Процесс заражения
Упрощенно процесс заражения вирусом программных файлов вирусом можно представит следующим образом. Код зараженной программы обычно изменен таким образом, чтобы вирус получил управление первым, до начала работы программы-вирусоносителя.
П
Команда перехода
-
Тело
вирусаНачало программы
Программа
Тело вируса
Программа
Конец программы
Тело вируса
После отработки своего тела передает управление программе-вирусоносителю, и та нормально выполняет свои функции.
Условно выделяют две части КВ – голову и хвост.
Голова – часть вируса, первой получающая управление.
Хвост – это части вируса, расположенные отдельно от головы. Вирус без хвоста называют несегментированным.
Жизненный цикл компьютерных вирусов
Различают два основных действия (фазы), выполняемых компьютерным вирусом: размножение и проявление. Размножение обычно является первым и обязательным действием вируса при получении им управления.
Фаза проявления, на которой выполняются несанкционированные действия, может чередоваться с размножением, начинаться через определенный период или при сочетании некоторых условий. Она может заключаться в изощренных визуальных или звуковых эффектах. Вирусы-вандалы на фазе проявления наносят повреждения файловой системе, вносят ошибки в данные или нарушают работу ПК.
Кроме того, возможна латентная фаза, когда нет размножения и проявления. Это может быть обусловлено:
системным временем (пятница, 13-е);
конфигурацией (должен быть винчестер);
аппаратными особенностями (только на клонах IBM PC).
В качестве первичного носителя вируса, как правило, выступает дискета с игровыми программами или новыми популярными программами.
Классификация вирусов:
По степени тяжести последствий:
безвредные;
неопасные;
опасные;
особо опасные;
По заражаемой системе:
DOS;
Windows;
Linux;
OS/2;
По среде обитания:
файловые;
вирусы, заражающие программы (файлы с расширением .EXE и .COM);
вирусы-спутники используют имена других файлов;
вирусы семейства DIR искажают системную информацию о файловых структурах;
Файловый нерезидентный вирус при запуске зараженной программы выполняет следующие действия:
восстанавливает начало программы в оперативной памяти;
находит очередную жертву;
проверяет зараженность жертвы;
внедряет тело вируса в программу- жертву;
передает управление программе-вирусоносителю
загрузочные; или BOOT-вирусы заражают boot-секторы дисков. Очень опасные, могут привести к полной потере всей информации, хранящейся на диске
файловые загрузочные; способные поражать как код boot-секторов, так и код файлов
макровирусы; заражающие файлы данных, например, документы Word или рабочие книги Excel;
сетевые;
4) вирусы-невидимки или STEALTH-вирусы фальсифицируют информацию прочитанную из диска так, что программа, какой предназначена эта информация получает неверные данные. Эта технология, которую, иногда, так и называют Stealth-технологией, может использоваться как в BOOT-вирусах, так и в файловых вирусах;
5) ретровирусы заражают антивирусные программы, стараясь уничтожить их или сделать нетрудоспособными;
По особенностям алгоритма:
резидентность;
Резидентный вирус можно представить как состоящий из двух относительно независимых частей: инсталлятора (программа установки) и модуля обработки прерываний. При запуске зараженной программы инсталлятор выполняет следующие действия:
восстанавливает начало программы в оперативной памяти;
проверяет зараженность ОЗУ;
перехватывает требуемые прерывания;
передает управление зараженной программе.
использование стелс-алгоритмов; которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска
самошифрование; содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов
полиморфичность;
использование нестандартных приемов