Классификация вирусов

Условно вирусы подразделяются на классы по следующим признакам: 1. По среде обитания:

- сетевые, распространяющиеся по компьютерной сети;

-файловые, внедряющиеся в выполняемый файл;

- загрузочные, внедряющиеся в загрузочный сектор жесткого диска или дискеты.

2. По способу заражения:

- резидентные, загружаемые в память ПК;

- нерезидентные, не заражающие память ПК и остающиеся активными ограниченное время.

3.По возможностям:

- условно-безвредные, не влияющие на работу ПК;

- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими звуковыми и прочими эффектами;

- опасные, которые могут привести к серьезным сбоям в работе ПК;

- очень опасные, которые могут привести к потере программ, уничтожению данных, стиранию информации в системных областях памяти и даже преждевременному выходу из строя периферийных устройств.

Существует классификация вирусов по типу маскировки:

• "НЕВИДИМЫЕ" вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.

• САМОМОДИФИЦИРУЮЩИЕСЯ вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.

В последнее время появились компьютерные вирусы – черви. При этом существует модификация – бестелесные вирусы – черви. Червями принято называть сетевые вирусы, проникающие в зараженные машины вполне естественным путем, без каких-либо действий со стороны пользователя. Они ближе всех остальных вирусов подобрались к модели своих биологических прототипов и потому чрезвычайно разрушительны и опасны.

Бестелесные черви в процессе заражения и распространения не используют ни временных, ни постоянных файлов. Они пробираются на компьютеры через бреши в системах безопасности и существуют исключительно в виде пакетов данных, передаваемых по коммуникационным каналам, или в виде программного кода в памяти зараженного компьютера.

Структура кв

Наиболее распространенными типами компьютерных вирусов в MS DOS являются файловые нерезидентные, файловые резидентные и бутовые вирусы.

Условно выделяют две части КВ – голову и хвост.

Голова – часть вируса, первой получающая управление.

Хвост – это части вируса, расположенные отдельно от головы. Вирус без хвоста называют несегментированным.

Основные объекты заражения – исполняемые файлы типа .COM, .EXE, .OVL, драйверы .SYS и загрузочная дорожка. При многократном заражении инфицированный файл может содержать тела нескольких вирусов.

Файловый нерезидентный вирус при запуске зараженной программы выполняет следующие действия:

1. восстанавливает начало программы в оперативной памяти;

2. находит очередную жертву;

3. проверяет зараженность жертвы;

4. внедряет тело вируса в программу- жертву;

5. передает управление программе-вирусоносителю.

Файловый резидентный вирус помимо файлов заражает оперативную память ПК.

Резидентный вирус можно представить как состоящий из двух относительно независимых частей: инсталлятора (программа установки) и модуля обработки прерываний. При запуске зараженной программы инсталлятор выполняет следующие действия:

1. восстанавливает начало программы в оперативной памяти;

2. проверяет зараженность ОЗУ;

3. перехватывает требуемые прерывания;

4. передает управление зараженной программе.

Прерывания – это программы операционной системы, выполняющие стандартные действия с файлами, экраном, клавиатурой и т.д. Большинство обычных программ используют прерывания. Для размножения вирусы используют функции работы с файлами. При обращении любой программы к этим функциям происходит заражение по сценарию нерезидентного вируса.

Бутовый вирус – это специализированная разновидность резидентного файлового вируса, который заражает загрузочный сектор гибкого ил жесткого диска. Распространяются бутовые вирусы путем заражения бут-сектора дискет, причем как системных, так и несистемных. Отличительная особенность – голова вируса располагается в загрузочном секторе, а хвост – в неиспользуемых областях диска.

При загрузке с зараженного диска бутовый вирус получает управление и сначала копирует себя в старшие адреса памяти. Затем он уменьшает размер доступной памяти, чтобы защитить резидентную часть вируса, и адрес прерывания 13h, чтобы перехватить обращения к диску, после этого вирус запускает стандартный системный загрузчик.

При чтении любой дискеты вирус проверяет ее на зараженность и инфицирует загрузочный сектор. Теперь при загрузке с этой дискеты произойдет заражение компьютера.

Вирусы-черви обычно состоят из двух частей:

• загрузчика;

• исполняемой части.

Вирус-червь сначала на атакуемую машину, проникает лишь небольшая часть вируса, называемая головой или загрузчиком, которая и подтягивает основное тело червя (исполняемая часть). Собственно говоря, голов у вируса может быть и несколько. Так, достопочтенный вирус Морриса имел две головы, одна из которых пролезала через отладочный люк в sendmail, а другая проедала дыру в finger.