Щоб одержати керування, шкідливі програми, що заражають мережі обміну файлами, додають рядок запуску в реєстр операційної системи Microsoft Windows NT.

Самостійна активація вірусу для пиринговых мереж неможлива. Для поширення вірусу, що заражає файлообмінні мережі, на комп'ютерах мережі повинен бути встановлений клієнт відповідної мережі. У противному випадку поширення буде неможливо.

1.2.7 Впровадження по мережі

Шкідливі програми можуть поширюватися через Інтернет або локальну мережу компанії.

Такі програми можуть проникати на інфіковані вузли, переборюючи захист від несанкціонованого доступу, а також використовуючи відкриті порти системи й ресурси, виділені на комп'ютері в спільне користування.

Шкідлива програма може підібрати пароль для одержання несанкціонованого доступу до вузла мережі, якщо адміністратор не блокував можливість підбора пароля системними засобами.

Шкідлива програма може підібрати пароль доступу до вузла мережі або перехопити пароль, переданий по мережі. Якщо пароль зашифрований, то на його розшифровку, можливо, прийдеться витратити певний час.

Навіть якщо шкідливій програмі не відомий пароль доступу до ресурсів вузла мережі, вона може одержати до них доступ, якщо буде використано відомі помилки в прикладному й системному забезпеченні.

Одна з найбільш відомих помилок подібного роду — помилка переповнення буфера в прикладній або системній програмі.

Шкідлива програма може одержати доступ до ресурсів мережі, якщо на одному з вузлів мережі працює «хробак» або троянська програма.

Крім того, шкідлива програма може використати для одержання несанкціонованого доступу до ресурсів вузла або всієї мережі, якщо розроблювач випадково або навмисно залишив можливість одержання такого доступу в обхід штатної системи розмежування доступу або захисту від несанкціонованого доступу.

1.2.8 Драйвери ОС NT

Шкідливі програми можуть поширюватися й через драйвери ОС NT, хоча цей канал поширення вірусів використається досить рідко.

Вірус може впровадитися в програмний файл драйвера операційної системинаприклад, у драйвер диска) і виконувати системні операції під своїм контролем.

Варто помітити, що в середовищі ОС Microsoft Windows/XP/2003 для такого впровадження програмний код шкідливої програми повинен працювати із привілеями адміністратора.

Шкідлива програма може також функціонувати і як сервіс ОС Microsoft Windows/XP/2003.

Створюючи систему захисту від вірусів і шкідливих програм, системний адміністратор повинен чітко уявляти собі, звідки може виникнути загроза безпеці. Ці знання також необхідні й користувачеві, особливо якщо його комп'ютер підключений до локальної мережі або Інтернету.

1.3. Класифікація комп'ютерних шкідливих програм.

На цей час створено величезну кількість шкідливих програм. Різні фахівці й компанії, що займаються антивірусним захистом, використають різні підходи до класифікації шкідливих програм, що створює додаткові труднощі при вивченні проблеми.

Ми будемо дотримуватися наступних способів класифікації:

по типах шкідливих програм;

по ступені поширеності:

по шкідливому впливу;

за рівнем небезпеки.

У літературі й документації на антивірусні програми можна зустріти наступні типи шкідливих програм:

комп'ютерні віруси;

хробаки;

логічні бомби;

троянські об'єкти;

програми Backdoor;

програмні засоби для одержання несанкціонованого доступу до комп'ютерних систем.

Важливо відзначити, що існує безліч комбінованих шкідливих програм, що мають різні властивості.

Наприклад, програма може проникнути в комп'ютер як вірус, а потім установити там модуль Backdoor, що відкриває зловмисникові доступ до ресурсів комп'ютера. Троянська програма після запуску користувачем може «випустити» комп'ютерний вірус, установити модуль Backdoor або логічну бомбу.

Всі комп'ютерні віруси варто розглядати як шкідливі, тому що вже сам факт їхнього поширення може завдати шкоди інформаційній системі.

Віруси можна класифікувати на наступні типи:

файлові віруси;

завантажувальні віруси;

файлово-завантажувальні віруси;

стелс-віруси;

віруси, що шифруються;

поліморфні віруси;

макрокомандні віруси;

поштові віруси;

віруси в пакетних файлах ОС;

віруси в драйверах ОС;

безтілесні віруси;

віруси для пірінгових мереж;

комбіновані віруси;

відомі й невідомі віруси;

колекційні віруси.

Як можна побачити, список різних типів вірусів досить великий. Знання особливостей вірусів різних типів важливо не тільки для розробки антивірусних програм, але й для їхнього грамотного використання.

1.3.1 Файлові віруси

З перших днів існування персональних комп'ютерів і по теперішній час для зберігання інформації будь-якого типу використаються файли.

Саме файли стали об'єктом атаки найперших комп'ютерних вірусів. Сучасні віруси також атакують файли, впроваджуючи в них свій шкідливий програмний код.

Визначення файлового вірусу містить опис механізму прикріплення вірусу до тіла файлу:

Файловий вірус — це вірус, що записує свій код у тіло програмного файлу або офісного документа (документа, що містить макрокоманди й створеного такою програмою, як Microsoft Office або аналогічної).

При цьому під час запуску програми (або завантаженню офісного документа для редагування) вірус одержує керування. Одержавши керування, файловий вірус може записати своє тіло в усі інші файли, що зберігаються на диску комп'ютера.

Заражаючи файл, вірус записує свій код усередину виконуваного файлу й змінює його таким чином, щоб після запуску файл керування одержав код вірусу (мал. _1).

Мал. 1-1. Впровадження вірусу у файл

Вірус може записати свій код у кінець, початок або середину файлу. Вірус також може помістити кілька фрагментів свого коду в різних місцях зараженої програми.

Після впровадження у файл вірус виконує інші шкідливі дії: заражає інші файли, установлює в пам'яті власні резидентні модулі та ін. Потім вірус, як правило, передає керування зараженій програмі й далі вона виконується як звичайно.

Як приклад на мал. 1-2 показано вихідний зміст програмного файлу mouse.com, а на мал. 1-2 — зміст того ж файлу, але інфікованим дуже відомомим в минулому небезпечним вірусом OneHalf.

Мал. 1-2. Зміст програмного файлу mouse.com

Мал. 1-3. Вірус OneHalf у файлі mouse.com

До файлових вірусів можна віднести й так звані віруси-супутники.

Як відомо, в ОС Microsoft Windowsіснують три типи файлів, які користувач може запустити на виконання. Це командні або пакетні файли, що мають розширення імені файлу cmd, а також файли з розширеннями COM і EXE.

В одному каталозі можуть одночасно перебувати кілька файлів COM і EXE, що мають однакове ім'я, але різне розширення імені. Коли користувач бажає виконати програму й