Компьютерные вирусы
Категория реферата: Рефераты по информатике, программированию
Теги реферата: ответ 4, сочинение на тему онегин
Добавил(а) на сайт: Юрия.
1 2 3 4 | Следующая страница реферата
Коваленко Михаил Сергеевич "Компьютерные вирусы и борьба с ними" (реферат)
1
____________________________________________________________________________
__________________________________ 31.03.02
Приложение 1
[1] Time, семейство
Резидентные неопасные вирусы. Перехватывают INT 1Ch, 21h и записываются в конец запускаемых .EXE-файлов. Приблизительно раз в час пищат несколько раз спикером компьютера.
[2] Havoc (Stealth_Boot), семейство
Загрузочные стелс -вирусы. При загрузке с пораженного флоппи
записываются в MBR винчестера. Затем перехватывают INT 13h и поражают
флоппи-диски при чтении с них. Заражение дискет происходит по алгоритму
"Brain" .
В зависимости от системного таймера "Havoc.a,b,Innocent"
стирают сектора дисков. "Havoc.Amse" безобиден, никак не проявляется.
"Havoc.Alfredo" расшифровывает текст и выводит его на принтер:
LIMA - PERU
(c) Laboratorio Luz de Luna
ANGEL X TE SALUDA
[3] Brain, семейство
Состоит из двух практически совпадающих безобидных вирусов: "Brain-Ashar" и
"Brain-Singapore". Они заражают загрузочные сектора дискет при обращении к
ним (INT 13h, AH=02h). Продолжение вируса и первоначальный загрузочный
сектор размещаются в секторах, которые принадлежат свободным кластерам
диска. При поиске этих кластеров вирусам приходится анализировать таблицу
размещения файлов (FAT). В FAT эти кластеры помечаются как сбойные (так
называемые "псевдосбойные" кластеры). У зараженного диска устанавливается
новая метка "(C) Brain". Вирусы используют "стелс"-механизм: при попытке
просмотра загрузочного сектора зараженного диска они "подставляют" истинный
сектор.
[4] Vienna, семейство
Нерезидентные вирусы. При запуске ищут .COM-файлы и записывается в их
конец. Ищут файлы текущем каталоге и в зависимости от версии вируса в
корневом каталоге, либо в каталогах, отмеченных системной переменной PATH.
Заражение происходит при запуске инфицированной программы, при этом
заражается не более одного файла. Многие вирусы семейства при попытке
заражения проверяют у файла значение секунд (или месяца в зависимости от
версии вируса) последней модификации файла. Если оно равно 1Fh (62 секунды, соответственно 0Dh - 13-й месяц), то файл не заражается. Некоторые
представители семейства в зависимости от таймера могут "убивать" файлы, записывая в их начало 5 байтов либо команды перехода на перезагрузку JMP
F000:FFF0, либо JMP C800:0005, JMP C800:0000 или JMP C800:0006 в
зависимости от версии вируса.
[5] Cascade
Очень опасен. Иногда выводит сообщение:
IL SISTEMA К FOTTUTO!!
S.E.K. VIRUS Made in ITALY RM
5iD G.Ferraris 90/91 (c)
и стирает сектора дисков. Также уничтожает файл CHKLIST.CPS.
[6] Ping-Pong
Не опасен. Перехватывает INT 8, 13h. Имеет байт, содержащий номер версии
вируса. Если обнаруживает диск, зараженный своей предыдущей версией, то
"обновляет" ее. Вызывает видеоэффект скачущего шарика (знак 07h ASCII), который перемещается по экрану, отражаясь от знаков и границ экрана.
[7] VirDem, семейство (см.приложение 2,рис.1)
Опасные нерезидентные вирусы, записываются в начало .COM-файлов текущего
диска.
"Virdem.833" двигает по экрану изображение жука.
"VirDem.1542" заполняет экран цветной абстрактной картинкой.
"VirDem.1336.a" снимает и не восстанавливает атрибуты файла.
[8] GoodTimes - миф о компьютерном вирусе
В начале декабря 1994 по сетям Internet и FIDO прошло сообщение о якобы
существующем вирусе, который заражает компьютер посредством электронной
почты - при получении и чтении писем. Сообщение выглядело следующим
образом:
Here is some important information. Beware of a file called GoodTimes.
Happy Chanukah everyone, and be careful out there. There is a virus on
America Online being sent by E-Mail. If you get anything called "Good
Times", DON'T read it or download it. It is a virus that will erase your
hard drive. Forward this to all your friend. It may help them a lot.
Это сообщение вызвало настоящую панику среди пользователей Internet. Было зафиксировано даже несколько сообщений о действительно зараженных компьютерах - однако все такие сообщения были "секонд-хенд", но никто в действительности так никогда и не встретился с этим монстром (по той причине, что такого вируса никогда и не было).
Весной 1995 история с "GoodTimes" продолжилась еще одним сообщением на ту
же тему - о вирусе, распространяющем себя по всем E-mail адресам, которые
присутствуют в ящиках Inbox и SentMail. Как и в первом случае, никакого
такого вируса обнаружено так и не было.
Тогда же в очередном номере журнала вирусописателей "VLAD" появились
исходные тексты вируса, названного его автором "Good Times" (разработчики
антивирусов назвали сей вирус "GT-Spoof"). Это был обычный DOS-вирус, не
имевший никакого отношения к сетям и Internet.
[9] Vacsina, Yankee, семейство
Семейство вирусов "VACSINA" (не "VACCINA"!) и "Yankee" насчитывает более 40
файловых резидентных неопасных вирусов. Характерной особенностью вирусов
данного семейства является то, что они восстанавливают файлы, зараженные
предыдущими версиями вирусов семейства, и затем инфицируют их снова.
Заражают COM- и EXE-файлы при их выполнении (вирусы версий до 26h) или
загрузке в память (вирусы версий 26h и выше). Стандартно заражают COM-
файлы. Кроме того, вирусы "Vacsina" увеличивают длину заражаемого файла до
параграфа. Начиная с версии 2Ah к файлу после заражения дописываются
дополнительные 4 байта.
Вирусы младших версий (до 23h) инфицируют EXE-файлы специальным образом:
файлы переводятся в формат COM-файлов. Для этого к файлу дописывается
небольшой фрагмент вируса (132 байта), настраивающий адреса по таблице
адресов при загрузке файла в память для выполнения, и изменяются первые три
байта файла (JMP на фрагмент). Дописанные к файлу 132 байта не
распространяют вируса. Их действие заключается только в настройке адресов
программы при ее запуске. Обработанный таким образом файл будет выполняться
операционной системой и заражаться многими вирусами как COM-файл. При
запуске EXE-программы, содержащейся в подобном файле, управление передается
на фрагмент настройки адресов, который анализирует таблицу адресов в
заголовке файла и соответствующим образом корректирует загруженную
программу. Затем управление передается на стартовый адрес, указанный в
заголовке файла. Вирусы перехватывают вектор прерывания 21h, а некоторые
представители семейства "Yankee" - INT 1, 3, 9, 1Ch.
Вирусы вызывают звуковые эффекты: при заражении файла вирусом "VACSINA"
раздается звуковой сигнал (BELL), вирусы "Yankee" в зависимости от
некоторых условий (при одновременном нажатии клавиш Alt-Ctrl-Del либо в
17.00) исполняют мелодию "Yankee Doodle Dandy". При некоторых условиях
вирус "Vacsina.06" расшифровывает и выдает на экран строку "Az sum vasta
lelja."
Yankee.2189
Семейство "Yankee". Зашифрован, периодически 'крутит' символы '/', '', '-
', '|'.
Yankee.Estonia.1716
Семейство "Yankee". Резидентный опасный вирус. По понедельникам в 14 часов
расшифровывает и выводит в центр экрана текст: "Independent Estonia
presents", затем играет "Собачий вальс" и перезагружает компьютер.
[10] Aids (см.приложение 2,рис.2)
Резидентный очень опасный вирус. Перехватывает INT 3, 21h и записывается в
конец EXE-файлов при их закрытии. В каждый 16-й закрываемый COM-файл
записывает часть своего кода (файл не восстанавливается, так как вирус не
сохраняет старое содержимое файла). При запуске такого файла не экран
крупными буквами выдается слово "AIDS".
[11] Peterburg
Бехобидный резидентный вирус. Перехватывает INT 21h и записывается в начало
.COM-файлов при их запуске. Никак не проявляется.
[12] Voronezh, семейство
Voronezh.370,600
Рекомендуем скачать другие рефераты по теме: темы рефератов по физике, контрольная 3.
1 2 3 4 | Следующая страница реферата