Классификация и характеристики компьютерных вирусов

 

Использование «стелс» - алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным «стелс»- алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. «Стелс» - вирусы (англ. stealth virus — вирус-невидимка) при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых «стелс» - вирусов - вирус «Frodo», первый загрузочный «стелс» - вирус – «Brain».

«Стелс» - технология может включать в себя:

• затруднение обнаружения вируса в оперативной памяти;
• маскировку процесса заражения;
• затруднение обнаружения вируса в зараженной программе и загрузочном секторе.

4. Полиморфичность вирусов.

 

Полиморфный вирус — это  шифрующийся вирус, который при заражении новых файлов и системных областей диска шифрует собственный код. При этом для шифрования вирус пользуется случайными паролями (ключами), а также различными методами шифрования, что исключает возможность опознания вируса.

Выделяют несколько уровней  полиморфизма, используемых в вирусе. Каждый из них по-разному реализует неодинаковый размер файлов, которые были заражены. 
Уровень 1. Самые простые олигоморфные вирусы. Они используют постоянные 
значения для своих расшифровщиков, поэтому легко определяются антивирусами. Из за этого такие вирусы прозвали "не очень полиморфными". Примеры таких вирусов: Cheeba, December_3, Slovakia, V-Sign, Whale. 
Уровень 2. Вирусы, имеющие одну или две постоянные инструкции, которые 
используются в расшифровщике. Также определяются по сигнатуре, но имеют 
более сложное строение, чем представители первого уровня. Примеры: ABC, DM, Flip, Jerusalem, Ontario, PC-Flu, Phoenix, Seat, Stasi, Suomi. 
Уровень 3. Вирусы, использующие в своем коде команды - мусор. Это, в своем 
роде, ловушка от детектирования, помогает запутать собственный код. Но 
такой вирус может быть засечен с помощью предварительного отсеивания мусора антивирусом. Вирусы Tequila, StarShip, V2Px, DrWhite принадлежат к третьему уровню полиморфизма. 
Уровень 4. Использование взаимозаменяемых инструкций с перемешиванием в 
коде, без дополнительного изменения алгоритма расшифровки, помогает 
полностью запутать антивирус. При этом невозможно "поймать" вирус по 
стандартной маске.

3. Классификация по деструктивным возможностям.

1. Безвредные вирусы.

 

Безвредные вирусы  оказывают  незначительное влияние на работу ПК, занимая часть системных ресурсов. Нередко пользователи даже не подозревают  об их присутствии. Безвредные вирусы, как правило, производят различные  визуальные или звуковые эффекты. Диапазон проявлений безвредных вирусов очень  широк – от простейшего стирания содержимого экрана до сложных эффектов переворачивания изображения, создания иллюзии «вращения» или «опадания» (например, вирус Cascade-1701).Они размножаются, живут своей жизнью и никак  себя не проявляют. Как правило, единственным побочным эффектом их существования  является сокращение свободного пространства на диске. Правда, это не является сколько-нибудь критичным — в большинстве  случаев вирусы весьма компактны.

2. Неопасные вирусы.

 

 Большинство вирусов не выполняет никаких действий, кроме своего распространения (заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений или иных эффектов, придуманных автором вируса: игры, музыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения функций клавиш клавиатуры, замедления работы компьютера и т.д. Однако сознательной порчи информации эти вирусы не производят. Такие вирусы условно называются неопасными. Впрочем, и эти вирусы способны причинить большие неприятности (например, перезагрузка ПК каждые несколько минут).

Примеры неопасных компьютерных вирусов:

• «Aids-8064». Нерезидентный безобидный вирус. При запуске создает файлы-двойники для всех .EXE-файлов текущего каталога. Файлы-двойники имеют имена обнаруженных .EXE-файлов и расширение имени .COM, они содержат вирус и имеют длину 8064 байт;
• Семейство «Ionkin». Нерезидентные неопасные вирусы. При старте ищут файлы х*.COM (где х – случайный символ от A до Z, зависящий от текущего времени) и стандартно заражают их;
• Семейство «Sov». Резидентные неопасные вирусы. В зависимости от памяти BIOS и текущей даты (23 февраля, 7 марта, 22 апреля, 30 апреля и 6 ноября) выдают:
• «Sov-1193» – экран в полоску (вертикальную);
• «Sov-1205» – текст "I AM VIRUS";
• Семейство «Tula». Резидентные неопасные вирусы. Стандартно поражают запускаемые .COM- и .EXE-файлы.

3. Опасные вирусы.

 

Опасные вирусы - вирусы, которые могут привести к серьезным сбоям в работе ПК, к потере программ, могут уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти. Например, достаточно опасным пользовательским вирусом, является вирус «чернобыль», который, автоматически запускается на компьютере пользователя 26 апреля.

 

Принцип работы данного вируса:

• полностью очищает содержимое жёсткого диска, так, что даже восстановить данные при помощи различных программ, является невозможным;
• данный вирус, в некоторых случаях, способен очищать память BIOS – координационный центр ввода-вывода на вашем персональном компьютере.

 

4. Классификация по способу заражения файлов.

1. Резидентные и нерезидентные вирусы.

 

Под термином "резидентность" понимается способность вирусов  оставлять свои копии в системной  памяти, перехватывать некоторые  события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов. Резидентные вирусы активны  не только в момент работы зараженной программы, но и после того, как  программа закончила свою работу. Резидентные копии таких вирусов  остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы.

Нерезидентные вирусы, напротив, активны довольно непродолжительное  время — только в момент запуска  зараженной программы. Для своего распространения  они ищут на диске незараженные файлы  и записываются в них. После того, как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска  какой-либо зараженной программы. Поэтому  файлы, зараженные нерезидентными вирусами значительно проще удалить с  диска и при этом не позволить  вирусу заразить их повторно.

Резидентными можно считать  макровирусы, поскольку они постоянно  присутствуют в памяти компьютера на все время работы зараженного  редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как «выход из редактора».

2. Overwriting.

 

Данный метод заражения  является наиболее простым: вирус записывает свой код вместо кода заражаемого  файла, уничтожая его содержимое, при этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро перестают работать.

К разновидности overwriting-вирусов  относятся вирусы, которые записываются вместо DOS-заголовка NewEXE-файлов. Основная часть файла при этом остается без изменений и продолжает нормально  работать в соответствующей операционной системе, однако DOS-заголовок оказывается испорченным.

3. Вирусы - компаньоны.

 

Вирусы - компаньоны, как  и перезаписывающие вирусы, создают  свою копию на месте заражаемой программы, но в отличие от перезаписываемых вирусов не уничтожают оригинальный файл, а переименовывают или перемещают его. Эти вирусы поражают EXE-файлы путем создания COM-файла двойника, и поэтому при запуске программы запустится сначала COM-файл с вирусом, после выполнения своей работы вирус запустит EXE-файл. При таком способе заражения "инфицированная" программа не изменяется.

4. Link-вирусы.

 

Link-вирусы, как и компаньон  - вирусы не изменяют физического  содержимого файлов, однако при  запуске зараженного файла "заставляют" ОС выполнить свой код. Этой  цели они достигают модификацией  необходимых полей файловой системы.  На сегодняшний день известен  единственный тип Link-вирусов - вирусы семейства «Dir_II». При заражении системы они записывают свое тело в последний кластер логического диска. При заражении файла вирусы корректируют лишь номер первого кластера файла, расположенный в соответствующем секторе каталога. Новый начальный кластер файла будет указывать на кластер, содержащий тело вируса. Таким образом, при заражении файлов их длины и содержимое кластеров диска, содержащих эти файлы, не изменяется, а на все зараженные файлы на одном логическом диске будет приходиться только одна копия вируса.

4. Вредоносные программы.

 

К сожалению, не только вирусы мешают нормальной работе компьютера и его программному обеспечению. Принято выделять еще, по крайней  мере, три вида вредоносных программ:

• троянские программы;
• логические бомбы;
• программы - черви.

Четкого разделения на эти  виды не существует, троянские программы  могут содержать вирусы, в вирусы могут быть встроены логические бомбы  и так далее.

1. Троянские программы.

 

Троянская программа (также  — троян, троянский конь) — вредоносная  программа, распространяемая людьми, в  отличие от вирусов и червей, которые  распространяются самопроизвольно. Троянские  программы чаще всего разрабатываются  для вредоносных целей. Троянская  программа может имитировать  имя и иконку существующей, несуществующей, или просто привлекательной программы, компонента, или файла данных (например, картинки), как для запуска пользователем, так и для маскировки в системе своего присутствия (в последнем случае вредоносный код встраивается злоумышленником в существующую программу).

Задачи, которые могут  выполнять троянские программы, бесчисленны (как бесчисленны и  существующие ныне в мире компьютерные вредоносные программы), но в основном они идут по следующим направлениям:

• нарушение работы других программ (вплоть до повисания компьютера, решаемого лишь перезагрузкой, и невозможности их запуска);
• настойчивое, независимое от владельца приложение в качестве стартовой страницы спам - ссылок, рекламы;
• распространение по компьютеру пользователя порнографии;
• превращение языка текстовых документов в бинарный код;
• мошенничество.

2. Логические бомбы.

 

Логической бомбой называется программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может сработать  по достижении определенной даты, когда  в базе данных появится или исчезнет запись и так далее. Условие, при  котором срабатывает логическая бомба, определяется ее создателем. Логическая бомба может быть встроена в вирусы, троянские программы, и даже в обыкновенное программное обеспечение. Логическая бомба — это программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия.

Она может быть «доставлена» адресату при помощи электронной почты, вместе с вирусом или троянской программой. Логическая бомба может быть внедрена в программу или систему еще на этапе ее разработки. Как правило, логические бомбы начинают свое вредоносное действие тогда, когда это может привести к максимальному ущербу для компьютерной системы.

3. Программы - черви.

 

Программа - червь – вредоносная программа, самостоятельно распространяющаяся через локальные и глобальные компьютерные сети. В то время как компьютерные вирусы предназначены для бесконтрольного распространения, черви нацелены на выполнение каких-либо конкретных действий. Это может быть, например, преодоление защиты системы от несанкционированного доступа. Черви могут устанавливать на компьютер вирусы или вредоносные программы других типов, открывать злоумышленнику полный доступ к пораженной системе и выполнять другие вредоносные функции.