Компьютерные вирусы - Классификация

	*Классификация вирусов*
Главная Хронология событий Классификация вирусов Антивирусные программы Что будет завтра	Вирусы можно разделить на классы по следующим *основным признакам: среда обитания; величина вредных воздействий; особенности алгоритма работы. По среде обитания* вирусы можно разделить на: файловые вирусы различными способами внедряются в исполняемые файлы (программы) и активизируются при их запуске. После запуска зараженной программы вирус находится в оперативной памяти компьютера и является активным (может заражать другие файлы) до выключения компьютера. При этом файловые вирусы не могут заразить файлы данных (например, звуковые и графические файлы). Получив управление, вирус совершает следующие действия: резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы; выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. Дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации; возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо a) лечат файл, выполняют его, а затем снова заражают, либо б) восстанавливает программу (но не файл) в исходном виде. загрузочные вирусызаписывают себя в загрузочный сектор диска. При изапуске оперционной системы с зараженного диска вирусы внедряются в оперативную память компьютера. В дальнейшем загрузочный вирус может заражать файлы при обращении к ним компьютера. При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса. Загрузочные вирусы очень редко "уживаются" вместе на одном диске - часто они используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает при загрузке, либо зацикливается (что также приводит к ее зависанию). макровирусы заражают файлы документов Word и электронных таблиц Excel. Макровирусы являются макрокомандами, которые встраиваются в документ. После загрузки зараженного документа в приложение макровирусы постоянно присутствуют в памяти компьютера и могут заражать другие документы. Угроза заражения прекращается только после закрытия документа. При редактировании документа Word или Excel его размер изменяется вне зависимости от производимых с ним действий - при добавлении нового текста размер файла может уменьшится, а при удалении части текста - увеличиться. То же и с макро-вирусами: при заражении файла его размер может уменьшиться, увеличиться или остаться неизменным. сетевые вирусы распространяются и заражают компьютеры по сети. Это может происходить, например, при получении зараженных файлов с серверов файловых архивов. Однако существуют специфические сетевые вирусы, которые используют для своего распостранения электроннную почту и Всемирную паутину. По *величине вредных воздействий* вирусы можно разделить на: неопасные вирусы, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и другими внешними эффектами; опасные вирусы, которые могут привести к сбоям и зависаниям при работе компьютера; очень опасные вирусы, могут привести к потере программ, уничтожению даннх (изменению или удалению файлов и каталогов), форматированию винчестера. Среди *особенностей алгоритма работы вирусов* выделяются следующие пункты: резидентность. Рзидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентными можно считать макро-вирусы, посколько они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора. использование стелс-алгоритмов.Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. использование нестандартных приемов.Различные естандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса и т.д.

Классификация вирусов

Главная

Хронология событий

Классификация вирусов

Антивирусные программы

Что будет завтра

Вирусы можно разделить на классы по следующим основным признакам:

среда обитания;
величина вредных воздействий;
особенности алгоритма работы.

По среде обитания вирусы можно разделить на:

файловые вирусы различными способами внедряются в исполняемые файлы (программы) и активизируются при их запуске. После запуска зараженной программы вирус находится в оперативной памяти компьютера и является активным (может заражать другие файлы) до выключения компьютера.
При этом файловые вирусы не могут заразить файлы данных (например, звуковые и графические файлы).
Получив управление, вирус совершает следующие действия:
- резидентный вирус проверяет оперативную память на наличие своей копии и инфицирует память компьютера, если копия вируса не найдена. Нерезидентный вирус ищет незараженные файлы в текущем и корневом оглавлении, в оглавлениях, отмеченных командой PATH, сканирует дерево каталогов логических дисков, а затем заражает обнаруженные файлы;
- выполняет, если они есть, дополнительные функции: деструктивные действия, графические или звуковые эффекты и т.д. Дополнительные функции резидентного вируса могут вызываться спустя некоторое время после активизации;
- возвращает управление основной программе (если она есть). Паразитические вирусы при этом либо a) лечат файл, выполняют его, а затем снова заражают, либо б) восстанавливает программу (но не файл) в исходном виде.
загрузочные вирусызаписывают себя в загрузочный сектор диска. При изапуске оперционной системы с зараженного диска вирусы внедряются в оперативную память компьютера. В дальнейшем загрузочный вирус может заражать файлы при обращении к ним компьютера.
При заражении дисков загрузочные вирусы "подставляют" свой код вместо какой-либо программы, получающей управление при загрузке системы. Вирус "заставляет" систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.
Загрузочные вирусы очень редко "уживаются" вместе на одном диске - часто они используют одни и те же дисковые сектора для размещения своего кода/данных. В результате код/данные первого вируса оказываются испорченными при заражении вторым вирусом, и система либо зависает при загрузке, либо зацикливается (что также приводит к ее зависанию).
макровирусы заражают файлы документов Word и электронных таблиц Excel. Макровирусы являются макрокомандами, которые встраиваются в документ. После загрузки зараженного документа в приложение макровирусы постоянно присутствуют в памяти компьютера и могут заражать другие документы. Угроза заражения прекращается только после закрытия документа.
При редактировании документа Word или Excel его размер изменяется вне зависимости от производимых с ним действий - при добавлении нового текста размер файла может уменьшится, а при удалении части текста - увеличиться. То же и с макро-вирусами: при заражении файла его размер может уменьшиться, увеличиться или остаться неизменным.
сетевые вирусы распространяются и заражают компьютеры по сети. Это может происходить, например, при получении зараженных файлов с серверов файловых архивов. Однако существуют специфические сетевые вирусы, которые используют для своего распостранения электроннную почту и Всемирную паутину.

По величине вредных воздействий вирусы можно разделить на:

неопасные вирусы, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и другими внешними эффектами;
опасные вирусы, которые могут привести к сбоям и зависаниям при работе компьютера;
очень опасные вирусы, могут привести к потере программ, уничтожению даннх (изменению или удалению файлов и каталогов), форматированию винчестера.

Среди особенностей алгоритма работы вирусов выделяются следующие пункты:

резидентность. Рзидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.
Резидентными можно считать макро-вирусы, посколько они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.
использование стелс-алгоритмов.Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации.
самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
использование нестандартных приемов.Различные естандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса и т.д.