В результате на диске оказываются зараженными все или почти все файлы, которые постоянно используются в работе.

Скорость распространения резидентных файловых вирусов, заражающих файлы только при запуске на выполнение, будет ниже, чем у вирусов, заражающих файлы и при их от-крытии, переименовании, изменении атрибутов файла и т. д.

Многие вирусы при создании своей копии в оперативной памяти компьютера пытаются занять область памяти с самыми старшими адресами, разрушая временную часть команд-ного интерпретатора C0MMAND.COM. По окончании работы зараженной программы временная часть интерпретатора восстанавливается, при этом происходит открытие файла C0MMAND.COM и его заражение.

Таким образом, при запуске подобного вируса первым будет заражен файл C0MMAND.COM.

Внедрение вирусов в SYS-файлы

Вирусы, внедряющиеся в SYS-файл, приписывают свои коды к телу файла и модифицируют адреса программ стратегии (Strategy) и прерывания (Interrupt) заражаемого драйвера (встречаются вирусы, изменяющие адрес только одной из программ).

При инициализации зараженного драйвера вирус перехватывает соответствующий запрос операционной системы, передает ее драйверу, ждет ответа на этот запрос, коррек-тирует его и остается в оперативной памяти вместе с драйвером в одном блоке памяти. Такой вирус может быть чрез-

вычайно опасным и живучим, так как внедряется в ОЗУ при загрузке DOS раньше любой антивирусной программы, если она, конечно, тоже не является драйвером.

TSR (резидентные) вирусы

DOS предусматривает единственный способ создания резидентных (TSR) модулей — при помощи функции KEEP (int21h или int27h). Многие файловые вирусы для маскировки своего распространения используют другой способ, обрабатывая системные области, управляющие распределением памяти, выделяют для себя свободный участок памяти, помечают его как занятый и переписывают туда свою копию.

Некоторые вирусы внедряют свои TSR-копии в свободные участки памяти в таблице секторов прерываний, в рабочие области DOS, в память, отведенную под системные буферы.

Известны два способа проверки резидентным вирусом наличия своей копии в памяти ПК:

• Первый заключается в том, что вирус вводит новую функцию некоторого прерывания, действие которой заключается в возврате значения «я здесь». При старте вирус обращается к ней и, если возвращенное значение совпадает со значением «я здесь», то память ПК уже заражена и повторное заражение не производится.

• При проверке вторым способом вирус просто скопирует память ПК.

Оба способа могут в той или иной мере сочетаться друг с другом.

Диагностика и профилактика заражения ПК вирусами

Один из основных методов борьбы с вирусами является, как и в медицине, своевременная профилактика. Компьютерная профилактика состоит из небольшого количества правил, соблюдение которых значительно снижает вероятность заражения вирусом и утери каких-либо данных.

1. Лучше покупать дистрибутивные копии программного обеспечения у официальных продавцов, чем бесплатно или почти бесплатно копировать их из других источ-ников.

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 143 144 145 146 147 148 149 150 151