24) 24. Классификация компьютерных вирусов. Признаки заражения компьютера вирусом.

Классифицировать компьютерные вирусы можно по различным признакам. Укажем четыре из них:

• среда обитания;

• операционная система;

• особенности алгоритма работы;

• деструктивные возможности.

По среде обитания вирусы можно разделить на типы:

• файловые;

• загрузочные;

• макровирусы;

• сетевые.

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо исполь¬зуют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загруз¬чик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Макровирусы заражают файлы-документы, электронные таб¬лицы и презентации ряда популярных редакторов.

Сетевые вирусы используют для своего распространения про¬токолы или команды компьютерных сетей и электронной почты.

Существует большое количество сочетаний, например файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сек¬тора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникно¬вения в операционную систему, используют стеле- и полиморфик-технологии. Другой пример такого сочетания — сетевой макровирус, который не только заражает редактируемые документы, но и рассы¬лает свои копии по электронной почте (например, «I lov you» или «Анна Курникова»).

Заражаемая операционная система (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS-DOS, Win95/98/NT, OS/2 и т.д. Макровирусы заражают файлы форматов Word, Excel, Power Point, Office97. Загрузочные вирусы также ори¬ентированы на конкретные форматы расположения системных дан¬ных в загрузочных секторах дисков.

Существуют определенные признаки, указывающие на заражение программы или диска вирусом:

? изменение длины файлов и даты создания;

? выдача сообщений типа «Write protect error» при чтении информации с защищенных от записи дискет;

? замедление работы программ, зависание и перезагрузка;

? уменьшение объема системной памяти и свободного места на диске без видимых причин;

? появление новых сбойных кластеров, дополнительных скрытых файлов или других изменений файловой системы.

Симптомы поражения вирусом – червем. Грамотно сконструированный и не слишком прожорливый программный код обнаружить не так-то просто. Есть ряд характерных признаков червя, но все они ненадежны, и гарантированный ответ дает лишь дизассемблирование. Черви могут вообще не дотрагиваться до файловой системы, оседая в оперативной памяти адресного пространства уязвимого процесса. Распознать зловредный код по внешнему виду нереально, а проанализировать весь слепок памяти целиком – чрезвычайно трудоемкий и затруднительный процесс, тем более что явных команд передачи управления машинному коду червя может и не быть.

Признаки червя:

? большое количество исходящих TCP/IP-пакетов, расползающихся по всей сети и в большинстве своем адресованных несуществующим получателям;

? ненормальная сетевая активность (Подавляющее большинство известных на сегодняшний день червей размножаются с неприлично высокой скоростью. Также могут появиться новые порты, которые вы не открывали и которые непонятно кто прослушивает. Впрочем, прослушивать порт можно и без его открытия – достаточно лишь внедриться в низкоуровневый сетевой сервис. Поэтому к показаниям анализаторов трафика следует относиться со здоровой долей скептицизма, если, конечно, они не запущены на отдельной машине, которую червь гарантированно не сможет атаковать);

? существование пакетов с подозрительным содержимым (Под «пакетом» здесь понимаются не только TCP/IP-пакеты, но и сообщения электронной почты, содержащие откровенно «левый» текст).

По степени разрушительности вирусы можно условно разделить на два типа: «иллюзионисты» и «вандалы».

«Иллюзионисты» демонстрируют экзотические звуковые и визуальные эффекты: осыпание букв, бегающие рожицы.

У «вандалов» главная задача – как можно более скрытое размножение с последующим разрушением информации (обычно FAT и форматирование диска).

Виды наносимого вирусом ущерба:

? разрушение отдельных файлов, управляющих блоков или файловой системы в целом;

? блокирование некоторых функций ОС типа загрузки (?) с дискеты;

? выдача ложных, раздражающих или отвлекающих сообщений (например, «Скажи бебе»);

? создание звуковых или визуальных эффектов;

? имитация ошибок или сбоев в программе или операционной системе;

? имитация сбоев аппаратуры (перевод части кластеров в сбойные на винчестере или на дискете, зависание ПК через некоторое время после включения и т.д.).

Наиболее опасны не катастрофические повреждения винчестера или дискет, а медленные постепенные изменения в файлах данных (например, перестановка цифр в числовых полях файлов DBF (Data Base File) = файл базы данных).

Большинство повреждений от вирусов относятся к информации, к данным. Повреждения оборудования почти не бывает. Здесь много слухов и домыслов. Например, ходят слухи о вирусах, вводящих в резонанс головки винчестера, или прожигающих дыры на экранах мониторов.