Главная
Хронология событий
Классификация вирусов
Антивирусные программы
Что будет завтра
|
Вирусы можно разделить на классы по следующим основным признакам:
- среда обитания;
- величина вредных воздействий;
- особенности алгоритма работы.
По среде обитания вирусы можно разделить на:
- файловые вирусы различными способами внедряются в исполняемые файлы (программы) и активизируются при их запуске. После запуска зараженной программы вирус находится в оперативной памяти компьютера и является активным (может заражать другие файлы) до выключения компьютера.
При этом файловые вирусы не могут заразить файлы данных (например, звуковые и графические файлы).
Получив управление, вирус совершает следующие действия:
- резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;
- выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. Дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации;
- возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо a) лечат файл, выполняют его, а затем снова заражают, либо б) восстанавливает программу (но не файл) в исходном виде.
- загрузочные вирусызаписывают себя в загрузочный сектор диска. При изапуске оперционной системы с зараженного диска вирусы внедряются в оперативную память компьютера. В дальнейшем загрузочный вирус может заражать файлы при обращении к ним компьютера.
При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.
Загрузочные вирусы очень редко "уживаются" вместе на одном диске - часто они используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает при загрузке, либо зацикливается (что также приводит к ее зависанию).
- макровирусы заражают файлы документов Word и электронных таблиц Excel. Макровирусы являются макрокомандами, которые встраиваются в документ. После загрузки зараженного документа в приложение макровирусы постоянно присутствуют в памяти компьютера и могут заражать другие документы. Угроза заражения прекращается только после закрытия документа.
При редактировании документа Word или Excel его размер изменяется вне зависимости от производимых с ним действий - при добавлении нового текста размер файла может уменьшится, а при удалении части текста - увеличиться. То же и с макро-вирусами: при заражении файла его размер может уменьшиться, увеличиться или остаться неизменным.
- сетевые вирусы распространяются и заражают компьютеры по сети. Это может происходить, например, при получении зараженных файлов с серверов файловых архивов. Однако существуют специфические сетевые вирусы, которые используют для своего распостранения электроннную почту и Всемирную паутину.
По величине вредных воздействий вирусы можно разделить на:
- неопасные вирусы, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и другими внешними эффектами;
- опасные вирусы, которые могут привести к сбоям и зависаниям при работе компьютера;
- очень опасные вирусы, могут привести к потере программ, уничтожению даннх (изменению или удалению файлов и каталогов), форматированию винчестера.
Среди особенностей алгоритма работы вирусов выделяются следующие пункты:
- резидентность. Рзидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.
Резидентными можно считать макро-вирусы, посколько они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.
- использование стелс-алгоритмов.Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации.
- самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
- использование нестандартных приемов.Различные естандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса и т.д.
|