Компьютерные вирусы

     (википедия)

       В общем случае их можно  разделить на группы по следующим  основным признакам: 

     среда обитания,

       операционная система, 

     особенности алгоритма работы.

     деструктивные возможности

     Согласно  этим трем классификациям известный  вирус "Чернобыль", к примеру, можно  отнести к файловым резидентным  неполиморфичным Windows-вирусам. Поясним  подробнее, что это значит.

     1. Среда обитания

     В зависимости от среды обитания различают файловые, загрузочные и макровирусы.  
Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). (http://school8.uriit.ru/people/av/index.html

     Поначалу  самой распространенной формой компьютерной "заразы" были файловые вирусы, "обитающие" в файлах и папках операционной системы компьютера. К ним относятся, например, "overwriting"-вирусы (от англ. "записывать поверх"). Попадая в компьютер, они записывают свой код вместо кода заражаемого файла, уничтожая его содержимое. Естественно, что при этом файл перестает работать и не восстанавливается. Однако это довольно примитивные вирусы: они, как правило, очень быстро себя обнаруживают и не могут стать причиной эпидемии.

     Другой  тип "файловых вредителей" - так  называемые паразитические вирусы. Они  оставляют зараженные файлы полностью или частично работоспособными, но при этом изменяют их содержимое. Например, они могут копировать себя в начало, конец или середину файлов. Так, "cavitys-вирусы (от англ. "полость") записывают свой код в заведомо неиспользуемые данные файла.

     Еще более "хитро" ведут себя "companion"-вирусы (от англ. "приятель", "компаньон"). Они не изменяют сам файл, но создают  для него файл-двойник таким образом, что при запуске зараженного  файла управление получает именно этот двойник, то есть вирус. Например, "companion"-вирусы, работающие под DOS, используют особенность этой операционной системы в первую очередь выполнять файлы с расширением СОМ, а потом уже с расширением ЕХЕ. Такие вирусы создают для ЕХЕ-файлов двойники, имеющие то же самое имя, но с расширением СОМ. Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске зараженного файла DOS первым обнаружит и выполнит именно СОМ-файл, то есть вирус, а уже потом вирус запустит файл с расширением ЕХЕ.

     Иногда "соmpanion"-вирусы просто переименовывают заражаемый файл, а под старым именем записывают на диск свой собственный код. Например, файл XCOPY.EXE переименовывается в XCOPY.EXD, а вирус записывается под именем XCOPY.EXE. При запуске файла управление получает код вируса, который затем уже запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Подобного типа вирусы были обнаружены во многих операционных системах - не только в DOS, но и в Windows и OS/2.

     Есть  и другие способы создавать файлы-двойники. Например, вирусы типа "path-companion" "играют" на особенностях DOS PATH - иерархической записи местоположения файла в системе DOS. Вирус копирует свой код под именем заражаемого файла, но помещает его не в ту же директорию, а на один уровень выше. В этом случае DOS первым обнаружит и запустит именно файл-вирус.

     Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы. Эти вирусы заражают загрузочный сектор (boot-сектор) дискеты или винчестера - специальную область на диске, содержащую программу начальной загрузки компьютера. Если изменить содержимое загрузочного сектора, то, возможно, вы даже не сможете запустить ваш компьютер. ( Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.)

       (Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.) Макровирусы - разновидность компьютерных вирусов, созданных при помощи макроязыков, встроенных в популярные офисные приложения наподобие Word, Excel, Access, PowerPoint, Project, Corel Draw и др. (см. "Наука и жизнь" № 6, 2000 г.). Макроязыки используются для написания специальных программ (макросов), позволяющих повысить эффективности работы офисных приложений. Например, в Word можно создать макрос, автоматизирующий процесс заполнения и рассылки факсов. Тогда пользователю достаточно будет ввести данные в поля формы и нажать на кнопку - все остальное макрос сделает сам. Беда в том, что, кроме полезных, в компьютер могут попасть и вредоносные макросы, обладающие способностью создавать свои копии и совершать некоторые действия без ведома пользователя, например изменять содержание документов, стирать файлы или директории. Это и есть макровирусы.

     Самый распространенный сегодня макроязык - Visual Basic for Applications (VBA). Его возможности  стремительно возрастают с каждой новой  версией. Таким образом, чем более  совершенными будут офисные приложения, тем опаснее будет в них  работать. Поэтому макровирусы представляют сегодня реальную угрозу компьютерным пользователям. По нашим прогнозам, с каждым годом они будут становиться все более неуловимыми и опасными, а скорость их распространения скоро достигнет небывалых величин.  
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые длокументы, но и рассылает свои копии по электронной почте. (http://school8.uriit.ru/people/av/index.html

     Используемая  операционная система.

     (Сетевые  вирусы используют для своего  распространения протоколы или  команды компьютерных сетей и  электронной почты http://school8.uriit.ru/people/av/index.html.)

     Каждый  файловый или сетевой вирус заражает файлы какой-либо одной или нескольких операционных систем - DOS, Windows, OS/2, Linux, MacOS и т.д. На этом основан второй способ классификации вирусов. Например, вирус "BOZA", работающий только в Windows и нигде более, относится к Windows-вирусам. Вирус "BLISS" - к Linux-вирусам и т.д.

       Алгоритмы работы.

     Вирусы  можно также различать по используемым ими алгоритмам работы, то есть различным  программным хитростям, делающим их столь опасными и трудноуловимыми.

     - резидентность;

     - использование стелс-алгоритмов;

     - самошифрование и полиморфичность;

     - использование нестандартных приемов.

     Во-первых, все вирусы можно разделить на резидентные и нерезидентные. РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. (http://school8.uriit.ru/people/av/index.html)

     Резидентный вирус подобен шпиону, постоянно  работающему в чужой стране. Попав  при загрузке в оперативную память компьютера, вирус остается в ней  до тех пор, пока компьютер не будет  выключен или перезагружен. Именно оттуда вирус-резидент и совершает все свои деструктивные действия. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. (http://school8.uriit.ru/people/av/index.html)

     Нерезидентные вирусы не заражают память компьютера и способны "размножаться" только если их запустить.

     К резидентным можно также отнести  все макровирусы. Они присутствуют в памяти компьютера в течение  всего времени работы зараженного  ими приложения.

     Во-вторых, вирусы бывают видимыми и невидимыми. Для простого обывателя невидимость вируса - пожалуй, самое загадочное его свойство. Однако ничего демонического в этом нет. "Невидимость" заключается в том, что вирус посредством программных уловок не дает пользователю или антивирусной программе заметить изменения, которые он внес в зараженный файл. Постоянно присутствуя в памяти компьютера, вирус-невидимка перехватывает запросы операционной системы на чтение и запись таких файлов. Перехватив запрос, он подставляет вместо зараженного файла его первоначальный неиспорченный вариант. Таким образом пользователю всегда попадаются на глаза только "чистые" программы, в то время как вирус незаметно вершит свое "черное дело". Одним из первых файловых вирусов-невидимок был "Frodo", а первым загрузочным невидимкой - вирус "Brain".

     Чтобы максимально замаскироваться от антивирусных программ, практически все вирусы используют методы самошифрования или полиморфичности, то есть они могут сами себя зашифровывать и видоизменять. (http://school8.uriit.ru/people/av/index.html :

     АМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов  для того, чтобы максимально усложнить  процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые  вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.). Меняя свой внешний вид (программный код), вирусы полностью сохраняют способность совершать те или иные вредоносные действия. Раньше антивирусные программы умели обнаруживать вирусы только "в лицо", то есть по их уникальному программному коду. Поэтому появление вирусов-полиморфиков несколько лет назад произвело настоящую революцию в компьютерной вирусологии. Сейчас уже существуют универсальные методы борьбы и с такими вирусами.     
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

      безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

      неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми  и пр. эффектами;

      опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

      очень опасные, в алгоритм работы которых  заведомо заложены процедуры, которые  могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.

     Но  даже если в алгоритме вируса не найдено ветвей, наносящих ущерб  системе, этот вирус нельзя с полной уверенностью назвать безвредным, так  как проникновение его в компьютер  может вызвать непредсказуемые и порой катастрофические последствия. Ведь вирус, как и всякая программа, имеет ошибки, в результате которых могут быть испорчены как файлы, так и сектора дисков (например, вполне безобидный на первый взгляд вирус "DenZuk" довольно корректно работает с 360K дискетами, но может уничтожить информацию на дискетах большего объема). До сих пор попадаются вирусы, определяющие "COM или EXE" не по внутреннему формату файла, а по его расширению. Естественно, что при несовпадении формата и расширения имени файл после заражения оказывается нерабтоспособным. Возможно также "заклинивание" резидентного вируса и системы при использовании новых версий DOS, при работе в Windows или с другими мощными программными системами. И так далее. 
 

3. Способы распространения вирусов

     Чем быстрее распространяется вирус, тем  вероятее возникновение эпидемии этого  вируса. Чем медленнее распространяется вирус, тем сложнее его обнаружить (если, конечно же, этот вирус пока неизвестен антивирусным программам). Понятия "быстрого" и "медленного" вируса (Fast infector, Slow infector) являются достаточно относительными и используются только как характеристика вируса при его описании.

     Нерезидентные вирусы часто являются "медленными" - большинство из них при запуске  заражает один или два-три файла и не успевает заполонить компьютер до запуска антивирусной программы (или появления новой версии антивируса, настроенной на данный вирус). Существуют, конечно же, нерезидентые "быстрые" вирусы, которые при запуске ищут и заражат все выполняемые файлы, однако такие вирусы очень заметны: при запуске каждого зараженного файла компьютер некоторое (иногда достаточно долгое) время активно работает с винчестером, что демаскирует вирус.