8.2. Классификация вирусов

По начинке вирусы делятся на деструктивные и недеструктивные. Деструктивные

вирусы классифицируют по выполняемым ими функциям:

1. Вирусы, уничтожающие данные. Наиболее характерный пример — вирус «Черно-

быль» (Win95.CIH), массовое распространение которого случилось в 1999 году.

При запуске проверял системную дату компьютера и 26 апреля активировал меха-

низм уничтожения данных на жестком диске16. Другой вирус, Klez.E, произвел

эпидемию в 2002 году. Он срабатывал на шестой день каждого нечетного месяца и

заполнял файлы определенных форматов (.doc, .txt и др.) случайным содержимым,

после чего их восстановление становилось неозможным.

15

По этой причине вредоносной программой был признан руткит фирмы Sony: эта программа авто-

матически устанавливалась при проигрывании DVD-диска с фильмом, а затем без предупреждения запуска-

лась и собирала информацию о лицензионности других DVD с фильмами.

16

При этом производится попытка записать «мусор» во FLASH BIOS компьютера. Некоторые старые

модели это позволяли, после чего восстановить материнскую плату можно было только заменой микросхе-

мы.

2. Вирусы-шпионы. Начинка заключается в похищении информации, например, от-

слеживании всех нажатий пользователя на клавиатуру, записи этих данных в спе-

циальный файл и регулярной отправки создателю вируса. Другой вариант — пере-

сылка файлов с паролями и учетных данных платежных систем.

3. Использование зараженных компьютеров в качестве плацдарма для рассылки спа-

ма или распределенной DоS-атаки (группа зараженных таким вирусом компьюте-

ров называется «зомби-сетью»). Пример такого вируса — MsBlast — был предна-

значен для атаки на сайт windowsupdate.com: 16 августа 2003 года со всех заражен-

ных компьютеров осуществлялись запросы к этому сайту, в результате чего сервер

должен был подвергнуться критической перегрузке и выйти из строя.

4. Крипто-вирусы. Шифруют информацию на жестком диске алгоритмом с открытым

ключом и предлагают пользователю (например, оставив текстовый файл с сообще-

нием) купить закрытый ключ, переведя деньги на определенный счет.

Общепринятая классификация вирусов — по механизму их размножения. Выделя-

ются файловые вирусы, макровирусы, загрузочные вирусы и сетевые черви. Рассмотрим

все эти разновидности более подробно.

8.3. Файловые вирусы

Файловые вирусы внедряются в исполняемые файлы на компьютере (заражают их),

дописывая самих себя в начало, в середину или в конец файла. Таким образом, при запус-

ке пользователем зараженного файла автоматически будут выполнены и команды вируса

(поиск незараженных файлов, их заражение, а также начинка).

Рис. 1. Механизм работы файлового вируса

Распространение таких вирусов происходит через зараженные файлы. Достаточно

принести один такой файл на незараженный компьютер и запустить его, чтобы вирус на-

чал действовать. Спустя короткое время все исполняемые файлы на компьютере оказыва-

ются зараженными и при запуске любой программы вместе с ней срабатывает и вирус.

Файловые вирусы были весьма распространены в 90-х годах, когда программы были

небольшими и распространялись «из рук в руки» на дискетах. В настоящее время эти ви-

русы непопулярны, не в последнюю очередь потому, что их достаточно легко обнаружить:

во-первых, увеличивается размер всех исполняемых файлов, а во-вторых, многие про-

граммы при запуске проверяют свою целостность (например, по размеру или контрольной

сумме) и сигнализируют о ее нарушении. Тем не менее, опасность скачать из Интернета

или по пиринговой сети зараженный файл по-прежнему остается.