Захист операційних систем

Компаньйон-віруси

До категорії "компаньйон" відносяться віруси, які не змінюють файлів, що заражаються. Алгоритм роботи цих вірусів полягає в тому, що для файла, який заражається, створюється файл-двійник, причому при запуску зараженого файлу керування одержує саме цей двійник, тобто вірус.

1. Найбільш поширені компаньйон-віруси, що використовують особливість DOS першим виконувати .COM-файл, якщо в одному каталозі присутні два файли з тим самим ім'ям, але різними расширеннями імені - .COM і .EXE. Такі віруси створюють для EXE-файлів файли-супутники, що мають те ж саме ім'я, але з розширенням .COM, наприклад, для файлу XCOPY.EXE створюється файл XCOPY.COM. Вірус записується в COM-файл і ніяк не змінює EXE-файл. При запуску такого файлу DOS першим знайде і виконає COM-файл, тобто вірус, який потім запустить і EXE-файл. Деякі віруси використовують не тільки варіант COM-EXE, але також і BAT-COM-EXE.

2. Другу групу складають віруси, що при зараженні перейменовують файл у яке-небудь інше ім'я, запам'ятовують його (для наступного запуску файла-хазяїна) і записують свій код на диск під іменем файла, що заражається. Наприклад, XCOPY.EXE перейменовується в XCOPY.EXD, а вірус записується під ім'ям XCOPY.EXE. При запуску керування одержує код вірусу, що потім запускає оригінальний XCOPY, що зберігається під ім'ям XCOPY.EXD. Цікавий той факт, що даний метод працює, напевно, у всіх операційних системах: в DOS, в Windows і OS/2.

3. У третю групу входять так називані "Path-companion" віруси, що "грають" на особливостях PATH. Вони або записують свій код під іменем зараженого файлу, але "вище" на один рівень PATH (ОС, таким чином, першим знайде і запустить файл-вірус), або переносять файл-жертву на один підкаталог вище і т.д.

Можливе існування й інших типи компаньйонів-вірусів, що використовують інші оригінальні чи ідеї особливості інших операційних систем.

Link-віруси

Link-віруси, як і компаньйон-віруси не змінюють фізичного вмісту файлів, однак під час запуску зараженого файла "змушують" ОС виконати свій код. Цієї мети вони досягають модифікацією необхідних полів файлової системи. На сьогоднішній день відомий єдиний тип Link-вірусів - віруси сімейства "Dir_II". При зараженні системи вони записують своє тіло в останній кластер логічного диска. При зараженні файлу віруси коректують лише номер першого кластера файла, розташований у відповідному секторі каталогу. Новий початковий кластер файла буде вказувати на кластер, що містить тіло вірусу. Отже, при зараженні файлів їх довжини і вміст кластерів диска, що містять ці файли, не змінюються, а на всі заражені файли на одному логічному диску буде приходитися тільки одна копія вірусу.

Таким чином, до зараження дані каталогу зберігають адресу першого кластера файлу (рис.9,а), а після зараження дані каталогу вказують на вірус, тобто при запуску файлу керування одержують не самі файли, а вірус (рис.9,б).

Файлові хробаки

Файлові хробаки (worms) є, у деякому сенсі, різновидом компаньйон-вірусів, але при цьому ніяким чином не пов'язують свою присутність з якимось виконуваним файлом. При розмноженні вони лише копіюють свій код у які-небудь каталоги дисків у надії, що ці нові копії будуть колись запущені користувачем. Іноді ці віруси дають своїм копіям спеціальні імена, щоб підштовхнути користувача на запуск своєї копії, наприклад, INSTALL.EXE чи WINSTART.BAT.

Існують віруси-хробаки, що використовують досить незвичайні прийоми, наприклад, записують свої копії в архіви (ARJ, ZIP та ін.). До таких вірусів відносяться "ArjVirus" і "Winstart". Деякі віруси записують команду запуску зараженого файлу в BAT-файли (наприклад, "Worm.Info").

Не слід плутати файлові віруси-хробаки з мережними хробаками. Перші використовують тільки файлові функції якої-небудь ОС, другі ж при своєму розмноженні користуються мережними протоколами.

OBJ-, LIB-віруси і віруси у вихідних текстах

Віруси, що заражають бібліотеки компіляторів, об'єктні модулі і вихідні тексти програм досить екзотичні і практично не поширені. Усього їх біля десятка.

Віруси, що заражають OBJ- і LIB-файли, записують у них свій код у форматі об'єктного модуля чи бібліотеки. Заражений файл, таким чином, не є виконуваним і нездатний на подальше поширення вірусу у своєму поточному стані. Носієм же "живого" вірусу стає COM- чи EXE-файл, одержуваний у процесі лінковки зараженого OBJ/LIB-файлу з іншими об'єктними модулями і бібліотеками. Таким чином, вірус поширюється в два етапи: на першому заражаються OBJ/LIB-файли, на другому етапі (лінковка) виходить працездатний вірус.

Зараження вихідних текстів програм є логічним продовженням попереднього методу розмноження. При цьому вірус додає до вихідних текстів свій вихідний код (у цьому випадку вірус повинен містити його у своєму тілі) чи свій шістнадцятковий дамп (що технічно легше). Заражений файл здатний на подальше поширення вірусу тільки після компіляції і лінковки (віруси "SrcVir", "Urphin").

Алгоритм роботи файлового вірусу

Одержавши керування, вірус здійснює такі дії (приведений список найбільш загальних дій вірусу при його виконанні, і для конкретного вірусу список може бути доповнений, пункти можуть помінятися місцями і значно розширитися):

1) резидентний вірус перевіряє оперативну пам'ять на наявність своєї копії і інфікує пам'ять комп'ютера, якщо копія вірусу не знайдена. Нерезидентный вірус шукає незаражені файли в поточному і\або кореневому каталозі, у каталогах, відзначених командою PATH, сканує дерево каталогів логічних дисків, а потім заражає виявлені файли;

2) виконує, якщо вони є, додаткові функції, деструктивні дії, графічні чи звукові ефекти і т.д. Додаткові функції резидентного вірусу можуть викликатися через деякий час після активізації в залежності від поточного часу, конфігурації системи, внутрішніх лічильників чи вірусу інших умов; у цьому випадку вірус при активізації обробляє стан системного годинника, встановлює свої лічильники і т.д.;

3) повертає керування основній програмі (якщо вона є). Паразитичні віруси при цьому або лікують файл, виконують його, а потім знову заражають, або відновлюють програму (але не файл) у вихідному виді (наприклад, у COM-програм відновлюються декілька перших байтів, у EXE-програми обчислюється справжня стартова адреса, у драйвера відновлюються значення адрес програм стратегії і переривання). Компаньйони-віруси запускають на виконання свого "хазяїна", віруси-хробаки і overwriting-віруси повертають керування ОС.

Метод відновлення програми у первісному вигляді залежить від способу зараження файлу.

Якщо вірус впроваджується в початок файла, то він або зрушує коди зараженої програми на число байтів, рівне довжині вірусу, або переміщає частина коду програми з її кінця в початок, або відновлює файл на диску, а потім запускає його.

Якщо вірус записався в кінець файла, то при відновленні програми він використовує інформацію, збережену у своєму тілі при зараженні файлу. Це може бути довжина файлу, декілька байтів початку файлу у випадку COM-файлу або декілька байтів заголовка у випадку EXE-файлу.

Якщо ж вірус записується в середину файла спеціальним чином, то при відновленні файлу він використовує ще і спеціальні алгоритми.

Приклади файлових вірусів

Abba.9849

Безпечний резидентний вірус. Перехоплює INT 21h і записується в кінець COM- і EXE-файлів при їх запуску. Містить рядки

\COMMAND.COM

Program too big to fit in memory

\ABBAл|*.* E\ABBAл|

Створює на поточному диску файли ABBAл|nn з атрибутами HIDDEN і READONLY, 'nn' - число файлів, заражених на цьому диску. Це число збільшується при зараженні чергового файлу - вірус перейменовує цей файл в ABBAл|(nn+1). Залежно від числа nn вірус проявляє себе якимсь відео-ефектом на відео карті Hercules.

Lenin 943

Безпечний нерезидентний вірус. При запуску шукає EXE-файли і записується в їх кінець. При зараженні не змінює значення регістрів в EXE-заголовку, а вставляє в точку входу у файл команду CALL FAR virus і коректує Relocation Table. Залежно від своїх лічильників виводить тексти

САМЫЙ! ЧЕЛОВЕЧНЫЙ! ЧЕЛОВЕК!

Ленин и сегодня всех живых держит мертвой хваткой упыря

Також містить рядки

*.EXE PATH=

Metall.557

Дуже небезпечний нерезидентний вірус. Шукає .COM-файлы окрім COMMAND.COM і записується в їх кінець. Коректно заражає тільки файли, на початку яких присутня команда JMP/CALL NEAR. Решта файлів після зараження виявляється зіпсованими. Залежно від системного таймера перемішує символи на екрані. Містить рядок: METALL\I

Scorpion.2278

Дуже небезпечний нерезидентний зашифрований вірус. При запуску заражає файл C\COMMAND.COM, потім шукає COM- і EXE-файли і записується в їх кінець. При зараженні COMMAND.COM записується в кінець файлa в область стека COMMAND.COM і, таким чином, не збільшує його довжину. Знищує файли з ім'ям CHKLIST.MS. В деяких випадках також шукає інші файли і знищує їх. Залежно від системної дати і встановленого BIOS'а форматує вінчестер, виводить текст:

DEATH ON TWO LEGS V2.8

(c) BLACK SCORPiON, 1996

Written in Moscow

потім перехоплює INT 1Ch і програє мелодію. Вірус також містить рядки:

*.* *.EXE *.COM

C\COMMAND.COM

DEATH ON TWO LEGS WAS HERE

Sisters.2221

Дуже небезпечний резидентний зашифрований вірус. Перехоплює INT 21h, 16h і записується в кінець COM- і EXE-файлів при їх запуску. Знищує антивірусні файли даних CHKLIST.MS і CHKLIST.CPS.

Залежно від значень внутрішнього лічильника і поточної дати вірус відключає драйвер миші, стирає 40 секторів на диску C, видаляє CMOS пам'ять, завішує комп'ютер, виводить повідомлення:

TEMPLE OF LOVE V1.0 MS 95.

FoUnD VIRUS SYSTERS OF MERCY iN yOuR sYsTeM !!!

Вірусний обробник INT 16h (клавіатура) стирає CMOS-пам'ять комп'ютера після 700 натиснень на клавіші. Вірус також містить рядки тексту:

SyStEm is now halted.

• 3.4 Завантажувальні (бутові) віруси
• Цей тип вірусів називають так через те, що вони впроваджуються в завантажувальний сектор диска (Вооt-сектор) або в сектор, який вміщує системний завантажувач вінчестера (Маster Вооt Record).
• Як і для файлових вірусів, виділимо групи бутових вірусів, а для кожного окремого вірусу - класифікаційний код, дискриптор і сигнатури.

Класифікаційний код завантажувального вірусу

Класифікаційний код бутового вірусу складається з префікса і кількісної характеристики.

Префікс

Оскільки майже всі бутові віруси є резидентними, то використання символа R у префіксі їх класифікаційного коду недоцільне. Найважливішою властивістю бутових вірусів, які порівнюються за значенням з резидентністю файлових вірусів, є спроможність деяких бутових вірусів зберігатися в пам'яті після "теплого" перезавантаження шляхом натискування комбінації клавіш Сtrl-Alt-Del. Цю властивість позначають літерою W (service Warm reboot) в префіксі. Всі бугові віруси заражають дискети, але деякі з них заражають і вінчестер. Віруси, які інфікують тільки дискети (віруси "Вгаіn", "Den Zuk"), позначатимемо префіксом D.

При зараженні бут-сектора можливі два випадки: зараження бут-сектора - розділу С вінчестера (префікс В) і зараження МВR - виконуваної частини таблиці розділів (префікс М). Оскільки одним з найпоширеніших випадків розміщення хвоста бутового вірусу є його розміщення в псевдозбійних кластерах (що легко визначити, переглянувши їх вміст за допомогою Norton Utilites), то для таких вірусів у суфікс включають літеру х, за якою стоїть кількість цих кластерів, наприклад, Вхl.

Кількісна характеристика

Вибір кількісної характерристики для бутових вірусів має певну специфіку: якщо для файлових вірусів найхарактернішою ознакою зараження є збільшення довжини файла, то для бутових вірусів аналогічну роль відіграє зменшення розмірів оперативної пам'яті, яка доступна ОС.

Важливою вимогою до вибору властивостей вірусу, який використовується для класифікації, є можливість їх визначення на незараженій машині. Кількість блоків пам'яті, які використовуються бутовим вірусом, цьому критерію не відповідає, тому від цієї характеристики довелося відмовитися. Отже, використовують іншу характеристику бутового вірусу - вміст зараженого бут-сектора (вірніше, вміст перших його байтів). Разом з тим аналіз об'єму пам'яті, який повідомляє ОС, є дуже корисним для діагностики. При підозрюванні на зараження тим чи іншим вірусом можна виконати програму СНКТ38К, яка повідомляє значення об'єму пам'яті, а також дає ряд інших корисних повідомлень, включаючи об'єм пам'яті, зайнятий на диску збійними кластерами. Цю програму доцільно вставляти в код програми початкового завантаження.

За характеристику вибрано значення другого байта зараженого бут-сектора. Водночас зміст цього байта записується в 16-річній системі числення, що створює певну неузгодженість з характеристикою файлових вірусів, яка є десятковим числом. Тому у варіанті класифікаційного коду вірусу префікс і характеристика розділяються знаком "-" (мінус).

Слід підкреслити, що переглядати зміст бут-сектора можна лише тоді, коли попередньо завантажитись із захищеної від запису резервної дискети з операційною системою і необхідними антивірусними програмами, оскільки сама операція перегляду на зараженій машині може або перехоплюватися вірусом для підстановки "чистого" бут-сектора (так,наприклад, маскується вірус DхЗ-Е9.BRN - "Вгаіn"), або, що ще гірше, бути тріггером для яких-небудь несанкціонованих дій. Необхідно використовувати "холодне" (за допомогою клавіші RESET), а не "тепле" (за допомогою комбінації клавіш Сtrl-Alt-Del) перезавантаження. Ця вимога базується на тому факті, що ряд бутових вірусів перехоплює переривання від клавіатури і при "теплому" перезавантаженні зберігає себе в пам'яті, навіть якщо перезавантаження здійснюється із захищеної системної дискети.

Дескриптор завантажувального вірусу

В головному дескрипторі відображені такі властивості:

А - деструктивні дії, які використовуються вірусом;

В - прояв вірусу;

L - довжина голови і хвоста вірусу в байтах, які розділені знаком "±";

М - маскування за наявності вірусу в пам'яті;

N - номер першого байта, що не збігається при порівнянні зараженого і нормального секторів початкового завантаження;

S - стратегія зараження (метод вибору "жертви", метод зберігання хвоста вірусу і оригінальної копії бут-сектора);

R (resident) - положення в оперативній пам'яті, реакція на "тепле" перезавантаження і розмір зайнятої пам'яті;

Z - побічні прояви дій вірусу.

Сигнатура бутового вірусу.

Для бутових вірусів М-, І-, В-сигнатури використовуються аналогічно тому, як це було для файлових вірусів, а J-сигнатура - в дещо іншому вигляді. На відміну від J-сигнатури для файлових вірусів, в якій байти відповідають команді переходу і не враховуються, в J-сигнатурі для бутових вірусів вони враховуються. Це пов'язано з тим, що першою командою бут-сектора завжди є команда обходу таблиці параметрів диска, розмір якої, на відміну від розміру зараженого файла, не змінюється. Тому для бутових вірусів використовують переважно J-сигнатуру, яка складається з перших трьох байтів бут-сектора, і лише при необхідності доповнюється, починаючи з байта, на якому виконується команда переходу.

Для незараженого бут-сектора (наприклад, для МS-DOS версії 3.3) J-сигнатура дорівнює ЕВ3490h (об'єктний код команди JМР, який служить для обходу таблиці параметрів). Цінність цієї еталонної J-сигнатури в тому, що вона порівняно легко запам'ятовується. Тому невідповідність перших трьох байтів бут-сектора, що аналізується, вказаній еталонній J-сигнатурі свідчить про зараження бут-сектора.

Принцип дії завантажувальних вірусів

Завантажувальні віруси заражають завантажувальний сектор флоппі-диска або boot-сектор вінчестера (MBR). Принцип дії завантажувальних вірусів оснований на алгоритмах запуску операційної системи при включенні або перезавантаженні комп'ютера - після необхідних тестів встановленого устаткування (пам'яті, дисків і т.д.) програма системного завантаження зчитує перший фізичний сектор завантажувального диску (A, C чи CD у залежності від параметрів, встановлених у BIOS Setup) і передає на нього керування.

У випадку дискети чи компакт-диску керування одержує boot-сектор, що аналізує таблицю параметрів диска (BPB - BIOS Parameter Block), вираховує адреси системних файлів операційної системи, зчитує їх у пам'ять і запускає на виконання. Системними файлами звичайно є MSDOS.SYS і IO.SYS, або IBMDOS.COM і IBMBIO.COM, або інші в залежності від установленої версії DOS, Windows чи інших ОС. Якщо ж на завантажувальному диску відсутні файли операційної системи, програма, розташована в boot-секторі диска, видає повідомлення про помилку і пропонує замінити завантажувальний диск.

У випадку вінчестера керування одержує програма, розташована в MBR вінчестера. Ця програма аналізує таблицю розбиття диска (Disk Partition Table), обчислює адресу активного boot-сектора (зазвичай цим сектором є boot-сектор диску C), завантажує його в пам'ять і передає на нього керування. Одержавши керування, активний boot-сектор вінчестера здійснює певні дії.

При зараженні дисків завантажувальні віруси "підставляють" свій код замість якої-небудь програми, що одержує керування при завантаженні системи. Принцип зараження, таким чином, однаковий: у всіх описаних вище способах вірус "змушує" систему під час перезапуску зчитувати її в пам'ять і віддати керування не оригінальному коду завантажувальника, а коду вірусу.

Зараження дискет здійснюється єдиним відомим способом - вірус записує свій код замість оригінального коду boot-сектора дискети.

Вінчестер заражається трьома можливими способами - вірус записується або замість коду MBR, або замість коду boot-сектора завантажувального диска (звичайно диска C), або модифікує адреса активного boot-сектора в Disk Partition Table, розташованої в MBR вінчестера (рис.10).

При інфікуванні диска вірус у більшості випадків переносить оригінальний boot-сектор (чи MBR) у який-небудь інший сектор диска (наприклад, у перший вільний). Якщо довжина вірусу більше довжини сектора, то в сектор, що заражається, поміщається перша частина вірусу, інші частини розміщаються в інших секторах (наприклад, у перших вільних).

Існує декілька варіантів розміщення на диску первинного завантажувального сектора і продовження вірусу в сектори вільних кластерів логічного диска, у невикористовувані чи рідко використовувані системні сектори або у сектори, розташовані за межами диска.

1. Якщо продовження вірусу розміщається в секторах, що належать вільним кластерам диска (для пошуку цих секторів вірусу приходиться аналізувати таблицю розміщення файлів - FAT-таблицю), то, як правило, вірус позначає ці кластери як збійні (псевдозбійнй кластери). Цей спосіб використовується вірусами "Brain", "Ping-Pong" і деякими іншими.

2. У вірусах сімейства "Stoned" задіяний інший метод. Ці віруси розміщують первинний завантажувальний сектор у невикористовуваному чи рідко використовуваному секторі - в одному із секторів вінчестера (якщо такі є), розташованих між MBR і першим boot-сектором, а на дискеті такий сектор вибирається з останніх секторів кореневого каталогу.

3. Деякі віруси записують свій код в останні сектори вінчестера, оскільки ці сектори використовуються тільки тоді, коли вінчестер цілком заповнений інформацією (що є досить рідким явищем, якщо врахувати розміри сучасних дисків). Однак такі віруси приводять до псування файлової системи OS/2, що у деяких випадках зберігає активний boot-сектор і системні дані саме в останніх секторах вінчестера.

4. Рідше використовується метод збереження продовження вірусу за межами диска. Досягається це двома способами:

- зменшення розмірів логічних дисків - вірус віднімає необхідні значення з відповідних полів BPB boot-сектора і Disk Partition Table вінчестера (якщо заражається вінчестер), зменшує в такий спосіб розмір логічного диску і записує свій код у "відрізані" від нього сектори;

- запис даних за межами фізичної розбивки диска. У випадку флоппі-дисків вірусу для цього приходиться форматувати на диску додатковий трек (метод нестандартного форматування), наприклад, 80-й трек на дискеті. Існують віруси, що записують свій код за межами доступного простору вінчестера, якщо, зрозуміло, це допускається встановленим устаткуванням (вірус "Hare").

Звичайно, існують і інші методи розміщення вірусу на диску, наприклад, віруси сімейства "Azusa" містять у своєму тілі стандартний завантажник MBR і при зараженні записуються поверх оригінального MBR без його збереження.

При зараженні більшість вірусів копіює в код свого завантажника системну інформацію, що зберігається в первісному завантажнику (для MBR цією інформацією є Disk Partition Table, для Boot-сектора дискет - BIOS Parameter Block). В іншому випадку система виявиться нездатною завантажити себе, оскільки дискові адреси компонентів системи вираховуються на основі цієї інформації. Такі віруси досить лекго видаляються переписуванням заново коду системного завантажника в boot-секторі і MBR - для цього необхідно завантажитися з незараженої системної дискети і використовувати команди SYS для знешкодження дискет і логічних дисків вінчестера чи FDISK/MBR для лікування зараженого MBR-сектора.

Однак деякі 100%-стелс віруси не зберігають цю інформацію чи навіть, більш того, навмисно шифрують її. При звертанні системи або інших програм до заражених секторів вірус підставляє їхні незаражені оригінали, і завантаження системи відбувається без якихось збоїв, однак лікування MBR за допомогою FDISK/MBR у випадку такого вірусу приводить до втрати інформації про розбивку диска (Disk Partition Table). У цьому випадку диск може бути "оживлений" або переформатуванням із втратою всієї інформації, або відновленням Disk Partition Table "вручну", що вимагає значеної кваліфікації.

Слід також зазначити той факт, що завантажувальні віруси дуже рідко "уживаются" разом на одному диску - часто вони використовують ті самі дискові сектори для розміщення свого коду (даних). У результаті код (дані) першого вірусу виявляються зіпсованими при зараженні другим вірусом, і система або зависає при завантаженні, або зациклюється, що також приводить до її зависання.

Користувачам сучасних ОС завантажувальні віруси також можуть доставити неприємності. Незважаючи на те, що ці системи працюють з дисками напряму, минаючи виклики BIOS (що блокує вірус і унеможливлює подальше його поширення), код вірусу все-таки, хоч і дуже рідко, одержує керування при перезавантаженні системи. Тому вірус "March6", наприклад, може роками "жити" у MBR сервера і ніяк не впливати при цьому на його (сервера) роботу і продуктивність. Однак при випадковому перезавантаженні 6-го березня цей вірус цілком знищить усі дані на диску.

Алгоритм роботи завантажувального вірусу

Практично всі завантажувальні віруси резидентні.

Резидентні завантажувальні віруси впроваджуються в пам'ять комп'ютера при завантаженні з інфікованого диска. При цьому системний завантажник зчитує вміст першого сектора диска, з якого здійснюється завантаження, поміщає прочитану інформацію в пам'ять і передає на неї (тобто на програму-вірус) керування. Після цього починають виконуватися інструкції вірусу, що

- як правило, зменшує обсяг вільної пам'яті (слово за адресою 00400013), копіює у місце, що звільнилося, свій код і зчитує з диска своє продовження (якщо воно є). Надалі деякі віруси "чекають" завантаження ОС і відновлюють це слово в його первісне значення. У результаті вони виявляються розташованими не за межами ОС, а як окремих блоках пам'яті;

- перехоплює необхідні вектори переривань (зазвичай INT 13H), зчитує в пам'ять оригінальний boot-сектор і передає на нього керування.

Надалі завантажувальний вірус поводиться так само, як резидентний файловий: перехоплює звертання операційної системи до дисків і інфікує їх, у залежності від деяких умов робить деструктивні дії чи викликає звукові відеоефекти.

Існують нерезидентні завантажувальні віруси - при завантажені вони заражають MBR вінчестера і дискети, якщо ті присутні в дисководах. Потім такі віруси передають керування оригінальному завантажнику і на роботу комп'ютера більш не впливають.

Приклади завантажувальних вірусів

Brain, сімейство

Складається з двох практично співпадаючих нешкідливих вірусів "Brain-Ashar" і "Brain-Singapore". Вони заражають завантажувальні сектори дискет при зверненні до них (INT 13h, AH=02h). Продовження вірусу і первинний завантажувальний сектор розміщуються у вільних кластерах диска. При пошуку цих кластерів аналізують таблицю розміщення файлів (FAT). У FAT ці кластери позначаються як збійні ("псевдозбійні" кластери). У зараженого диска встановлюється нова мітка "(C) Brain". Віруси використовують "стелс"-механізм - при спробі проглянути завантажувальний сектор зараженого диска вони "підставляють" справжній сектор.

CMOS

Небезпечний резидентний завантажувальний стелс-вірус. Псує CMOS. Копіює себе за адресою 9F800000, перехоплює INT 13h і записується в MBR вінчестера і boot-сектори дискет. Оригінальний MBR зберігає за адресою 0/0/2, оригінальний boot-сектор флопі-диска - в останньому секторі кореневого каталога.

Pentagon

Небезпечний резидентний завантажувальний вірус. Частково зашифрований. Перехоплює INT 9, 13h і вражає boot-сектор флопі-дисків при зверненні до них. При зараженні диска оголошує в FAT збійні сектори і записує туди своє продовження і первинний boot-сектор (див. вірус "Brain"). Якщо при цьому дискета вже була уражена вірусом "Brain", то "Pentagon" лікує boot-сектор цього диска, змінює його мітку і потім заражає своєю копією. На диску, що заражається, створюється файл PENTAGON.TXT. Вірус "виживає" при теплому перезавантаженні. Містить тексти:

(c) 1987 The Pentagon, Zorell Group

first sector in segment

Stoned

При завантаженні із зараженого флоппи-диска з вірогідністю 1/8 на екрані з'являється повідомлення "Your PC is now Stoned!". Крім вказаної, містять рядок "LEGALISE MARIJUANA!". "Stoned.с" при зараженні MBR вінчестера знищує Disk Partition Table, після цього комп'ютер можна завантажити тільки з флопі-диска. "Stoned.d" 1 жовтня знищує інформацію на вінчестері.

Hare

Дуже небезпечні резидентні файлово-завантажувальні стелс-поліморфік-вирусы. Записуються в кінець COM- і EXE-файлів, в MBR вінчестера і boot-сектора дискет. У файлах зашифровані тричі. Застосовують поліморфізм як у файлах, так і в заражених секторах.

При запуску зараженого файлу вірус розшифровує себе, заражає MBR, трасує і перехоплює INT 21h і повертає управління програмі-носію. Під Win95 він перехоплює також INT 13h. Потім вірус записується у файли при їх запуску, закритті або при виході в DOS (AH=0,31h,4Ch). При відкритті заражених EXE-файлів лікує їх.

При завантаженні із зараженої дискети вірус записується в MBR і повертає управління первинному boot-коду, при цьому вірус не залишає в пам'яті своєї резидентної копії.

При зараженні MBR вірус трасує INT 13h або напряму працює з портами контроллера, потім записує своє продовження (15 секторів) в трек, що знаходиться за межами оголошеного розміру диска (LandZone?). Потім затирає Disk Partition Table (в результаті цього команда FDISK/MBR може привести до повної втрати даних на диску).

При завантаженні із зараженого MBR-сектора вірус відновлює Partition Table для того, щоб нормально завантажилася DOS (у цей момент стелс на рівні INT 13h ще не працює), потім зменшує розмір пам'яті (слово за адресою 00000413), копіює свій код в "відрізану" ділянку пам'яті, перехоплює INT 1Ch і передає управління первинному MBR-сектору. Перехопивши INT 1Ch, вірус чекає завантаження DOS, потім відновлює розмір системної пам'яті і перехоплює INT 13h, 21h, 28h. При першому виклику INT 28h він знову псує Disk Partition Table.

При викликах INT 13h вірус перехоплює звернення до флоппи-дисків і заражає їх, для свого основного коду вірус форматує додатковий трек. При зверненнях до вже заражених дисків виконує стелс-програму.

• 3.5 Макро-віруси
• Багато табличних і графічних редакторів, системи проектування, текстові процесори мають свої макро-мови для автоматизації виконання повторюваних дій. Ці макро-мови часто мають складну структуру і розвинений набір команд. Макро-віруси є програмами на макро-мовах, вбудованих у системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макро-мов і при їх допомозі переносять себе з одного зараженого файлу (документа, таблиці) в інші.
• На кінець 1999 року відомо декілька систем, у яких виявлені макро-віруси. Це основні додатки Microsoft Office:
• - редактор MS Word - мова WordBasic у MS Word 6/7 і VBA (Visual Basic for Applications), починаючи з MS Word 8;
• - редактор таблиць MS Excel - мова VBA;
• - редактор баз даних MS Access - мова VBA;
• - редактор презентацій MS PowerPoint - мова VBA;
• - менеджер проектів MS Project - мова VBA.
• Піддався зараженню макро-вірусами також редактор AmiPro - спеціальна скрипт-мова.
• Найбільше поширення одержали макро-віруси для Microsoft Office (Word, Excel і PowerPoint). Віруси в інших додатках MS Office досить рідкі, а для AmiPro відомий всего один макро-вирус. Можливе також існування макро-вірусів і для інших систем, що підтримують макро-мови достатньої потужності.

Причини зараження макро-вірусами

Для існування вірусів у конкретній системі (редакторі) необхідна наявність вбудованої в систему макро-мови з такими можливостями:

- програми на макромові прив'язані до документів (AmiPro) чи зберігаються в них (додатки MS Office);

- у макро-мові присутні команди копіювання макропрограм з одного файлу в іншій (AmiPro) або переміщати макро-програми у службові файли системи і файли, що редагуються (MS Office);

- є можливість одержання керування макропрограмою без втручання користувача (автоматичні чи стандартні макроси), тобто при роботі з файлом за певних умов (відкриття, закриття і т.д.) викликаються макро-програми (якщо такі є), що визначені спеціальним чином (AmiPro) чи мають стандартні імена (MS Office).

Дані можливості макро-мов призначені для автоматичної обробки даних у великих організаціях чи у глобальних мережах і дозволяють організувати так званий "автоматизований документообіг". З іншого боку, можливості макро-мов таких систем дозволяють вірусу переносити свій код в інші файли, і в такий спосіб заражати їх.

Більшість макро-вирусів можна вважати резидентними, оскільки вони присутні в області системних макросів протягом усього часу роботи редактора. Вони так само, як резидентні завантажувальні і файлові віруси, перехоплюють системні події і використовують їх для свого розмноження. До подібних подій відносяться різні системні виклики, що виникають при роботі з документами Word і таблицями Excel (відкриття, закриття, створення, печатка і т.д.), виклик пункту меню, натискання на яку-небудь клавішу чи досягнення певного моменту часу. Для перехоплення подій макро-вируси перевизначають один чи декілька системних макросів або функцій.

При зараженні деякі макро-вируси перевіряють наявність своєї копії в об'єкті, що заражається, і повторно себе не копіюють. Інші макро-вируси не роблять цього і переписують свій код при кожному зараженні. Якщо при цьому у файлі, що заражається, чи області системних макросів уже визначений макрос, ім'я якого збігається з макросом вірусу, то такий макрос виявляється знищеним.

Загальні відомості про віруси в MS Office

Фізичне розташування вірусу всередині файлу залежить від його формату, що у випадку продуктів Microsoft надзвичайно складний - кожен файл-документ Word, Office чи таблиця Excel являють собою послідовність блоків даних (кожний з який також має свій формат), об'єднаних між собою за допомогою великої кількості службових даних. Цей формат називається OLE2 (Object Linking and Embedding). Структура файлів Office (OLE2) нагадує ускладнену файлову систему дисків DOS: "кореневий каталог" документа або таблиці вказує на основні підкаталоги різних блоків даних, кілька таблиць FAT містять інформацію про розташування блоків даних у документі і т.д.

Більш того, система Office Binder, що підтримує стандарти Word і Excel дозволяє створювати файли, що одночасно містять один чи декілька документів у форматі Word і одну чи декілька таблиць у форматі Excel. При цьому Word-віруси здатні вражати Word-документи, а Excel-віруси - Excel-таблиці, і все це можливо в межах одного дискового файлу. Те ж справедливо і для Office.

Слід зазначити, що Word версій 6, 7 і вище дозволяє шифрувати присутні в документі макроси. Таким чином, деякі Word-віруси присутні в заражених документах у зашифрованому (Execute only) виді.

Більшість відомих вірусів для Word несумісні з національними (у тому числі з російською) версіями Word, чи навпаки - розраховані тільки на локалізовані версії Word і не працюють під англійською версією. Однак вірус у документі все рівно залишається активним і може заражати інші комп'ютери з установленої на них відповідною версією Word.

Віруси для Word можуть заражати комп'ютери будь-якого класу, а не тільки IBM-PC. Зараження можливе у тому випадку, якщо на даному комп'ютері установлет текстовий редактор, цілком сумісний з Microsoft Word версії 6 чи 7 (наприклад, MS Word for Macintosh). Те ж справедливо для Excel і Office.

Слід також зазначити, що складність форматів документів Word, таблиць Excel і особливо Office має таку особливість: у файлах-документах і таблицях присутні "зайві" блоки даних, тобто дані, що ніяк не пов'язані з текстом, що редагується, чи таблицями, або є випадковими копіями інших даних файлу. Причиною виникнення таких блоків даних є кластерна організація даних у OLE2-документах і таблицях - навіть якщо введений всего один символ тексту, то під нього виділяється один чи навіть декілька кластерів даних. При збереженні документів і таблиць у кластерах, не заповнених "корисними" даними, залишається "сміття", що попадає у файл разом з іншими даними. Кількість "сміття" у файлах може бути зменшено скасуванням пункту настроювання Word/Excel "Allow Fast Save", однак це лише зменшує загальну кількість "сміття", але не забирає його цілком.

Наслідком цього є той факт, що при редагуванні документа його розмір змінюється незалежно від здійснених з ним дій - при додаванні нового тексту розмір файлу може зменшитися, а при видаленні частини тексту - збільшитися. Те ж і з макро-вірусом при зараженні файлу: його розмір може зменшитися, збільшитися чи залишитися незмінним.

Слід також зазначити той факт, що деякі версії OLE2.DLL містять невеликий недолік, у результаті якого при роботі з документами Word, Excel і особливо Office у блоки "сміття" можуть потрапити випадкові дані з диска, включаючи конфіденційні (вилучені файли, каталоги і т.д.). У ці блоки можуть потрапити також команди вірусу. У результаті після лікування заражених документів активний код вірусу видаляється з файлу, але в блоках "сміття" можуть залишитися частина його команд. Такі сліди присутності вірусу іноді видимі за допомогою текстових редакторів і навіть можуть викликати реакцію деяких антивірусних програм. Однак ці залишки вірусу зовсім нешкідливі Word і Excel не звертають на них ніякої уваги.

Принципи роботиWord/Excel/Office97-вірусів

При роботі з документом Word виконує різні дії: відкриває документ, зберігає, друкує, закриває і т.д. При цьому Word шукає і виконує відповідні вбудовані макроси - при збереженні файла по команді File/Save викликається макрос FileSave, при збереженні по команді File/SaveAs - FileSaveAs, при друці документів - FilePrint і т.д., якщо, звичайно, такі макроси визначені.

Існує також декілька "авто-макросів", що автоматично викликаються при різних умовах. Наприклад, при відкритті документа Word перевіряє його на наявність макросу AutoOpen. Якщо такий макрос присутній, то Word виконує його. При закритті документа Word виконує макрос AutoClose, при запуску Word викликається макрос AutoExec, при завершенні роботи - AutoExit, при створенні нового документа - AutoNew.

Схожі механізми (але з іншими іменами макросів і функцій) використовуються в Excel (Auto_Open, Auto_Close, Auto_Activate, Auto_Deactivate) і в Office (Document_Open, Document_Close, Document_New), у яких роль авто- і вбудованих макросів виконують авто- і вбудовані функції, що є присутнім у якому-небудь макросі чи макросах, причому в одному макросі можуть бути присутнім декілька вбудованих і функцій.

Автоматично (тобто без участі користувача) виконуються також макроси/функції, асоційовані з якою-небудь клавішею або моментом часу або датою, тобто Word/Excel викликають макрос/функцію при натисканні на яку-небудь конкретну клавішу (чи комбінацію клавіш) або при досягненні якого-небудь моменту часу. У Office97 можливості по перехопленню подій дещо розширені, але принцип використовується той самий.

Макро-віруси, що вражають файли Word, Excel чи Office, як правило, користуються одним із трьох перерахованих вище прийомів - у вірусі або присутній авто-макрос (авто-функція), або перевизначений один зі стандартних системних макросів (асоційований якимось пунктом меню), або макрос вірусу викликається автоматично при натисканні на якусь клавішу чи комбінацію клавіш. Існують також напіввіруси, що не використовують цих прийомів і розмножуються, тільки коли користувач сам запускає їх.

Таким чином, якщо документ заражений, при відкритті документа Word викликає заражений автоматичний макрос AutoOpen (чи AutoClose при закритті документа) і, таким чином, запускає код вірусу, якщо це не заборонено системною змінною DisableAutoMacros. Якщо вірус містить макроси зі стандартними іменами, вони одержують керування під час виклику відповідного пункту меню (File/Open, File/Close, File/SaveAs). Якщо ж перевизначений який-небудь символ клавіатури, то вірус активізується тільки після натискання на відповідну клавішу.

Більшість макро-вірусів містять свої функції у вигляді стандартних макросів. Існують, однак, віруси, що використовують прийоми приховування свого коду і зберігають свій код у вигляді не-макросів. Відомо три подібних прийоми, усі вони використовують можливість макросів створювати, редагувати і виконувати інші макроси. Як правило, подібні віруси мають невеликий (іноді - поліморфний) макрос-завантажник вірусу, що викликає вбудований редактор макросів, створює новий макрос, заповнює його основним кодом вірусу, виконує і потім, як правило, знищує (щоб сховати сліди присутності вірусу). Основний код таких вірусів присутній або в самому макросі вірусу у вигляді текстових рядків (іноді - зашифрованих), або зберігається в області змінних документа чи в області Auto-text.

Алгоритм роботи Word макро-вірусів

Більшість відомих Word-вірусів під час запуску переносять свій код (макроси) в область глобальних макросів ("загальні" макроси), для цього вони використовують команди копіювання макросів MacroCopy, Organizer. Copy або за допомогою редактора макросів - вірус викликає його, створює новий макрос, вставляє в нього свій код, і зберігає його в документі.

При виході з Word глобальні макроси (включаючи макроси вірусу) автоматично записуються в DOT-файл глобальних макросів (NORMAL. DOT). Таким чином, при наступному запуску редактора MS-Word вірус активізується в той момент, коли WinWord вантажить глобальні макроси, тобто відразу. Потім вірус перевизначає (чи вже містить у собі) один чи декілька стандартних макросів (наприклад, FileOpen, FileSave, FileSaveAs, FilePrint) і перехоплює в такий спосіб команди роботи з файлами. Під час виклику цих команд вірус заражає файл, до якого йде звертання. Цей вірус конвертує файл у формат Template (що унеможливлює подальші зміни формату файлу, тобто конвертування в який-небудь не-Template формат) і записує у файл свої макроси, включаючи Auto-макрос.

Таким чином, якщо вірус перехоплює макрос FileSaveAs, то заражається кожен файл, що зберігається через перехоплений вірусом макрос. Якщо перехоплений макрос FileOpen, то вірус записується у файл при його зчитуванні з диска.

Другий спосіб впровадження вірусу в систему використовується значно рідше - він базується на так званих "Add-in" файлах, тобто файлах, що є службовими доповненнями до Word. У цьому випадку NORMAL.DOT не змінюється, а Word під час запуску завантажує макроси вірусу з файлу (чи файлів), визначеного як "Add-in". Цей спосіб практично цілком повторює зараження глобальних макросів за тим виключенням, що макроси вірусу храняться не в NORMAL.DOT, а в якому-небудь іншому файлі.

Можливо також впровадження вірусу у файли, розташовані в каталозі STARTUP, - Word автоматично довантажує файли-темплейти з цього каталогу, але такі віруси поки що рідко зустрічаються.

Розглянуті вище способи впровадження в систему являють собою деякий аналог резидентных вірусів. Аналогом нерезидентности є макро-віруси, що не переносять свій код в область системних макросів - для зараження інших файлів-документів вони або шукають їх за допомогою убудованих у Word функцій роботи з файлами, або звертаються до списку останніх редагованих файлів (Recently used file list). Потім такі віруси відкривають документ, заражають його і закривають.

Алгоритм роботи Excel макро-вірусів

Методи розмноження Excel-вірусів в цілому аналогічні методам Word-вірусів. Розходження полягають у командах копіювання макросів (наприклад, Sheets.Copy) і у відсутності NORMAL.DOT - його функцію (у вірусному сенсі) виконують файли в STARTUP-каталозі Excel.

Слід зазначити, що існує два можливих варіанти розташування коду макро-вірусів у таблицях Excel. Переважна більшість таких вірусів записують свій код у форматі VBA, однак існують віруси, що зберігають свій код у старому форматі Excel версії 4.0. Такі віруси по своїй суті нічим не відрізняються від VBA-вірусів, за винятком відмінностей у форматі розташування кодів вірусу в таблицях Excel.

Незважаючи на те, що у нових версіях Excel (версія 5 і вище) використовуються досконаліші технології, можливість виконання макросів старих версій Excel була залишена для підтримки сумісності. З цієї причини всі макроси, написані у форматі Excel 4, цілком працездатні у всіх наступних версіях, незважаючи на те, що Microsoft не рекомендує використовувати їх і не включає необхідну документацію в комплект постачання Excel.

Алгоритм роботи вірусів для Access

Оскільки Access є частиною пакета Office, то віруси для Access являють собою такі ж самі макроси мовою Visual Basic, як і інші віруси, що заражають програми Office. Однак, у даному випадку замість авто-макросів у системі присутні автоматичні скрипти, що викликаються системою при різних подіях (наприклад, Autoexec). Дані скрипти потім можуть викликати різні макро-програми.

Таким чином, при зараженні баз даних Access вірусу необхідно замінити який-небудь авто-скрипт і скопіювати в базу, що заражається, свої макроси.

Зараження скриптов без додаткових макросів не є можливим, оскільки мова скриптів досить примітивна і не містить необхідних для цього функцій. Слід зазначити, що в термінах Access скрипти називаються макросами (macro), а макроси - модулями (module), однак частіше використовується уніфікована термінологія - скрипти і макроси.

Лікування баз даних Access є більш складною задачею, ніж видалення інших макро-вірусів, оскільки у випадку Access необхідно знешкодити не тільки вірусні макроси, але й авто-скрипти. А оскільки значна частина роботи Access покладена саме на скрипти і макроси, то некоректне видалення чи деактивація якого-небудь елемента може привести до неможливості операцій з базою даних. Те саме справедливо і для вірусів - некоректне заміщення авто-скриптів може привести до втрати даних, що зберігаються в базі.

Приклади макро-вірусів

Macro.Word.Box

Містить сім макросів AutoOpen, AutoClose, Box, Dead, FilePrint, FilePrintDefault, ToolsMacro. При викликах AutoOpen і AutoClose заражає глобальні макроси і документи. Макрос ToolsMacro використовується для заборони меню Tools/Macro. Решта макросів містить процедури зараження і різні ефекти. Виявляється декількома способами. При друці вставляє в документи рядки на китайською мовою, виводить MessageBox, записує на диск і запускає вірус "OneHalf.3544", створює і програє WAV-файл (звуковий ефект). Викликає команди DOS:

echo y|format с/u

echo y|format c/u/vTwnos1

Містить рядки:

Taiwan Super No.1 Macro Virus

Twno1-S

Today Is My Birthday

Macro.Word.Catch

Містить шість макросів AutoOpen, encrypt1, FileSave, AutoClose, infectdoc, infectnorm. Зараження системної області макросів і документів відбувається при відкритті файлів. Вірус замінює в документах букви "i" на "o", "o" на "i", "a" на "e", "e" на "a". Причому підміна символів непомітна. При відкритті заражених файлів вірус відновлює текст документа в первинному вигляді, а при збереженні документів на диск - знову замінює. В результаті після лікування вірусу текст документів може виявитися зіпсованим. Після кожної заміни вірус видає в StatusBat крапку. При закритті документів залежно від лічильника випадкових чисел (з вірогідністю 1%) вірус видає повідомлення:

Its а Catch 22 Situation!

Macro.Excel.Soldier

Поліморфний макро-вірус, заражає електронні таблиці Excel. Містить чотири функції з постійними іменами Auto_Open, Auto_Close, Delay, Poly; і декілька функцій з випадковими іменами. При відкритті зараженої таблиці видаляє рядки меню Format/Sheet/Hide і Format/Sheet/Unhide (стелс). При закритті заражає файли, що знаходяться у поточному каталозі. При зараженні залежно від системного датчика випадкових чисел вставляє в початок тексту функції з випадковими іменами і випадковими рядками. Також залежно від випадкового числа виводить в заголовок Excel рядок, що біжить:

Microsoft Excel

• 3.6 Мережеві віруси
• Мережеві віруси поширюються по комп'ютерних мережах. Існують комбінації, наприклад, файлово-бутові віруси, які заражають і файли, і бут-сектори дисків. Крім того, у комп'ютерних мережах можуть розповсюджуватись віруси будь-яких типів. Віруси розповсюджуються від одного користувача до іншого внаслідок обміну програмними продуктами. Локальні мережі, як відомо, призначені для сумісного використання програмних пакетів кількома користувачами. Мережі дозволяють широко обмінюватися програмами і даними. Очевидно, що при цьому створюється зручне середовище для розповсюдження вірусу. Так, якщо вірус заразив програму login.ехе, яка знаходиться на сервері і яку запускає кожен користувач при вході в мережу, то дуже швидко вірус з'явиться на всіх робочих станціях. Але на практиці ситуація виглядає не дуже драматично, бо мережні операційні системи мають механізми захисту і розподілу користувачів. При грамотному використанні цих можливостей можна обмежити область, в якій може розповсюдитись вірус, внесений з робочої станції, тільки робочою областю того користувача, який вніс його в систему.
• Існують мережні віруси, які розраховані на спеціальні мережні диски, наприклад, на систему Netware - вони несанкціоновано входять у систему і, використовуючи максимальні повноваження супервізора, пошкоджують програми, які знаходяться на мережних дисках.
• Все це свідчить про те, що рівень захищеності сучасних операційних систем поки що бажає бути кращим. Доки залишається принципова можливість такого втручання, доти існує небезпека появи таких вірусів.

IRC-хробаки

IRC (Internet Relay Chat) - це спеціальний протокол, розроблений для комунікації користувачів Інтернет у реальному часі. Цей протокол надає можливість так званої Інтернет-розмови за допомогою спеціально розробленого програмного забезпечення. IRC чимось схожий на телефонну розмову, за винятком того, що в розмові можуть брати участь більш двох співрозмовників, що поєднуються по інтересах у різні групи IRC-конференцій. Для підтримки IRC-конференцій створені різні IRC-сервера, до яких підключаються учасники IRC-розмов. В усьому світі нараховується величезна кількість IRC-серверів, об'єднаних у так звані мережі. Найбільшою є мережа EFnet, сервер якої щодня одночасно відвідують кілька десятків тисяч користувачів.

Для підключення до IRC-сервера і ведення IRC-розмов розроблені спеціальні програми - IRC-клієнти. Підключившись до IRC-сервера за допомогою програми-клієнта, користувач завичай вибирає тему IRC-конференції, командою join входить в одну або декілька конференцій ("канали" у термінах IRC) і починає спілкування з іншими "мешканцями" цих каналів.

Крім відвідування загальних (public) конференцій користувачі IRC мають можливість спілкуватися один-на-один з будь-яким іншим користувачем (private), при цьому вони навіть не обов'язково повинні бути на одному каналі. Крім цього існує досить велика кількість IRC-команд, за допомогою яких користувач може одержати інформацію про інших користувачів і канали, змінювати деякі установки IRC-клієнта та інше. Існує також можливість передавати і приймати файли - саме на цій можливості і базуються IRC-хробаки.

IRC-клієнти

На комп'ютерах з MS Windows найпоширенішими клієнтами є mIRC і PIRCH. Це не дуже об'ємні, але досить складні програмні продукти, що крім надання основних послуг IRC (підключення до серверів і каналів) мають ще і масу додаткових можливостей.

До таких можливостей відносяться, наприклад, сценарії роботи (скрипти) і задання автоматичної реакції на різні події. Наприклад, з появою під час розмови визначеного слова IRC-клієнт передає повідомлення користувачу, що послав його. Можливе відключення користувача від каналу; посилка персональних повідомлень новим користувачам, що підключаються до каналу; і багато чого іншого. У PIRCH-клієнті, наприклад, подій, на які передбачена реакція, більше 50.

Скрипт-хробаки

Як виявилося, могутня і розгалужена система команд IRC-клієнтів дозволяє на основі їх скриптів створювати комп'ютерні віруси, що передають свій код на комп'ютери користувачів мереж IRC, так називані IRC-хробаки.

Перший інцидент із IRC-хробаком зафіксований наприкінці 1997 року: користувачами mIRC-клієнта був виявлений скрипт (файл SCRIPT.INI), що переносив свій код через канали IRC і заражав mIRC-клієнтів на комп'ютерах користувачів, що підключалися до заражених каналів. Як виявилося, скрипт-хробаки є досить простими програмами, і через досить короткий час на основі першого mIRC-хробака були створені і "випущені" у мережі декілька десятків різних скрипт-хробаків.

Принцип дії таких IRC-хробаків приблизно однаковий. За допомогою IRC-команд файл сценарію роботи (скрипт) чи реакції на IRC-події автоматично посилається з зараженого комп'ютера кожному користувачу, що під'єднується до каналу. Надісланий файл-сценарій заміщає стандартний і при наступному сеансі роботи вже знову заражений клієнт буде розсилати хробака. Хробаки при цьому використовують особливості конфігурації клієнта, завдяки якій прийняті файли всіх типів розміщуються в кореневий каталог клієнта. Цей каталог також містить і основні скрипти клієнта, включаючи завантажувальні mIRC-скрипти SCRIPT.INI, MIRC.INI і PIRCH-скрипт EVENTS.INI. Ці скрипти автоматично виконуються клієнтом при старті і далі використовуються як основний сценарій його роботи.