11.1 Классификация компьютерных вирусов

Партнерка на США и Канаду по недвижимости, выплаты в крипто

• 30% recurring commission
• Выплаты в USDT
• Вывод каждую неделю
• Комиссия до 5 лет за каждого referral

11.1 Классификация компьютерных вирусов

В литературе приводят четыре основных признака, по которым можно классифицировать вирусы:

-       среда обитания;

-       способ заражения среды обитания;

-       особенности алгоритма работы;

-       деструктивные возможности.

По среде обитания компьютерные вирусы подразделяются на файловые, загрузочные, сетевые и макровирусы.

Файловые вирусы размещаются в исполняемых файлах - это наиболее распространенный тип вирусов. Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных операционных систем. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов: командные файлы (bat), загружаемые драйверы (sys) и выполняемые двоичные файлы (exe, com).

Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Иногда загрузочные вирусы называют бутовыми. При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой- либо программы, получающей управление при загрузке системы. Вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса. При инфицировании диска вирус в большинстве случаев переносит оригинальный boot-сектор (или MBR) на какой- либо другой сектор диска (например, в первый свободный). Если длина вируса больше длины сектора, то в заражаемый сектор помещается первая часть вируса, остальные части размещаются в других секторах (например, в первых свободных).

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Сетевые вирусы иногда называют программами типа «червь». Сетевые черви подразделяются на nternet- черви (распространяются по Internet), LAN-черви (распространяются по локальной сети), IRC-черви Internet Relay Chat (распространяются через чаты). Существуют также смешанные типы.

Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (в частности в редакторы Microsoft Word, Microsoft Excel). Для своего размножения такие вирусы используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение.

По способу заражения среды обитания компьютерные вирусы делятся на резидентные и нерезидентные. Поскольку вирус и объект, в который он внедрен, являются для операционной системы единым целым, то после загрузки они располагаются в едином адресном пространстве. После завершения работы объекта он выгружается из оперативной памяти, при этом одновременно выгружается и вирус, переходя в пассивную стадию хранения. Однако некоторые типы вирусов способны сохраняться в памяти и оставаться активными после окончания работы вирусоносителя. Эти вирусы получили название резидентных. Таким образом, резидентные вирусы - это вирусы, которые при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Такие вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.

По особенностям алгоритма работы компьютерные вирусы подразделяются на вирусы-спутники (companion), вирусы-черви (worm), стелс- вирусы (вирусы-невидимки) и полиморфные вирусы.

Механизм действия вирусов-спутников состоит в создании копий исполняемых файлов (ехе). Копии присваивается то же имя, что и исполняемому файлу, но расширение изменяется на com. При запуске файла с общим именем операционная система первым загружает на выполнение файл с расширением com, который является вирусом. Файл-вирус запускает затем файл с расширением ехе.

Вирусы-черви попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков.

Стелс-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют операционную систему к незараженным участкам информации, эмулируя таким образом «чистоту» зараженных файлов. Вирус является резидентным, маскируется под программы операционной системы и может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы операционной системы, обрабатывающие эти прерывания. Таким образом, стелс-вирусы способны скрывать свое присутствие в системе и избегать обнаружения антивирусными программами.

К полиморфным вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок (сигнатур) - участков постоянного кода, специфичных для конкретного вируса. Это достигается двумя основными способами. Первый способ - это шифрование основного кода вируса с непостоянным ключом. Однако в открытом виде должна храниться та часть вируса, которая обеспечивает его расшифровку на стадии загрузки. Поэтому -второй способ связан с модификацией данной части кода вируса таким образом, чтобы возникли текстуальные различия с оригиналом, но результаты работы остались неизменными. Поэтому в большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Полиморфизм встречается в вирусах всех типов - файловых, загрузочных и макровирусах.

По деструктивным возможностям компьютерные вирусы подразделяются на безвредные, неопасные, опасные и очень опасные.

Безвредные вирусы - это вирусы, которые никак не влияют на работу компьютера, а только уменьшают свободную память на диске. В них реализован только механизм самораспространения.

Неопасные вирусы - это вирусы, влияние которых ограничивается уменьшением свободной памяти на диске, а также графическими, звуковыми и прочими эффектами. Они не оказывают никакого влияния на работу приложений и на данные.

Опасные вирусы - это вирусы, которые могут привести к серьезным сбоям в работе компьютера и в результате к разрушению данных.

Очень опасные вирусы — это вирусы, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера системную информацию.