Какими бывают компьютерные вирусы.
В зависимости от проявления и дальнейшего поведения вредоносные программы можно условно разделить на следующие группы:
• черви;
• троянские кони;
• программы группы риска;
• непосредственно вирусы.
«Черви» рассылают свои копии по Сети (например, с помощью электронной почты). Название этого класса возникло из-за способности червей быстро размножаться, используя компьютерные сети: через системы обмена мгновенными сообщениями, файлообменные (Р2Р) и IRC-сети, LAN и т. д. «Черви» опасны прежде всего из-за того, что способны очень быстро распространяться. «Черви», попавшие в компьютер, определяют IP-адреса и адреса электронной почты других компьютеров, рассылают по ним копии своего кода. Достаточно часто представители этого семейства вирусов создают рабочие файлы на жестком диске, однако возможно и такое, когда они вообще не используют ресурсы компьютера, кроме оперативной
памяти. Многие из «червей» существуют и рассылаются в виде файлов: добавление к электронному письму, ссылка на файл, пораженный вирусом, файл в каталоге обмена Р2Р и т. п.
Троянский конь - приложение, которое призвано незаметно и несанкционированно собирать данные и передавать их создателю вируса, разрушать или модифицировать важную информацию, создавать сбои в работе компьютера, использовать ресурсы компьютера и сетевого оборудования для собственных целей. Троянские кони не распространяются сами, как это делают «черви». Как правило, их устанавливают или передают вручную, маскируя под необходимые пользователю программы и утилиты. Урон, который наносят троянские кони, может быть гораздо большим, чем при стандартной вирусной атаке, которая может быть успешно отбита специальным программным обеспечением.
Программы из группы риска -программное обеспечение, работа с которым несет в себе долю риска. Как пример можно привести браузер Internet Explorer. Всем известно, что в нем содержится большое количество ошибок, а потому работа с ним может стать причиной заражения вирусом или даже проникновения хакера.
Вирусами называются программы, которые способны заражать другие приложения, добавляя в них свой код, для получения управления в случае запуска зараженных файлов. Скорость размножения вирусов не такая высокая, как у «червей». Одна из ключевых особенностей компьютерных вирусов -способность изменять исполняемые файлы.
Вирусы классифицируются по следующим признакам:
• среда обитания;
• операционная система (ОС);
• алгоритм функционирования;
• способность к разрушению.
В зависимости от среды обитания вирусы можно разделить на:
• файловые;
• загрузочные;
• макровирусы;
• сетевые.
Файловые вирусы способны дописывать свой код в исполняемые файлы (встречаются наиболее часто). Они могут создавать копии уже имеющихся файлов или используют слабые места самой файловой системы.
Загрузочные вирусы помещают свой код в загрузочный сектор диска (Boot-сектор) либо в сектор, в котором находится системный загрузчик жесткого диска (Master Boot Record).
Макровирусы способны поразить файлы текстовых документов и электронных таблиц.
Сетевые вирусы распространяют свои копии с помощью определенных протоколов или команд компьютерных сетей (а также электронной почты).
Кроме перечисленных, существует множество смешанных видов вирусов - например, вы можете встретить файлово-загрузочные вирусы, способные поразить загрузочные секторы дисков и файлы, находящиеся на жестком диске. Такие вирусы наиболее опасны.
Вирусы классифицируются в зависимости от операционной системы, в которой они работают. Любой вирус способен заразить файлы одной или нескольких операционных систем - Win98/XP, OS/2, Linux и т. д. Макровирусы заражают файлы Microsoft Word, Excel. Загрузочные вирусы также написаны для определенных форматов расположения системной информации в загрузочных секторах дисков.
Вот некоторые особенности работы различных вирусов:
• работа в резидентном режиме;
• использование стелс-алгоритмов;
• самошифрование и полиморфичность;
• нестандартные приемы в процессе работы.
Под работой в резидентном режиме понимается способность вирусов загружать свои копии в оперативную память, получать доступ к некоторым процессам (например, обращения к файлам или дискам) и заражать обнаруженные объекты (секторы жесткого диска или конкретные файлы). Резидентные вирусы работают не только в тот момент, когда запущено приложение, но и после того, как оно было закрыто. Данные вирусы будут оставаться в оперативной памяти до очередной перезагрузки системы, даже если вы уничтожите все их копии на винчестере. Таже ситуация характерна и для вирусов, поражающих загрузочные сектора" - форматирование диска в тот момент, когда в памяти находится резидентный вирус, не всегда способно избавить от него, поскольку некоторые резидентные вирусы способны заразить диск повторно после форматирования.
Резидентными в какой-то степени являются и макровирусы, так как они находятся в памяти компьютера в течение того времени, когда запущен соответствующий редактор. Данный редактор заменит вирусу операционную систему, и загрузкой для такого вируса станет выход из редактора.
Применение стелс-алгоритмов дает вирусам возможность частично или полностью скрыть от пользователя свое присутствие в процессе работы. Чаще всего встречается стелс-алгоритм, перехватывающий запросы ОС на чтение или запись зараженных объектов. Стелс-вирусы способны либо временно удалять из этих файлов свой код, либо предоставляют вместо себя незараженные сегменты информации. В случае с макровирусами самый популярный способ состоит в запрете вызова меню просмотра и редактирования макросов.
Самошифрование и полиморфичность - это способность вируса беспрерывно модифицировать свой код, что сильно затрудняет процесс его поиска и уничтожения. К полиморфичным вирусам относятся те из них, детектирование которых невозможно (или крайне затруднительно) осуществить при помощи так называемых вирусных масок - участков постоянного кода, специфичных для конкретного вируса. Достигается это двумя основными способами: шифрованием основного кода вируса с непостоянным ключом и случайным набором команд расшифровщика или изменением самого выполняемого кода вируса. Встречаются и достаточно экзотические примеры полиморфизма например Bomber, вирус под MS-DOS. Этот вирус не использует шифрование, однако набор команд, который отдает управление коду вируса, является абсолютно полиморфным.
Большинство нетривиальных приемов используются, чтобы как можно тщательнее спрятать вирус в системе, защитить от обнаружения его резидентную часть и максимально усложнить процесс лечения (например, записав свою копию в Flash-BIOS) и т. д.
В зависимости от разрушительных возможностей вирусы можно разделить на следующие группы:
• безвредные - не влияют на работу системы, кроме использования ресурсов компьютера для своей работы;
• неопасные - потребляют ресурсы компьютера и демонстрируют графические, звуковые и прочие эффекты;
• опасные - способны привести к серьезным проблемам в процессе работы компьютера;
• очень опасные - содержат в своем алгоритме процедуры, способные привести к уничтожению информации, сбоям в работе операционной системы и отдельных приложений.
Наиболее распространенной антивирусной программой в нашей стране является «Антивирус Касперского». Данное приложение (а точнее - целая система) установлено на 70 % компьютеров пользователей и является негласным стандартом в локальных сетях организаций.