Классификация вирусов
Условно вирусы подразделяются на классы по следующим признакам: 1. По среде обитания:
- сетевые, распространяющиеся по компьютерной сети;
-файловые, внедряющиеся в выполняемый файл;
- загрузочные, внедряющиеся в загрузочный сектор жесткого диска или дискеты.
2. По способу заражения:
- резидентные, загружаемые в память ПК;
- нерезидентные, не заражающие память ПК и остающиеся активными ограниченное время.
3.По возможностям:
- условно-безвредные, не влияющие на работу ПК;
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими звуковыми и прочими эффектами;
- опасные, которые могут привести к серьезным сбоям в работе ПК;
- очень опасные, которые могут привести к потере программ, уничтожению данных, стиранию информации в системных областях памяти и даже преждевременному выходу из строя периферийных устройств.
Существует классификация вирусов по типу маскировки:
"НЕВИДИМЫЕ" вирусы. Многие резидентные вирусы (и файловые, и загрузочные) предотвращают свое обнаружение тем, что перехватывают обращения DOS (и тем самым прикладных программ) к зараженным файлам и областям диска и выдают их в исходном (незараженном) виде. Разумеется, этот эффект наблюдается только на зараженном компьютере - на "чистом" компьютере изменения в файлах и загрузочных областях диска можно легко обнаружить.
САМОМОДИФИЦИРУЮЩИЕСЯ вирусы. Другой способ, применяемый вирусами для того, чтобы укрыться от обнаружения, - модификация своего тела. Многие вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы. Самомодифицирующиеся вирусы используют этот прием и часто меняют параметры этой кодировки, а кроме того, изменяют и свою стартовую часть, которая служит для раскодировки остальных команд вируса. Таким образом, в теле подобного вируса не имеется ни одной постоянной цепочки байтов, по которой можно было бы идентифицировать вирус. Это, естественно, затрудняет нахождение таких вирусов программами-детекторами.
В последнее время появились компьютерные вирусы – черви. При этом существует модификация – бестелесные вирусы – черви. Червями принято называть сетевые вирусы, проникающие в зараженные машины вполне естественным путем, без каких-либо действий со стороны пользователя. Они ближе всех остальных вирусов подобрались к модели своих биологических прототипов и потому чрезвычайно разрушительны и опасны.
Бестелесные черви в процессе заражения и распространения не используют ни временных, ни постоянных файлов. Они пробираются на компьютеры через бреши в системах безопасности и существуют исключительно в виде пакетов данных, передаваемых по коммуникационным каналам, или в виде программного кода в памяти зараженного компьютера.
Структура кв
Наиболее распространенными типами компьютерных вирусов в MS DOS являются файловые нерезидентные, файловые резидентные и бутовые вирусы.
Условно выделяют две части КВ – голову и хвост.
Голова – часть вируса, первой получающая управление.
Хвост – это части вируса, расположенные отдельно от головы. Вирус без хвоста называют несегментированным.
Основные объекты заражения – исполняемые файлы типа .COM, .EXE, .OVL, драйверы .SYS и загрузочная дорожка. При многократном заражении инфицированный файл может содержать тела нескольких вирусов.
Файловый нерезидентный вирус при запуске зараженной программы выполняет следующие действия:
восстанавливает начало программы в оперативной памяти;
находит очередную жертву;
проверяет зараженность жертвы;
внедряет тело вируса в программу- жертву;
передает управление программе-вирусоносителю.
Файловый резидентный вирус помимо файлов заражает оперативную память ПК.
Резидентный вирус можно представить как состоящий из двух относительно независимых частей: инсталлятора (программа установки) и модуля обработки прерываний. При запуске зараженной программы инсталлятор выполняет следующие действия:
восстанавливает начало программы в оперативной памяти;
проверяет зараженность ОЗУ;
перехватывает требуемые прерывания;
передает управление зараженной программе.
Прерывания – это программы операционной системы, выполняющие стандартные действия с файлами, экраном, клавиатурой и т.д. Большинство обычных программ используют прерывания. Для размножения вирусы используют функции работы с файлами. При обращении любой программы к этим функциям происходит заражение по сценарию нерезидентного вируса.
Бутовый вирус – это специализированная разновидность резидентного файлового вируса, который заражает загрузочный сектор гибкого ил жесткого диска. Распространяются бутовые вирусы путем заражения бут-сектора дискет, причем как системных, так и несистемных. Отличительная особенность – голова вируса располагается в загрузочном секторе, а хвост – в неиспользуемых областях диска.
При загрузке с зараженного диска бутовый вирус получает управление и сначала копирует себя в старшие адреса памяти. Затем он уменьшает размер доступной памяти, чтобы защитить резидентную часть вируса, и адрес прерывания 13h, чтобы перехватить обращения к диску, после этого вирус запускает стандартный системный загрузчик.
При чтении любой дискеты вирус проверяет ее на зараженность и инфицирует загрузочный сектор. Теперь при загрузке с этой дискеты произойдет заражение компьютера.
Вирусы-черви обычно состоят из двух частей:
загрузчика;
исполняемой части.
Вирус-червь сначала на атакуемую машину, проникает лишь небольшая часть вируса, называемая головой или загрузчиком, которая и подтягивает основное тело червя (исполняемая часть). Собственно говоря, голов у вируса может быть и несколько. Так, достопочтенный вирус Морриса имел две головы, одна из которых пролезала через отладочный люк в sendmail, а другая проедала дыру в finger.