Советы и лайфхаки

5 классификация вирусов по особенностям алгоритма – 1.3. Классификация компьютерных вирусов по особенностям алгоритма работы

1.3. Классификация компьютерных вирусов по особенностям алгоритма работы

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

По особенностям алгоритма работы вирусы делятся на:

  • резидентные;

  • стелс-вирусы;

  • полиморфик-вирусы;

  • вирусы, использующие нестандартные приемы.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них.

Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.

Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными

К резидентным вирусам относятся макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Вирусы-невидимки, называемые стелс-вирусами(STEALTH-вирусы),маскируют свое присутствие в ЭВМ, их очень трудно обнаружить и обезвредить. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом:

1) либо временно лечат их,

2) либо "подставляют" вместо себя незараженные участки информации.

В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.

Таким образом, Вирусы-невидимки или стелс-вирусы фальсифицируют информацию, прочитанную из диска так, что программа, какой предназначена эта информация получает неверные данные. Эта технология, которую, иногда, так и называют Stealth-технологией, может использоваться как в BOOT-вирусах, так и в файловых вирусах.

Вирусы-мутанты (призраки, полиморфные вирусы, полиморфики)

Полиморфик-вирусы (polymorphic)- , содержащие алгоритмы шифрования основного тела вируса и модификации программы-расшифровщика, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

Их трудно обнаружить, т.к. их копии практически не содержат полностью совпадающих участков кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения Это достигается тем, что в программы вирусов добавляются пустые команды (мусор), которые не изменяют алгоритм работы вируса, но затрудняют их выявление. (OneHalf – локальные «эпидемии» его возникают регулярно).

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре операционной системы, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.

Квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков(например, стирает FAT), или собирает на компьютере информацию, не подлежащую разглашению. Не обладают свойством самовоспроизводства.

studfiles.net

Классификация и виды компьютерных вирусов

Компьютерный вирус представляет собой разновидность компьютерных утилит или вредоносный код, чья отличительная особенность – саморепликация, то есть способность к размножению. Вирусы без ведома владельца компьютера могут выполнять любые действия, наносящие вред компьютеру и/или документам, а также ворующие пароли от доступа к почте, ICQ и так далее.

Вирусы разделяются по ряду основных признаков, включающих среду обитания, операционную систему, особенности алгоритма работы и деструктивные возможности.

Вирусы данного вида любыми способами проникают в выполняемые файлы (характер для распространенного типа вирусов), или же сами создают файлы-двойники (носят название компаньон-вирусов), или же в своей работе используют особенности устройства файловой системы (носят название линк-вирусов).

Вирусы данного вида помещают себя в загрузочный сектор жесткого диска, или в сектор с системным загрузчиком hard-диска, или же меняют указатель на активный загрузочный сектор винчестера. Вы наверняка встречались с баннером, который заблокировал Windows и требовал отправить смс. Так вот, это работа загрузочного вируса.

Вирусы данного вида заражают электронные таблицы и файловые документы ряда популярных редакторов.

Вирусы этого вида для своего распространения используют протоколы, либо команды компьютерных сетей, а также электронной почты.

Однако имеются и сочетания данных перечисленных видов вирусов. К примеру:

Эти вирусы не только заражают файлы, но и загрузочные сектора жестких дисков. Они имеют очень сложный алгоритм своей работы за счет использования стелс и полиморфик-технологий и оригинальных методов проникновения в систему.

Они заражают редактируемые документы на компьютере, плюс, копии вируса рассылают по электронной почте.

Второй уровень разделения вирусов – вид заражаемой операционной системы. Каждый сетевой или файловый вирус заражает файлы одно или ряда ОС:

  • DOS,
  • Windows,
  • Win95/NT,
  • OS/2 и прочие.

Макро-вирусы заражают документы таких редакторов, как:

Загрузочные вирусы разделяются согласно конкретным форматам размещения системных данных в boot-секторах жесткого диска.

При заражении компьютера в оперативной памяти оставляет свою резидентную часть, перехватывающую обращения ОС к объектам заражения для внедрения в них. Данный вид вирусов располагаются в памяти и проявляют активность до перезагрузки операционной системы или выключения компьютера. Нерезидентный вирус не заражает память компьютера, а активность его ограничена временем. Ряд вирусов даже при размещении в памяти небольших резидентных программ не распространяются. Подобные вредоносные утилиты называются нерезидентными. К резидентным вредоносным программам можно отнести макро-вирусы, так как они присутствуют в памяти компьютера постоянно во время работы зараженного редактора. В этом случае роль операционной системы переходит редактору, а активность вируса ограничена временем работы редактора. В многозадачных ОС время активности резидентного ДОС-вируса ограничивается временем работы зараженного ДОС-окна, а в ряде ОС активность ограничена временем инсталляции драйверов.

Они полностью или частично скрывают в системе. Самым распространенным стелс-алгоритмом считается перехват запросов операционки на чтение, либо запись зараженных объектов. Стелс-вирусы временно лечат их или же вместо себя «подставляют» незараженные участки данных. Ярким примеров использования этих алгоритмов в случае с макро-вирусами является отсутствие возможности вызова меню просмотра макросов. Одними из первых загрузочных стелс-вирусов является вирус Brain, а файловых стелс-вирусов – Frodo.

Практически все типы вредоносных утилит используют данные алгоритмы работы для максимального усложнения процедуры детектирования вируса. Полиморфик-вирусы очень сложно обнаружить из-за отсутствия сигнатур, то есть отсутствия хотя бы одного постоянного участка кода. Чаще всего 2 образца такого вредоносного ПО не будут иметь ни одного схожего фрагмента кода. Данная ситуация достигается за счет шифрования основного тела вируса, а также модификации программы-расшифровщика.

Применение нестандартных приемов обусловлено необходимостью спрятать тело вируса как можно глубже в ядре операционной системе, защиты от обнаружения резидентсткой копии, затруднения лечения от вируса.

Безвредные, не влияющие на работу компьютера, за исключение уменьшения свободного места на диске.Неопасные, влияющие лишь на уменьшение свободного места на жестком диске и на графические, звуковые и иные эффекты.

Опасные, приводящие к серьезным сбоям в функционировании компьютера.

Очень опасные вирусы. В их алгоритм работы заложены функции, вызывающие потерю программ, уничтожение данных, уничтожение необходимой для работы ПК информации из системных областей памяти.

comments powered by HyperComments

spravkapc.ru

Классификация компьютерных вирусов по особенностям алгоритма работы

По особенностям алгоритма работы вирусы делятся на:

· резидентные;

· стелс-вирусы;

· полиморфик-вирусы;

· вирусы, использующие нестандартные приемы.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. К резидентным относятся макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса.

Полиморфик-вирусы (polymorphic) – это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре операционной системы, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.


Похожие статьи:

poznayka.org

2. Классификация вирусов.

Множество компьютерных вирусов, существующих на современном этапе можно разделить на несколько групп.

1. По среде обитания.

Вирусы.

Файлово-загрузочные

Загрузочные

Сетевые.

Файловые.

е

Сетевые вирусы распространяются по различным сетям, т.е. при передаче информации с одного компьютера на другой, соединенные между собой сетью, например Интернет.

Файловые вирусы заражают исполнительные файлы и загружаются после запуска той программы, в которой он находится. Файловые вирусы могут внедряться и в другие файлы, но записанные в таких файлах, они не получают управление и теряют способность к размножению.

Загрузочные вирусы внедряются в загрузочный сектор дискет или логических дисков, содержащий программу загрузки.

Файлово-загрузочные вирусы заражают одновременно файлы и загрузочные сектора диска.

2. По способу заражения среды обитания.

Вирусы.

Нерезидентные.

Резидентные.

Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентный вирус не заражает память компьютера и является активным ограниченное время. Активизируются в определенные моменты, например при обработке документов текстовым процессором.

3. По деструктивным (разрушительным) возможностям.

Вирусы.

Неопасные.

Безвредные.

Опасные.

Очень опасные.

Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.

Неопасные, так же уменьшают объем памяти, не мешают работе компьютера, такие вирусы порождают графические, звуковые и другие эффекты.

Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера, например к зависанию или неправильной печати документа.

Очень опасные, действие которых может привести к потере программ, данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.

4. По особенностям алгоритма.

Невидимки.

Паразитические.

Вирусы.

Репликаторы.

Мутанты.

Студенческие.

Спутники.

Троянские.

Паразитические – это одни из самых простых вирусов. Они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

Вирусы-репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Вирусы невидимки (стелс-вирусы) – вирусы, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего незараженные участки диска.

Мутанты (призраки) содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Такие вирусы самые сложные в обнаружении.

Троянские программы (квазивирусы) не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Спутники – вирус, который не изменяет файл, а для выполнимых программ (exe) создают одноименные программы типа com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.

Студенческие вирусы представляют собой самые простые и легко обнаруживаемые вирусы.

Однако четкого разделения между ними не существует, и все они могут составлять комбинацию вариантов взаимодействия - своеобразный вирусный "коктейль".

studfiles.net

Компьютерные вирусы, их свойства и классификация

Лекция 14 Компьютерные вирусы

Классификация компьютерных преступлений.

Свойства компьютерных вирусов

Прежде всего, вирус - это программа. Такое простое утверждение само по себе способно развеять множество легенд о необыкновенных возможностях компьютерных вирусов. Вирус может перевернуть изображение на вашем мониторе, но не может перевернуть сам монитор. К легендам о вирусах-убийцах, «уничтожающих операторов посредством вывода на экран смертельной цветовой гаммы 25-м кадром» также не стоит относиться серьезно.

Вирус - программа, обладающая способностью к самовоспроизведению. Такая способность является единственным средством, присущим всем типам вирусов. Но не только вирусы способны к самовоспроизведению. Любая операционная система и еще множество программ способны создавать собственные копии. Копии же вируса не только не обязаны полностью совпадать с оригиналом, но и могут вообще с ним не совпадать!

Вирус не может существовать в «полной изоляции»: сегодня нельзя представить себе вирус, который не использует код других программ, информацию о файловой структуре или даже просто имена других программ. Причина понятна: вирус должен каким-нибудь способом обеспечить передачу себе управления.

Классификация вирусов

  • среде обитания

  • способу заражения среды обитания

  • воздействию

  • особенностям алгоритма

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.

Сетевые вирусыраспространяются по различным компьютерным сетям.

Файловые вирусывнедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширенияCOMиEXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению.

Загрузочные вирусывнедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (MasterBootRe-cord).

Файлово-загрузочныевирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные.

Резидентный вируспри заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусыне заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

  • неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

  • опасныевирусы, которые могут привести к различным нарушениям в работе компьютера

  • очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.

Простейшие вирусы- паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

вирусы-репликаторы, называемыечервями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Известны вирусы-невидимки, называемыестелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемыеквазивирусные или «троянские»программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

Загрузочные вирусы

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. (boot-sector).

Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва - в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:

  • выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем и традиционном случае занятые вирусом секторы помечаются как сбойные (bad)

  • копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор

  • замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой

  • организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.

Файловые вирусы

Рассмотрим теперь схему работы простого файлового вируса.

В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину»

Какие же действия выполняет вирус? Он ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить.

Но, изменяя код файла, вирус не обязательно вносит другие изменения:

  • он не обязан менять длину файла

  • неиспользуемые участки кода

  • не обязан менять начало файла

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.

Загрузочно-файловые вирусы

Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из файлов, надо расшифровать зашифрованную им информацию.

Полиморфные вирусы

Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

Стелс-вирусы

Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.

studfiles.net

1.2. Классификация вирусов

 

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам:

  •     среде обитания

  •     способу заражения среды обитания

  •     воздействию

  •     особенностям алгоритма

 

В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные. Сетевые вирусы распространяются по различным компьютерным сетям. Файловые вирусы внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению. Загрузочные вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий программу загрузки системного диска (Master Boot Re-

cord). Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.

По способу заражения вирусы делятся на резидентные и нерезидентные. Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.

По степени воздействия вирусы можно разделить на следующие виды:

  •     неопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в каких-либо графических или звуковых эффектах

  •     опасные вирусы, которые могут привести к различным нарушениям в работе компьютера

  •     очень опасные, воздействие которых может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.

По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия. Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Можно отметить вирусы-репликаторы, называемые червями, которые распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии. Известны вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов. Имеются и так называемые квазивирусные или «троянские» программы, которые хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

 

 

 

studfiles.net

3.1.4 Классификация компьютерных вирусов

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам (рис. 2):

Рис. 3.3 Классификация вирусов

По среде обитания все вирусы можно разделить на файловые, загрузочные и сетевые.

ФАЙЛОВЫМ ВИРУСОМ называют вирус, который внедряется в выполняемые файлы.Это означает, что код программы-вируса находится в каком-то выполняемом файле. Файл, в теле которого присутствует код программы-вируса, называется зараженным (инфицированным) файлом.

ЗАГРУЗОЧHЫМ ВИРУСОМ (бутовым) называют вирус, который внедряется в загрузочный сектор диска (Boot-сектоp), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record).В данном случае код программы-вируса (или его часть) размещен в загрузочном секторе или в главной загрузочной записи. Диск, загрузочный сектор которого поражен вирусом, называется зараженным, или инфицированным диском.

СЕТЕВЫМ ВИРУСОМ называют вирус, который распространяется по различным компьютерным сетям.

По способам заражения различают резидентные и нерезидентные вирусы:

РЕЗИДЕНТНЫЙ ВИРУС размещает себя или некоторую свою часть в оперативной памяти компьютера, получая возможность перехватывать обращения операционной системы к дискам и файлам. При обращении операционной системы к этим объектам вирус внедряется в них. Резидентный вирус находится в оперативной памяти и является активным (т.е., способным заражать все новые и новые объекты) вплоть до выключения или перезагрузки компьютера. Резидентными являются все загрузочные вирусы.

НЕРЕЗИДЕHТHЫЙ ВИРУС не заражает оперативную память компьютера, то есть, не размещает свой код в оперативной памяти. Он является активным только во время работы зараженной программы.

По особенностям алгоритма можно выделить следующие группы вирусов:

ПАРАЗИТИЧЕСКИЕ - это вирусы, изменяющие содержимое файлв и секторов диска, они могут быть достаточно легко обнаружены.

РЕПЛИКАТОРЫ - называемые червями, они распространяются по компьютерным сетям, вычисляя адреса сетевых компьютеров, они записывают по этим адресам свои копии.

НЕВИДИМКИ - называемые стелс-вирусами, их трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска.

МУТАНТЫ – это вирусы, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

ТРОЯНСКИЕ – это квазивирусные программы, которые хотя и неспособны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

3.1.5 Типы вирусов

С тех пор как появились вирусы, началась и бесконечная борьба между авторами вирусов и авторами антивирусных программ. Как только вырабатывались эффективные методы противодействия уже известным вирусам, появлялись новые типы вирусов. В [STEP 93] предлагается следующая классификация вирусов.

Паразитный вирус. Традиционная и до сих пор самая распространенная форма вируса. Паразитный вирус добавляет свой код к исполняемым файлам и размножается при каждом запуске инфицированной программы, находя другие файлы, которые можно было бы инфицировать.

Резидентный вирус. Размещается в оперативной памяти как часть рези дентной системной программы. С момента размещения в памяти инфицирует любую запускаемую программу.Резидентная программа перехватывает прерывания выполняющейся программы, то есть, переопределяет, некоторые обработчики прерываний своими собственными функциями и завершается таким образом, что эти обработчики остаются в памяти. Теперь, когда выполняющаяся программа вызовет такое вот перехваченное (т.е., переопределенное) прерывание, получит управление процедура резидентной программы (ее обработчик прерывания), которая сначала выполнит свою работу, а потом вызовет исходный обработчик. Таким образом резидентные программы-вирусы заменяют обработчики прерываний своими собственными функциями. Итак, резидентный вирус, получив управление, оставляет в оперативной памяти компьютера свой резидентный модуль, который остается активным вплоть до перезагрузки компьютера. Резидентный модуль вируса по сути состоит из процедур, которые подменяют перехватываемые вирусом прерывания. Они решают самые различные задачи. Это и размножение вируса, и маскировка вируса, и создание спецэффектов и т.п. Чаще всего вирус з(еняет обработчики прерываний процедурами, которые осуществляют размножение вируса. Резидентный модуль отслеживает запуск программ или открытие файлов и заражает их, часто проверяя при этом, не были ли они уже заражен.

Загрузочный вирус. Инфицирует главную загрузочную запись или загрузочный сектор и распространяется, когда система загружается с зараженного диска.

Вирус-невидимка. Разновидность вируса, имеющего специально предусмотренное свойство, защищающее вирус от обнаружения антивирусным программным обеспечением.

Полиморфный (мимикрирующий) вирус. Вирус, код которого изменяется при каждом новом заражении, что делает практически невозможным обнаружить его по "сигнатуре".

Один из примеров вируса-невидимки (stealth virus) был рассмотрен выше (рис 3.2): вирус, использующий сжатие, чтобы длина инфицированного файла была в точности равна длине исходного. Существуют и другие, гораздо более хитроумные решения. Например, вирус может перехватывать обращения к функциям ввода-вывода и при попытках прочитать подозрительные части диска с помощью этих функций возвращать оригинальные неинфицированные версии программ. Таким образом, применяемая в данном случае характеристика относится не столько к вирусам, сколько к технологии, обеспечивающей вирусу защиту от обнаружения.

Полиморфный вирус создает при размножении копии, эквивалентные по функциям, но существенно различающиеся по двоичному представлению кода. Как и в случае с вирусами-невидимками, это делается с целью противостоять программам, обнаруживающим вирусы. Для изменения представления кода вирус может вставлять в свой код генерируемые случайным образом избыточные команды или же изменять порядок следования независимых команд. Более эффективным подходом является шифрование. Часть вируса, называемая механизмом управления мутациями, генерирует случайное значение ключа, с помощью которого шифрует остальной код вируса. Ключ сохраняется вместе с вирусом, а механизм управления мутациями видоизменяется. Во время запуска инфицированной программы вирус с помощью сохраненного ключа расшифровывается. При новом инфицировании генерируется новый ключ.

Макровирусы.За последние годы число вирусов, регистрируемых на корпоративных узлах, стремительно растет. Практически весь этот прирост связан с распространением нового типа вирусов, называемых макровирусами.

Макровирусы особенно опасны по следующим причинам:

  • Макровирусы независимы от платформы. Так, практически все макровирусы поражают документы Microsoft Word. Поэтому любая аппаратно-программная система, поддерживающая Word, может быть заражена таким вирусом;

  • Макровирусы инфицируют документы, а не выполняемый код. Информация, вводимая в компьютерную систему, по большей части представлена в форме документов, а не программ;

  • Макровирусы быстро распространяются. Чаще всего распространение происходит по электронной почте;

Существование макровирусов построено на использовании средств поддержки макросов, предлагаемых в Word и других офисных приложениях (например, Microsoft Excel). По сути, макрос представляет собой программу, встроенную в документ текстового процессора или файл какого-то другого типа. Обычно пользователи применяют макросы для того, чтобы автоматизировать выполнение часто повторяемых действий, что позволяет экономить время. Язык макросов чаще всего является каким-нибудь вариантом языка программирования Basic . Пользователь может записать последовательность нажатий клавиш в виде макроса, а затем настроить программу так, чтобы записанный макрос вызывался нажатием функциональной клавиши или какой-то специальной комбинации клавиш.

Создание макровирусов оказывается возможным благодаря существованию ав­томатических макросов. Это макросы, которые выполняются автоматически, без явной активизации их пользователем. Типичными автоматически происходящими событиями являются открытие, закрытие файла, а также запуск приложения. Во время своего выполнения макрос может копировать себя в другой документ, удалять файлы и выполнять любые другие действия, разрушающие систему пользователя. В Microsoft Word существует три типа автоматических макросов Auto Exec.

Автомакрос выполняется, когда происходит определенное событие, например открытие или закрытие документа, создание нового документа или завершение работы Word.

Командный макрос. Если находящийся в глобальном файле макросов или связанный с текущим документом макрос имеет имя, совпадающее с названием команды Word, он будет выполняться при каждом вызове этой ко­манды пользователем.

studfiles.net

Отправить ответ

avatar
  Подписаться  
Уведомление о