Истории о вирусах
         

Способы заражения ЕХЕ-файлов


Самый распространенный способ заражения ЕХЕ-файлов такой: в конец

файла дописывается тело вируса, а заголовок корректируется (с сохране-

нием оригинального) так, чтобы при запуске инфицированного файла

управление получал вирус. Похоже на заражение СОМ-файлов, но вмес-

то задания в коде перехода в начало вируса корректируется собственно

адрес точки запуска программы. После окончания работы вирус берет из

сохраненного заголовка оригинальный адрес запуска программы, прибав-

ляет к его сегментной компоненте значение регистра DS или ES (полу-

ченное при старте вируса) и передает управление на полученный адрес.

Следующий способ - внедрение вируса в начало файла со сдвигом кода

программы. Механизм заражения такой: тело инфицируемой программы

считывается в память, на ее место записывается вирусный код, а после

него - код инфицируемой программы. Таким образом, код программы

как бы "сдвигается" в файле на длину кода вируса. Отсюда и название

способа - "способ сдвига". При запуске инфицированного файла вирус



заражает еще один или несколько файлов. После этого он считывает

в память код программы, записывает его в специально созданный на

диске временный файл с расширением исполняемого файла (СОМ или

ЕХЕ), и затем исполняет этот файл. Когда программа закончила рабо-

ту, временный файл удаляется. Если при создании вируса не применя-

лось дополнительных приемов защиты, то вылечить инфицированный

файл очень просто - достаточно удалить код вируса в начале файла,

и программа снова будет работоспособной. Недостаток этого метода

в том, что приходится считывать в память весь код инфицируемой про-

граммы (а ведь бывают экземпляры размером больше 1Мбайт).

Следующий способ заражения файлов - метод переноса - по всей ви-

димости, является самым совершенным из всех перечисленных. Вирус

размножается следующим образом: при запуске инфицированной про-

граммы тело вируса из нее считывается в память. Затем ведется поиск

неинфицированной программы.
В память считывается ее начало,

по длине равное телу вируса. На это место записывается тело вируса.

Начало программы из памяти дописывается в конец файла. Отсюда на-

звание метода - "метод переноса". После того, как вирус инфицировал

один или несколько файлов, он приступает к исполнению программы,

из которой запустился. Для этого он считывает начало инфицирован-

ной программы, сохраненное в конце файла, и записывает его в начало

файла, восстанавливая работоспособность программы. Затем вирус уда-

ляет код начала программы из конца файла, восстанавливая оригиналь-

ную длину файла, и исполняет программу. После завершения програм-

мы вирус вновь записывает свой код в начало файла, а оригинальное

начало программы - в конец. Этим методом могут быть инфицированы

даже антивирусы, которые проверяют свой код на целостность, так как

запускаемая вирусом программа имеет в точности такой же код, как

и до инфицирования.


Содержание раздела






Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий