Проявления компьютерных вирусов.

В деятельности компьютерных вирусов можно выделить два пе­риода: «инкубационный» (период спячки) и акт ивный. В «инкуба­ционный» период вирус создает собственные копии на диске и «за­ражает» другие программы, а также выполняет какие-либо вредные действия, например портит файлы, таблицу размещения файлов на диске и т. п.

Длительность этого периода зависит от многих факторов, напри­мер от интенсивности работы пользователей (вирус может подсчи­тывать число произведенных им заражений) или наступления какой- либо определенной даты (например, вирус Black Friday, или Изра­ильский, производит проверку системной даты, и если она оказыва­ется 13-м числом и пятницей, то вирус активизируется и портит диск и программы).

Авторы вирусных программ стараются предусмотреть все воз­можные ситуации, чтобы их «произведение» не раскрыло себя рань­ше времени: запрещают повторное заражение одного и того же фай­ла для избежания конфликта разных копий вируса; шифруют текст самого вируса, маскируют вирус при попытке просмотреть зара­женную программу в редакторе, сохраняют работоспособность ин­фицированных программ.

Однако вирус можно обнаружить и в этот скрытый период. Ос­новными признаками заражения могут быть следующие: изменение длины программ; потеря работоспособности программного обеспе­чения; заметное замедление выполнения компьютером некоторых операций, особенно с диском; подозрительные «зависания» компь­ютера, приводящие к необходимости перезагрузки; появление большого количества «плохих» секторов на дискетах или винчестере и уменьшение их емкости и др..

О наступлении активного периода пользователь узнает из раз­личных сообщений, звуковых сигналов, экранных эффектов или по отказам компьютера. Например, «Your PC is now Stoned» («Ваш PC окаменел») выдает вирус Stone, «I want соокiе»(«Я хочу печенье») требует вирус Cookie. Вирус Yankey Doodle в 17.00 играет мелодию «Yankey Doodle». Осыпание букв на экране (вирус 1704, Falling letters, COM-1701, Cascade) или движение светлого оомбика на эк­ране, отражающегося от границ экрана и символов псевдогоафи ки (вирус Ping-Pong, Итальянский попрыгунчик), — примеры экран­ных эффектов.

Классификация компьютерных вирусов

Специалисты делят вирусы в соответствии с особыми характе­ристиками их алгоритмов на следующие группы.

Вирусы-«спутники» (companion) - они не изменяют файлы. Осо­бенность их алгоритма состоит в том, что они создают для файлов с расширением .ехе файлы-спутники, имеющие такое же имя, но с расширением .com. Вирус записывается в com-файл, не меняя ехе-файл. При запуске такого файла операционная система первым обнаружит и выполнит com-файл (т. е. вирус), который затем запус­тит ехе-файл.

Вирусы-«черви» (worm) — они распространяются по компьютер­ной сети, не изменяя файлы и сектора. Эти программы забирают ре­сурсы компьютера для собственных нужд и делают их недоступными, никаких разрушительных действий они не производят, однако раз­множаются очень быстро и чрезвычайно опасны в локальных сетях.

Вирусы-«невндимки» (stealth) — весьма совершенные профаммы, перехватывающие обращения к пораженным файлам или секторам дисков и «подставляющие» вместо себя незараженные участки ин­формации. Алгоритм этих вирусов позволяет «обманывать» антиви­русные резидентные мониторы. В них применяются разнообразные способы маскировки. Вирусы, использующие приемы маскировки, нельзя увидеть средствами ОС. Так же маскируются и загрузочные вирусы: при попытке прочитать зараженный загрузочный сектор они подставляют не зараженный, а оригинальный.

Вирусы-«мутанты» (ghost) — самомодифицирующиеся, поли­морфные, трудно обнаруживаемые вирусы, не имеющие постоян­ного участка кода. Они содержат в себе алгоритмы шифровки-рас­шифровки, обеспечивающие такое положение, что два экземпляра одного и того же вируса, заразившие два файла, не имеют ни одной повторяющейся цепочки байтов (например, вирусы Phantom-1, OneHalf и Natas), т.е. вирус модифицирует свое тело, что создает сложности для их нахождения.

Наряду с программами-вирусами существуют и другие разру­шающие программы. К ним можно отнести программы типа «Тро­янский конь», «Часовая мина» и «Бомба».

Программы типа «Троянский конь» не совсем подходят под опи­сание вируса, поскольку самостоятельно они не размножаются. Та­кие программы записывает на компьютер сам пользователь, по­скольку они маскируются под игровые программы или широко из­вестные программные пакеты. Однако при этом программы типа «Троянский конь» выведывают сведения о ресурсах компьютера и передают ее своему создателю, который может пользоваться, на­пример Интернетом, войдя в него под чужим именем. Особый вред такие программы наносят в военных и государственных сетях.

Программы типа «Часовая мина» выполняют разрушения в за­данный день, сверяясь по системной дате. До этого они никак не проявляются, и можно даже не подозревать об их присутствии.

Программы типа «Бомба» производят разрушительные действия и не размножаются. Обычно эти программы привлекают пользова­теля, например, интригующим названием, и он запускает их. Во время запуска или работы «Бомба» производит разрушения.

Еще недавно заразиться компьютерным вирусом можно было только после запуска программы. Но с появлением нового класса «универсальных» (blended threat) вирусов положение изменилось. Такие вирусы, как Nimda и CodeRed, могут заражать компьютеры, просто подключенные к сети. Они распространяются по электрон­ной почте, через загружаемые файлы, компоненты Web-страниц и сетевые папки коллективного доступа. Универсальные вирусы в основном относятся к «червям», однако в отличие от традиционных «червей» они формируют на зараженных компьютерах учетные за­писи с административными полномочиями, перезаписывают фай­лы на локальных и сетевых жестких дисках. Потенциальная опас­ность лавинных заражений для вирусов такого рода очень велика (вирус Klez, SoBig, Livra и Yaha, SQL Slammer).