 |
Классификация компьютерных вирусов
|
|
|
|
В настоящее время не существует единой системы классификации и именования вирусов, однако, в различных источниках можно встретить разные классификации, приведем некоторые из них:
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Наиболее известны вирусы-репликаторы, называемые червями, которые вычисляют адреса сетевых компьютеров и рассылают по этим адресам свои копии, запуская их на выполнение.
В зависимости от способа проникновения в систему черви делятся на типы:
- Сетевые черви используют для распространения локальные сети и Интернет
- Почтовые черви - распространяются с помощью почтовых программ
- IM-черви используют системы мгновенного обмена сообщениями1)
· IRC-черви распространяются по каналам IRC IRC (от англ. Internet Relay Chat - ретранслируемый интернет-чат) - система обмена сообщениями в режиме реального времени. Создана в 1988 году финским студентом Ярко Ойкариненом (Jarkko Oikarinen). На сегодняшний день самый популярный IRC-клиент - это mIRC
· P2P-черви - при помощи пиринговых файлообменных сетей (от англ. peer-to-peer - равный с равным) - это одноранговые (их иногда называют также пиринговыми) компьютерные сети, то есть такие, где отсутствуют выделенные сервера, а все входящие в нее компьютеры выступают в двух ролях - и клиентом, и сервером. Такие сети в основном используются для организации обмена файлами, обычно музыкой и фильмами, а также для решения особо сложных математических задач, требующих много ресурсов. Наиболее известные пиринговые сети - это eDonkey и Gnutella
|
|
|
Файловые вирусы либо различными способами внедряются в исполняемые модули, т.е. в файлы, имеющие расширения СОМ и ЕХЕ (самый распространенный тип вирусов), либо создают файлы двойники (вирусы компаньоны), либо используют особенности организации файловой системы. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Макровирусы также являются файловыми, однако, они настолько специфичны, что вынесены в отдельную группу.
Загрузочные вирусы внедряются в загрузочный сектор диска (Вооt-сектор) или в сектор, содержащий программу загрузки системного диска (Маster Вооt Record), либо меняют указатель на активный bооt-сектор.
Макровирусы - вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макровирусы заражающие текстовые документы редактора Microsoft Word.
Существует большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Способы заражения делятся на резидентный и нерезидентный. Резидентные вирусы при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
|
|
|
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы — паразитические, они обязательно изменяют содержимое файлов, при этом оставляя сами файлы полностью или частично работоспособными.
Вирусы компаньоны не изменяют заражаемые файлы. Алгоритм работы этих вирусов состоит в том, что они создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением.COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл. Некоторые вирусы используют не только вариант COM-ЕХЕ, но также ВАТ-СОМ-ЕХЕ.
Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и либо временно лечат их, либо подставляют вместо своего тела незараженные участки информации.
Наиболее трудно обнаружить вирусы-мутанты (полиморфик-вирусы, самошифрующиеся или вирусы-призраки), содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов (сигнатуры или маски вируса). Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Существуют и так называемые квазивирусные или "троянские" программы, содержащие в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Эти программы хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
В античной мифологии Троянский конь – это деревянная конструкция соответствующей формы, внутри которой греки проникли в Трою и таким образом смогли покорить и разрушить город. По классическому определению, троянец – это программа, которая внешне выглядит как легальный программный продукт, но при запуске совершает вредоносные действия. Троянские программы не могут распространяться сами по себе, и этим они отличаются от вирусов и червей, они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.
|
|
|
Обычно троянцы скрытно устанавливаются на компьютер и выполняют вредоносные действия без ведома пользователя. Трояны разных видов составляют большую часть современных вредоносных программ; все они пишутся специально для выполнения конкретной зловредной функции. Чаще всего встречаются backdoor-троянцы (утилиты удаленного администрирования, часто включают в себя клавиатурные шпионы), троянцы-шпионы, троянцы для кражи паролей и троянцы-прокси, превращающие ваш компьютер в машину для рассылки спама.
По степени воздействия вирусы можно условно разделить на следующие виды:
- неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах;
- опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
- очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
|
|
|
