Классификация компьютерных вирусов

Большинство компьютерных вирусов на настоящий момент не являются однородными, а используют при своей разработке и несколько различных алгоритмов и несколько областей поражения. Поэтому классификация современных компьютерных вирусов несколько затруднена, либо должна быть слишком сложной и подробной. Поэтому компьютерные вирусы принято классифицировать по следующим признакам:

1. среде обитания

2. способу заражения среды обитания,

3. воздействию,

4. ориентации на операционную систему,

5. особенностям алгоритма.

1. В зависимости от среды обитания вирусы можно разделить на:

• загрузочные,

• файловые,

• файлово-загрузочные,

• сетевые.

Загрузочные вирусы - это большая группа вирусов, распространения и активизация которых происходит в момент загрузки ОС, еще до того, как пользователь успел запустить какую-либо антивирусную программу.

Загрузка ОС является многоступенчатым процессом, ход которого зависит от разных обстоятельств. В этом процессе задействовано три программы, которые служат объектом нападения загрузочных вирусов:

• главная загрузочная запись

• загрузочная запись на логическом диске

• загрузочная запись на дискете.

Вирусы могут заменять некоторые или все перечисленные выше объекты, встраивая в них свое тело и сохраняя содержимое оригинального загрузочного сектора в каком-либо более или менее подходящем для этого месте на жестком диске компьютера. В результате при включении компьютера программа загрузки, расположенная в BIOS, загружает в память вирусный код и передает ему управление. Дальнейшая загрузка операционной системы происходит под контролем вируса, что затрудняет, а в некоторых случаях и исключает его обнаружение. Загрузочные вирусы почти всегда резидентны, то есть находятся в оперативной памяти компьютера во все время работы.

Примерами загрузочных вирусов являются: “Brain”, “Elk Cloner”, “Yale”, “Stoned”, ”Ping Pong”, “Winstart”.

Файловые вирусы - внедряются в исполняемые модули, т.е. в файлы, имеющие расширения .COM и .EXE. Они могут внедряться и в другие типы файлов, но тогда они теряют способность к размножению. Файловые вирусы могут быть как резидентными, так и нерезидентными.

Нерезидентный файловый вирус при запуске инфицированного исполняемого файла записывает свой код в тело программного файла таким образом, что при запуске программы вирус первым получает управление. Произведя некоторые действия, вирус передает управление зараженной программе, при запуске вирус сканирует локальные диски компьютера и сетевые каталоги в поисках нового объекта для заражения. После того как подходящий программный файл будет найден, вирус записывает в него свой код, чтобы получить управление при запуске этого файла.

Резидентный файловый вирус установится в памяти и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла.

Примерами файловых вирусов являются: “Vienna”, “Cascade”, “Frodo.4096”,”Beast.512”, “Dir II”. “Jerusalem”, “PMBS”, “Shifter”, ”SrcVir”

Относительно новая разновидность файлового вируса – микрокомандный вирус, распространяющийся с документами офисных приложений, которые содержат в себе не только текст и графические изображения, но и макрокоманды, которые представляют собой самостоятельные программы. Вирус может изменять существующие макрокоманды и добавлять новые, внедряя свое тело в файл документа.

Механизм распространения микрокомандных вирусов основан на том, что существуют макрокоманды, которые запускаются при открывании документа для редактирования или при выполнении других операций.

Для предотвращения заражения микрокомандными вирусами необходимо перед просмотром или редактированием проверять новые файлы документов с помощью антивирусных программ, способных искать такие вирусы.

Примерами макро вирусов являются: “Concept”, “Share Fun”, «Melissa» - поражающие файлы приложения Word, “Laroux”, “Excel14.Paix” –поражающие файлы приложения Excel, “AccessiV” – поражающий файлы приложения ACCESS, “Cross” – поражающий файлы сразу двух приложений Access и Word, “Java.StangeBrew – поражающий файлы приложения Java, “VBScript.Rabbit” – поражающий скрипты Visual Basic, “HTML.Internal” – поражающий HTML-файлы , “Gala” другое название “GaLaDRiel” – поражающий файлы приложения Corel DRAW и его компонентов.

Файлово-загрузочные вирусы – это синтез предыдущих двух способов, вирусы этого типа заражают как файлы, так и загрузочные сектора дисков, имеют сложный алгоритм работы, оригинальные методы проникновения в систему (стелс - и полиморфик-технологии).

Примерами таких вирусов являются: “Chameleon”, “Tequila”, “Phantom I”, “Dedicated”, “Bootache”, “CivilWar”, “Crusher”, “Dudley”, “Ginger”, “Grog”, “MVF”, “Necros”, “Nukehard”, “PcFly”, “Predator”, “Satanbug”, “Sandra”, “Shocker”, “Todor” , “tremor”,”Trigger”, “Uruguay””Strange”, “SMEG.Pathogen”, “SMEG.Queeg”, «Зараза», “Nimda”

Сетевые вирусы – распространяются по различным компьютерным сетям и для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию, «полноценные» сетевые вирусы при этом обладают еще и возможность запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Не любой вирус, распространяющийся по сети, является сетевым. Наибольшую известность приобрели сетевые вирусы конца 80-х (их называют червями (worms)).

Примерами сетевых вирусов являются: вирус Морриса, «Cristmas Tree», «Wank Worm&». Для своего распространения они использовали ошибки и недокументированные функции глобальных сетей того времени - вирусы вычисляли сетевые адреса других компьютеров, передавали свои копии с сервера на сервер и запускали их на выполнение: создавали рабочие файлы на системных дисках, но могли не обращаться к ресурсам компьютера (за исключением оперативной памяти). Ошибки в протоколах были исправлены, прошло целое десятилетие без единого случая заражения сетевым вирусом. Вновь эта проблема возникла лишь в 1997 г. с появлением вирусов “Macro.Word.Share Fun” и “Win.Homer”.

Первый из них использует возможности электронной почты Microsoft Mail – он создает новое письмо, содержащее зараженный файл-документ (Shares Fun - макро вирус), затем выбирает из списка адресов три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры Mail таким образом, что при получении письма автоматически запускается WORD, то вирус автоматически внедряется в компьютер адресата зараженного письма.

Второй вирус использует для своего распространения протокол FTP (File Transfer Protocol) и передает свою копию на удаленный FTP-сервер в каталог Incoming.

К сетевым вирусам относятся также: “HI.COM”,

2. По способу заражения среды обитания вирусы делятся на две группы:

• резидентные,

• нерезидентные.

Под термином резидентность понимается способность вирусов оставлять свои копии в системной области оперативной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов или секторов). Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. То же верно и для загрузочных вирусов – форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно после форматирования.

Нерезидентные вирусы, напротив, активны непродолжительное время – только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе-носителю, влияние на работу ОС сводится к нулю вплоть до очередного запуска какой-либо зараженной программы. Поэтому файлы, зараженные нерезидентными вирусами значительно проще удалить с диска и при этом не позволить вирусу заразить их повторно.

3. По степени воздействия вирусы можно разделить на следующие виды:

• неопасные – не мешающие работе компьютера, но уменьшающие объем свободной ОП и памяти на дисках;

• опасные – могут привести к различным нарушениям работы ПК;

• очень опасные – их воздействие может привести к потере программ, уничтожению данных, к стиранию информации в системных областях диска.

4. По ориентации на операционную систему.

Существующие вирусы не могут поражать все операционные системы. Как правило, каждый из них (файловый или сетевой) ориентирован на использование в одной конкретной, много реже в нескольких, операционных системах. То есть компьютерный вирус пишется под определенную операционную систему и при использовании в другой системе может привести к непредсказуемым последствиям. Попытки создать «универсальный» вирус, действующий одинаково в любой операционной системе оказались неуспешными.

Макро вирусы заражают файлы определенных форматов WORD, EXCEL, ACCESS и т.д., поэтому применяться в других операционных системах не могут.

Загрузочные вирусы также ориентируются на определенную структуру данных, присущую конкретной операционной системе.

5. По особенностям алгоритма:

• простейшие – паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;

• вирусы-репликаторы – или «черви» рассылают свои копии по доступным адресам, обычно относятся к сетевым вирусам,

• вирусы-невидимки – стелс-вирусы, очень трудно обнаружить и обезвредить, так как они перехватывают обращения ОС к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска;

• вирусы-мутанты (полиморфные) – содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов;

• квазивирусные программы – хотя и не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков. Сюда относятся "троянские кони", программные закладки и сетевые черви. Троянские кони содержат в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Списки таких программ публикуются в печати, обычно они маскируются под игровые или развлекательные программы, под красивые картинки или музыку и наносят вред. Программные закладки также содержат некоторую функцию, наносящую ущерб ВС, но эта функция старается быть как можно незаметнее, так как чем больше программа не будет вызывать подозрений, тем дольше закладка будет работать.

Возможные деструктивные функции, реализуемые "троянскими конями" и программами-закладками:

• уничтожение информации

• перехват и передача информации (выделяет пароли, набираемые с клавиатуры)

• целенаправленная модификация кода программы, интересующей нарушителя (программы, реализующие функции безопасности и защиты).

Основная функция вирусов типа черви – взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.

Необходимо отметить, что в настоящее время все больше появляется вирусов, не принадлежащих к какой-либо классификации, так как они включают в себя различные составляющие различных классификаций или используют приемы, не описанные ни в одной классификации.

Учитывая, что вирусные программы стараются всеми средствами скрыть свое присутствие на компьютере, обнаружить их присутствие не всегда просто.

При заражении вирусом важно его обнаружить. Существуют общепринятые признаки обнаружения вируса на компьютере. Хотя надо отметить, что не всегда каждый из обнаруженных признаков является признаком присутствия компьютерного вируса.

Признаки присутствия компьютерного вируса:

• прекращение работы или неправильная работа ранее успешно функционировавших программ;

• медленная работа компьютера;

• невозможность загрузки ОС;

• исчезновение файлов и каталогов или искажение их содержимого;

• изменение даты и времени модификации файлов;

• изменение размеров файлов;

• неожиданное значительное увеличение количества файлов на диске;

• существенное уменьшение размера свободной ОП;

• вывод на экран непредусмотренных сообщений или изображений;

• подача непредусмотренных звуковых сигналов;

• частые зависания и сбои в работе компьютера.

Следует отметить, что ущерб от компьютерных вирусов в настоящее время достигает очень больших величин (печально знаменитый вирус «I love you», занесенный в книгу рекордов Гиннеса нанес ущерб более 7,8 млд. $ США). Поэтому законодательства многих стран, в том числе Казахской Республики предусматривают уголовную ответственность за распространение программных продуктов, наносящих ущерб потребителю.

Средства борьбы с компьютерными вирусами.

Сразу вслед за появлением вирусных программ, начала развиваться индустрия защиты от них. Теоретически доказано, что в принципе не может быть разработана антивирусная программа, применяемая на любых операционных системах и для любых вирусов. С другой стороны также теоретически доказано, что не может быть разработана вирусная программа, применяемая для любых операционных систем и вычислительных машин. Таким образом, вопрос появления вирусов и средств борьбы с ними – задача появляющаяся и решаемая буквально ежедневно.

Средства борьбы с компьютерными вирусами делятся на два класса:

• аппаратные,

• программные.

Аппаратные средства защиты от компьютерных вирусов, хотя и защищают компьютер достаточно надежно, но очень сильно зависят от состава и конфигурации отдельно взятого компьютера. Изменение последних приводит к необходимости модернизации аппаратной части антивирусной защиты, что достаточно долго, дорого и неудобно. Поэтому рядовые пользователь аппаратными средствами защиты от вирусов, как правило, не пользуются.

Программные средства защиты от вирусов, хотя и несколько менее надежны, не требуют индивидуальной «подгонки» буквально под каждый компьютер, поэтому их применение наиболее широко.

Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.

Различают следующие виды антивирусных программ:

Программы-детекторы – осуществляют поиск файлов, зараженных одним из известных вирусов. Лечения программы - детекторы не производят, поэтому на настоящий момент они практически не используются.

Программы-доктора или фаги - не только обнаруживают, но и «лечат» зараженные файлы: вначале ищут вирусы в оперативной памяти, а затем удаляют из файлов тело вируса. Самые известные фаги – AVP, Aids test, Scan, Norton Antivirus, Doctor Web.

В последнее время программы – доктора все чаще называют «сканерами».

И программы-детекторы и программы-доктора выявляют и лечат лишь известные им вирусы. Поэтому они быстро устаревают. Современные компании, производящие антивирусные программы, постоянно обновляют их содержимое, модернизируя программу или увеличивая базу антивирусных программ.

Программы-ревизоры относятся к самым надежным средствам защиты от вирусов. Ревизоры запоминают исходное состояние программ, каталогов и системных областей дисков, тогда, когда компьютер не заражен вирусом, а затем периодически или по желанию пользователя сравнивают текущее состояние с исходным. Обнаруженные изменения выводятся на экран монитора. Как правило, сравнение состояний производят сразу после загрузки ОС. При сравнении проверяются длина файла, код циклического контроля (контрольная сумма файла), дата и время модификации и т.д. Программы – ревизоры имеют достаточно развитые алгоритмы, обнаруживают стелс-вирусы и могут даже очистить изменения версии проверяемой программы от изменений, внесенных вирусом. К числу программ - ревизоров относится программа Adinf (Россия).

К недостаткам программ – ревизоров, так же как и вышеописанных программ, относится их способность определить наличие вируса лишь после его появления на компьютере. Предотвратить появление вируса они не могут. Для предотвращения заражения компьютера вирусом существуют программы – фильтры.

Программы-фильтры или «сторожа» представляют собой небольшие резидентные программы, предназначенные для обнаружения подозрительных действий при работе компьютера, характерных для вирусов. Такими действиями могут являться:

• попытки коррекции файлов с расширениями .com и .exe;

• изменение атрибутов файла;

• запись в загрузочные сектора диска;

• загрузка резидентной программы.

Обо всех подозрительных действиях сообщается пользователю, предлагается разрешить или запретить дальнейшие действия. Обнаружение вируса происходит на ранней стадии, до размножения, но не лечат файлы. Для уничтожения применяют другие программы – фаги, доктора, сканеры.

Неприятной особенностью этих программ является их частое вмешательство в работу пользователя. Программа запрашивает решение пользователя в любой из вышеперечисленных ситуаций. Если сообщения программы появляются очень часто, то через определенное время пользователь перестает реагировать на них и на все действия отвечает как на разрешенные.

В последнее время такие программы часто называют «мониторами».

Вакцины или иммунизаторы – это резидентные программы, предотвращающие заражение файлов. Вакцинация возможна только от известных вирусов. Вакцина модифицирует программу или диск таким образом, чтобы это не отражалось на их работе, а вирус будет воспринимать их уже зараженными и поэтому не внедряется.

К недостаткам таких программ, резко сузившим сферу их применения, относится их сильная зависимость от операционной системы, под которую они написаны. Так вакцина, написанная для файлов под MSDOS, при применении для файлов, написанных под Windows, может привести (и чаще всего приводит) вместо иммунизации к необратимой порче файла. Данный фактор резко снижает область применения таких программ.

Таким образом, антивирусные программы достаточно разнообразны и многочисленны. При выборе конкретной антивирусной программы обычно руководствуются следующими критериями:

• надежность и удобство работы – отсутствие «зависаний» антивируса и прочих технических проблем, требующих от пользователя специальной подготовки,

• качество обнаружения вирусов всех распространенных типов, сканирование внутри файлов - документов и таблиц, упакованных и распакованных файлов, отсутствие «ложных» срабатываний, возможность лечения зараженных объектов, периодичность (для сканеров) появления новых версий,

• существование версий антивируса под все популярные платформы, присутствие не только режима «сканирования по запросу», но режима «сканирование на лету», существование серверных версий,

• скорость работы и прочие полезные особенности.

Если же в процессе работы на компьютере обнаружен вирус, то, не впадая в панику, необходимо выполнить следующие действия:

1. Если обнаружен файловый вирус, а компьютер подключен к сети, то необходимо отключить компьютер от сети и проинформировать системного администратора о наличии вируса. Подключение к сети возможно лишь после того, как вылечены все рабочие станции и сервер сети. При обнаружении загрузочного вируса от сети можно не отключаться – эти вирусы по сети не распространяются (в отличие от фа1лово-загрузочных вариантов). При обнаружении макро-вируса от сети также можно не отключаться, но соответствующее приложение (на которое ориентирован обнаруженный вирус) должно быть закрыто на всех рабочих станциях сети.

2. Если обнаружен файловый или загрузочный вирус, следует убедиться, что вирус нерезидентный либо резидентная его часть обезврежена соответствующей антивирусной программой. Если антивирусная программа не удаляет вирус, то необходимо перезагрузить компьютер с заведомо незараженной и защищенной от записи дискеты (CD – диска). Перезагрузка должна быть холодной, т.е. должна быть нажата либо клавиша Reset, либо включение/выключение питания. Некоторые вирусы могут «выживать» и при «холодной» загрузке, поэтому необходимо проверить в настройках BIOS пункт «последовательность загрузки A:D:C: - именно так).

3. При помощи антивирусной программы нужно восстановить зараженные файлы и затеи проверить их работоспособность.

Основная литература.

1. Касперский Е.В. Компьютерные вирусы. Что это такое и как с ними бороться. - М: СК ПРЕСС, 1998г.

2. Фигурнов В.Э. IBM PC для пользователей. - М: ИНФРА-Ь, 1999г.

3. Алексеев В.А.. Информатика- 2002. – М.: Высшая школа, 2001 год

Дополнительная литература

4. Фигурнов В.Э. IBM PC для пользователей. - М: ИНФРА-Ь, 1997г.

5. Брябрин В.М. и др. “Программное обеспечение персональных ЭВМ”, - М.: Наука, 1988.

6. Кренкель Т.Е., Коган А.Г., Тараторин А.М. “Персональные ЭВМ в инженерной практике”, - М.: Радио и связь, 1989.

7. Марон И.А. “Персональные компьютеры. Информатика для всех”, - М.: Наука, 1987.

Контрольные вопросы.

2. Что такое Интернет?

3. Какие графические системы знаете?

4. Назовите виды цветовых моделей.

5. Какие архиваторы Вы знаете?

6. Виды антивирусных программ.

7. Что такое программы-ревизоры?

8. Особенности работы программ-фильтров.

9. Какими критериями следует руководствоваться при выборе антивирусных программ?

10. Какие действия необходимо выполнить при обнаружении на компьютере вируса?

93