Компьютерные вирусы

Классификация вирусов по методу заражения файлов

Перезаписывающие 

Данный метод  заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая  его содержимое. Естественно, что  при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так  как операционная система и приложения довольно быстро перестают работать.

Паразитические 

К паразитическим относятся все файловые вирусы, которые при распространении своих копий обязательно изменяют содержимое файлов, оставляя сами файлы при этом полностью или частично работоспособными. Основными типами таких вирусов являются вирусы, записывающиеся в начало файлов (prepending), в конец файлов (appending) и в середину файлов (inserting). В свою очередь, внедрение вирусов в середину файлов происходит различными методами — путем переноса части файла в его конец или копирования своего кода в заведомо неиспользуемые данные файла (cavity-вирусы).

Внедрение вируса в начало файла 

 

Известны  два способа внедрения паразитического  файлового вируса в начало файла. Первый способ заключается в том, что вирус переписывает начало заражаемого  файла в его конец, а сам  копируется в освободившееся место. При заражении файла вторым способом вирус дописывает заражаемый файл к  своему телу.

 

Таким образом, при запуске зараженного файла  первым управление получает код вируса. При этом вирусы, чтобы сохранить работоспособность программы, либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало (иногда для этого используется временный файл, в который записывается обезвреженный файл), либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т. е. дублируют работу ОС).

Внедрение вируса в конец файла 

 

Наиболее  распространенным способом внедрения  вируса в файл является дописывание  вируса в его конец. При этом вирус  изменяет начало файла таким образом, что первыми выполняемыми командами  программы, содержащейся в файле, являются команды вируса. Для того чтобы  получить управление при старте файла, вирус корректирует стартовый адрес  программы (адрес точки входа). Для  этого вирус производит необходимые  изменения в заголовке файла.

Внедрение вируса в середину файла 

 

Существует  несколько методов внедрения  вируса в середину файла. В наиболее простом из них вирус переносит  часть файла в его конец  или «раздвигает» файл и записывает свой код в освободившееся пространство. Этот способ во многом аналогичен методам, перечисленным выше. Некоторые вирусы при этом компрессируют переносимый  блок файла так, что длина файла  при заражении не изменяется.

 

Вторым является метод «cavity», при котором вирус записывается в заведомо неиспользуемые области файла. Вирус может быть скопирован в незадействованные области заголовок EXE-файла, в «дыры» между секциями EXE-файлов или в область текстовых сообщений популярных компиляторов. Существуют вирусы, заражающие только те файлы, которые содержат блоки, заполненные каким-либо постоянным байтом, при этом вирус записывает свой код вместо такого блока.

 

Кроме того, копирование вируса в середину файла  может произойти в результате ошибки вируса, в этом случае файл может  быть необратимо испорчен.

Вирусы  без точки входа 

 

Отдельно  следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы — Entry Point Obscuring viruses). К ним относятся вирусы, не изменяющие адрес точки старта в заголовке EXE-файлов. Такие вирусы записывают команду перехода на свой код в какое-либо место в середину файла и получают управление не непосредственно при запуске зараженного файла, а при вызове процедуры, содержащей код передачи управления на тело вируса. Причем выполняться эта процедура может крайне редко (например, при выводе сообщения о какой-либо специфической ошибке). В результате вирус может долгие годы «спать» внутри файла и выскочить на свободу только при некоторых ограниченных условиях.

 

Перед тем, как  записать в середину файла команду  перехода на свой код, вирусу необходимо выбрать «правильный» адрес в  файле — иначе зараженный файл может оказаться испорченным. Известны несколько способов, с помощью  которых вирусы определяют такие  адреса внутри файлов, например, поиск  в файле последовательности стандартного кода заголовков процедур языков программирования (C/Pascal), дизассемблирование кода файла или замена адресов импортируемых функций.

Вирусы-компаньоны

 

К категории "компаньон" относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в  том, что для заражаемого файла  создается файл-двойник, причем при  запуске зараженного файла управление получает именно этот двойник, т.е. вирус.

 

Наиболее  распространены компаньон-вирусы, использующие особенность DOS первым выполнять .COM-файл, если в одном каталоге присутствуют два файла с одним и тем  же именем, но различными расшинениями имени - .COM и .EXE. Такие вирусы создают для EXE-файлов файлы-спутники, имеющие то же самое имя, но с расширением .COM, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в COM-файл и никак не изменяет EXE-файл. При запуске такого файла DOS первым обнаружит и выполнит COM-файл, т.е. вирус, который затем запустит и EXE-файл. Некоторые вирусы используют не только вариант COM-EXE, но также и BAT-COM-EXE.

 

Вторую группу составляют вирусы, которые при заражении  переименовывают файл в какое-либо другое имя, запоминают его (для последующего запуска файла-хозяина) и записывают свой код на диск под именем заражаемого  файла. Например, файл XCOPY.EXE переименовывается  в XCOPY.EXD, а вирус записывается под  именем XCOPY.EXE. При запуске управление получает код вируса, который затем  запускает оригинальный XCOPY, хранящийся под именем XCOPY.EXD. Интересен тот факт, что данный метод работает, наверное, во всех операционных системах - подобного типа вирусы были обнаружены не только в DOS, но в Windows и OS/2.

 

В третью группу входят так называемые "Path-companion" вирусы, которые "играют" на особенностях DOS PATH. Они либо записывают свой код под именем заражаемго файла, но "выше" на один уровень PATH (DOS, таким образом, первым обнаружит и запустит файл-вирус), либо переносят файл-жертву на один подкаталог выше и т.д.

 

Возможно  существование и других типов  компаньон-вирусов, использующих иные оригинальные идеи или особенности других операционных систем..

Вирусы-ссылки

Link-вирусы, как и компаньон-вирусы не изменяют физического содержимого файлов, однако при запуске зараженного файла "заставляют" ОС выполнить свой код. Этой цели они достигают модификацией необходимых полей файловой системы. На сегодняшний день известен единственный тип Link-вирусов - вирусы семейства "Dir_II".

Файловые  черви 

Файловые  черви никоим образом не связывают  свое присутствие с каким-либо выполняемым  файлом. При размножении они всего  лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти  новые копии будут когда-либо запущены пользователем. Иногда эти  вирусы дают своим копиям «специальные»  имена, чтобы подтолкнуть пользователя на запуск своей копии — например, INSTALL.EXE или WINSTART.BAT.

 

Существуют  вирусы-черви, использующие довольно необычные  приемы, например, записывающие свои копии  в архивы (ARJ, ZIP и прочие). К таким  вирусам относятся "ArjVirus" и "Winstart". Некоторые вирусы записывают команду запуска зараженного файла в BAT-файлы (см. например, "Worm.Info").

 

Не следует  путать файловые вирусы-черви с сетевыми червями. Первые используют только файловые функции какой-либо операционной системы, вторые же при своем размножении  пользуются сетевыми протоколами.

OBJ-, LIB-вирусы и вирусы в исходных  текстах 

 

Вирусы, заражающие библиотеки компиляторов, объектные  модули и исходные тексты программ, достаточно экзотичны и практически  не распространены. Всего их около  десятка. Вирусы, заражающие OBJ- и LIB-файлы, записывают в них свой код в  формате объектного модуля или библиотеки. Зараженный файл, таким образом, не является выполняемым и неспособен на дальнейшее распространение вируса в своем текущем состоянии. Носителем  же "живого" вируса становится COM- или EXE-файл, получаемый в процессе линковки зараженного OBJ/LIB-файла с другими  объектными модулями и библиотеками. Таким образом, вирус распространяется в два этапа: на первом заражаются OBJ/LIB-файлы, на втором этапе (линковка) получается работоспособный вирус.

 

Заражение исходных текстов программ является логическим продолжением предыдущего метода размножения. При этом вирус добавляет к  исходным текстам свой исходный код (в этом случае вирус должен содержать  его в своем теле) или свой шестнадцатеричный  дамп (что технически легче). Зараженный файл способен на дальнейшее распространение  вируса только после компиляции и  линковки (см. например, вирусы "SrcVir", "Urphin").

Каналы  распространения

Дискеты

Самый распространённый канал заражения в 1980-90 годы. Сейчас практически отсутствует из-за появления  более распространённых и эффективных  каналов и отсутствия флоппи-дисководов на многих современных компьютерах.

Флеш-накопители (флешки)

В настоящее  время USB-флешки заменяют дискеты и повторяют их судьбу — большое количество вирусов распространяется через съёмные накопители, включая цифровые фотоаппараты, цифровые видеокамеры, цифровые плееры (MP3-плееры), сотовые телефоны. Использование этого канала ранее было преимущественно обусловлено возможностью создания на накопителе специального файла autorun.inf, в котором можно указать программу, запускаемую Проводником Windows при открытии такого накопителя. В последней версии MS Windows под торговым названием Windows 7 возможность автозапуска файлов с переносных носителей была устранена. Флешки — основной источник заражения для компьютеров, не подключённых к Интернету.

Электронная почта 

Сейчас один из основных каналов распространения  вирусов. Обычно вирусы в письмах  электронной почты маскируются  под безобидные вложения: картинки, документы, музыку, ссылки на сайты. В  некоторых письмах могут содержаться  действительно только ссылки, то есть в самих письмах может и  не быть вредоносного кода, но если открыть  такую ссылку, то можно попасть  на специально созданный веб-сайт, содержащий вирусный код. Многие почтовые вирусы, попав на компьютер пользователя, затем используют адресную книгу  из установленных почтовых клиентов типа Outlook для рассылки самого себя дальше.

Системы обмена мгновенными сообщениями 

Так же распространена рассылка ссылок на якобы фото, музыку либо программы, в действительности являющиеся вирусами, по ICQ и через  другие программы мгновенного обмена сообщениями.

Веб-страницы

Возможно  также заражение через страницы Интернета ввиду наличия на страницах  всемирной паутины различного «активного»  содержимого: скриптов, ActiveX-компонент. В этом случае используются уязвимости программного обеспечения, установленного на компьютере пользователя, либо уязвимости в ПО владельца сайта (что опаснее, так как заражению подвергаются добропорядочные сайты с большим потоком посетителей), а ничего не подозревающие пользователи зайдя на такой сайт рискуют заразить свой компьютер.

Интернет  и локальные сети (черви)

Черви —  вид вирусов, которые проникают  на компьютер-жертву без участия  пользователя. Черви используют так  называемые «дыры» (уязвимости) в программном  обеспечении операционных систем, чтобы  проникнуть на компьютер. Уязвимости —  это ошибки и недоработки в  программном обеспечении, которые  позволяют удаленно загрузить и  выполнить машинный код, в результате чего вирус-червь попадает в операционную системы и, как правило, начинает действия по заражению других компьютеров  через локальную сеть или Интернет. Злоумышленники используют заражённые компьютеры пользователей для рассылки спама или для DDoS-атак.

Классификация антивирусов

 

С давних времен известно, что к любому яду рано или поздно можно найти противоядие. Таким противоядием в компьютерном мире стали программы, называемые антивирусными. Антивирусы позволяют выявлять вирусы, лечить зараженные файлы и диски, обнаруживать и предотвращать подозрительные действия. Данные программы можно классифицировать по четырем основным группам: фильтры, детекторы, ревизоры, вакцинаторы. Разумеется, антивирусные программы надо применять наряду с регулярным резервированием данных и использованием профилактических мер, позволяющих уменьшить вероятность заражения вирусом.

Детекторы

Программы-детекторы  позволяют обнаруживать файлы, зараженные одним из нескольких известных вирусов. Некоторые программы-детекторы также  выполняют эвристический анализ файлов и системных областей дисков, что часто (но отнюдь не всегда) позволяет  обнаруживать новые, не известные программе-детектору, вирусы. Многие программы-детекторы  позволяют также «лечить» зараженные файлы или диски, удаляя из них  вирусы (разумеется, лечение поддерживается только для вирусов, известных программе-детектору).

Ревизоры

Программы-ревизоры запоминают сведения о состоянии  файлов и системных областей дисков, а при последующих запусках -- сравнивают их состояние с исходным. При выявлении несоответствий об этом сообщается пользователю. Часто ревизоры можно настроить так, чтобы они выдавали сообщения только о подозрительных (характерных для вирусов или недопустимых) изменениях, не беспокоя лишний раз пользователя.

 

Часто программы-ревизоры позволяют также «лечить» зараженные файлы или диск удаляя из них вирусы (это удается сделать почти  для всех типов вирусов).

 

Фильтры

Фильтры располагаются резидентно в оперативной памяти компьютера и проверяют на наличие вирусов запускаемые файлы и вставляемые в дисководы дискеты. При наличии вируса об этом сообщается пользователю. Кроме того многие фильтры перехватывают те действия, которые используются вирусами для размножения и нанесения вреда (скажем, попытку записи в загрузочный сектор или форматирование жесткого диска), и сообщают о них пользователю. Пользователь может разрешить или запретить выполнение соответствующей операции, фильтры позволяют обнаружить многие вирусы на самой ранней стадии, когда вирус еще не успел размножиться и что-либо испортить. Тем самым можно сведет убытки от вируса к минимуму-