосредственно
зараженные файлы.
Некоторые конструктороы (VLC, NRLG) снабжены стандартным оконным
интерфейсом, где при помощи системы меню можно выбрать тип вируса,
поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки,
противодействие отладчику, внутренние текстовые строки, выбрать
эффекты, сопровождающие работу вируса и т.п. Прочие конструкторы
(PS-MPC, G2) не имеют интерфейса и считывают информацию о типе
вируса из конфигурационного файла.
Полиморфные генераторы
Полиморфик-генераторы, как и конструкторы вирусов, не являются
вирусами в прямом смысле этого слова, поскольку в их алгоритм
не закладываются функции размножения, т.е. открытия, закрытия
и записи в файлы, чтения и записи секторов и т.д. Главной функцией
подобного рода программ является шифрование тела вируса и генерация
соответствующего расшифровщика.
Обычно полиморфные генераторы распространяются их авторами без
ограничений в виде файла-архива. Основным файлом в архиве любого
генератора является объектный модуль, содержащий этот генератор.
Во всех встречавшихся генераторах этот модуль содержит внешнюю
(external) функцию - вызов программы генератора.
Таким образом автору вируса, если он желает создать настоящий
полиморфик-вирус, не приходится корпеть над кодами собственного
за/расшифровщика. При желании он может подключить к своему вирусу
любой известный полиморфик-генератор и вызывать его из кодов вируса.
Физически это достигается следующим образом: объектный файл вируса
линкуется с объектным файлом генератора, а в исходный текст вируса
перед командами его записи в файл вставляется вызов полиморфик-генератора,
который создает коды расшифровщика и шифрует тело вируса.
Назад
- Далее
