Новости безопасности

Файловый нерезидентный вирус целиком размещается в исполняемом файле, в
связи с чем он активизируется только в случае активизации
вирусоносителя, а по выполнении необходимых действий возвращает
управление самой программе. При этом выбор очередного файла для
заражения осуществляется вирусом посредством поиска по каталогу.
Файловый резидентный вирус отличается от нерезидентного тем, что
заражает не только исполняемые файлы, находящиеся во внешней памяти, но
и оперативную память (ОП) ПЭВМ. С чисто технологической точки зрения ОП
можно считать файлом, к которому применимы все описанные выше способы
имплантации. Однако резидентный вирус отличается от нерезидентного как
логической структурой, так и общим алгоритмом функционирования.

Резидентный вирус состоит из так называемого инсталлятора и программ
обработки прерываний. Инсталлятор получает управление при активизации
вирусоносителя и инфицирует ОП путем размещения в ней управляющей части
вируса и замены адресов в элементах вектора прерываний на адреса своих
программ, обрабатывающих эти прерывания. На так называемой фазе
слежения, следующей за описанной фазой инсталляции, при возникновении
какого-либо прерывания управление получает соответствующая программа
вируса. В связи с существенно более универсальной по сравнению с
нерезидентными вирусами общей схемой функционирования, резидентные
вирусы могут реализовывать самые разные способы инфицирования. Наиболее
распространенными способами являются инфицирование запускаемых
программ, а также файлов при их открытии или чтении.

Одной из разновидностей резидентных вирусов являются так называемые
бутовые вирусы. Отличительной особенностью последних является
инфицирование загрузочного (бут-сектора) магнитного носителя (гибкого
или жесткого диска). При этом инфицированными могут быть как
загружаемые, так и незагружаемые дискеты. Первые содержат копию MS DOS,
тогда как вторые - произвольную информацию. Голова бутового вируса
всегда находится в бут-секторе (единственном для гибких дисков и одном
Из двух - для жестких), а хвост - в любой другой области носителя.
Наиболее безопасным для вируса способом считается размещение хвоста в
так называемых псевдосбойных кластерах, логически исключенных из числа
доступных для использования. Существенно, что хвост бутового вируса
всегда содержит копию оригинального (исходного) бут-сектора. Механизм
инфицирования, реализуемый бутовыми вирусами, таков. При загрузке MS
DOS.с инфицированного диска вирус в силу своего положения на нем
(независимо от того, с дискеты или винчестера производится загрузка)
получает управление и копирует себя в ОП. Затем он модифицирует вектор
прерываний таким образом, чтобы прерывания по обращении к диску
обрабатывались собственным обработчиком прерываний вируса, и запускает
загрузчик ОС. Благодаря перехвату прерываний бутовые вирусы могут
реализовать столь же широкий набор способов инфицирования и целевых
функций, сколь и файловые резидентные вирусы.
Близость механизмов функционирования бутовых и файловых резидентных
вирусов сделала возможным и естественным появление файлово-бутовых, или
гибридных, вирусов, инфицирующих как файлы, так и бут-секторы.
Особенностью пакетного вируса является размещение его головы в пакетном
файле. При этом голова представляет собой строку или программу на языке
управления заданиями ОС.