Новые поколения вирусов

Создатели компьютерных вирусов становятся все более квалифицированными и изощренными. Они разрабатывают вирусы, которые все труднее обнаружить. Например, вирус-невидимка скрывает созданные им изменения в файле или загрузочных записях с помощью изменения системных функций, используемых программами для чтения файлов или физических блоков с информационного носителя, чтобы программы, пытающиеся прочитать эти области, "видели" исходную, неинфицированную форму соответствующего файла, а не фактическую, инфицированную форму. В результате, вирусные модификации оказываются невидимыми для антивирусных программ. Для этого, однако, требуется, чтобы вирус находился в памяти, когда выполняется ваша антивирусная программа.

Кроме того, создатели вирусов разрабатывают полиморфные вирусы, которые продуцируют непохожие друг на друга (хотя и полностью работоспособные) копии самих себя, в расчете на то, что программы-сканеры не смогут обнаружить все разновидности этого вируса. Один из методов изготовления полиморфного вируса заключается в использовании различных схем шифрования, требующих разных программ дешифровки. Для надежного обнаружения вируса такого типа вирусному сканеру придется использовать несколько сигнатур (по одной для каждого возможного метода шифрования). Более сложный полиморфный вирус изменяет в этих копиях последовательность команд, чередуя их с "шумовыми командами", переставляя взаимно-независимые команды или даже используя разные последовательности команд, приводящие к одинаковому результату. Вирусный сканер, основанный на использовании сигнатур не позволяет надежно обнаруживать этот тип вируса.

Самой сложной на сегодня формой полиморфизма является вирус MtE "Mutation Engine", разработанный одним болгарским специалистом по прозвищу Dark Avenger. Этот вирус имеет форму объектного модуля.

Появление полиморфных вирусов еще больше усложнило и без того трудную и дорогостоящую задачу сканирования вирусов; добавление все новых строк поиска в простые сканеры не является адекватным ответом на появление этих вирусов.

Неисполняемые вирусы

Не всегда оказывается возможным провести четкое разграничение между исполняемыми и неисполняемыми файлами. Некоторые файлы, не являющиеся непосредственно исполняемыми, содержат код или данные, которые могут - при определенных условиях - выполняться или интерпретироваться.

В настоящее время вирусы могут инфицировать загрузочные сектора, главные загрузочные записи, СОМ-файлы, ЕХЕ-файлы, ВАТ-файлы и драйверы устройств. PostScript-файлы также могут быть носителями вируса (правда, этого нельзя сказать ни об одном из известных в данный момент вирусов).

В тоже время некоторые компьютерные вирусы являются просто плодом человеческой фантазии.

Черви

Черви похожи на вирусы. Правда, их цель заключается в простом бесконечном размножении - до захвата всей памяти компьютера или сети, т.е. до полной невозможности продолжения работы. Первое использование этого термина связано с описанием программы, которая копировала себя в сети, задействуя при этом никем не используемые ресурсы и, не принося никакого вреда пользователям.

Для понимания сущности вирусов-червей полезно почитать научно- фантастическую литературу. Джон Браннер в своей книге описывает программу-червь, действующую в сети. Он пишет: "Эта программа работает постоянно, пока существует сеть. Даже если один ее сегмент прекращает функционировать, на какой-то другой станции начинает действовать ее дублер. Происходит автоматическое деление червя, и из резервных элементов в нужном месте создается нужная структура.

Некоторые поставщики программного обеспечения пользуются технологией червя для инсталляции и модернизации сетевого программного обеспечения. Самый одиозный червь был создан Робертом Моррисом и получил название Internet Worm. Моррис, используя известные (и весьма серьезные) бреши Internet, запустил в сеть вирус, который заполонил сотни компьютеров в Internet. Не исключено, что свои идеи Моррис черпал именно из научно-фантастической литературы.