Компьютерные вирусы

Компью́терный ви́рус — разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом.

Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы-шпионы и даже спам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру, организуя вирусные эпидемии.

Вирусы распространяются, внедряя себя в исполняемый код  других программ или же заменяя собой  другие программы. Какое-то время даже считалось, что, являясь программой, вирус может заразить только программу  — какое угодно изменение не-программы  является не заражением, а просто повреждением данных. Подразумевалось, что такие  копии вируса не получат управления, будучи информацией, не используемой процессором  в качестве инструкций. Так, например неформатированный текст не мог  бы быть переносчиком вируса.

Однако, позднее злоумышленники добились, что вирусным поведением может обладать не только исполняемый код, содержащий машинный код процессора. Были написаны вирусы на языке пакетных файлов. Потом появились макровирусы, внедряющиеся через макросы в документы таких программ, как Microsoft Word и Excel.

Некоторое время  спустя взломщики создали вирусы, использующие уязвимости в популярном программном обеспечении (например, Adobe Photoshop, Internet Explorer, Outlook), в общем случае обрабатывающем обычные данные. Вирусы стали распространяться посредством внедрения в последовательности данных (например, картинки, тексты, и т. д.) специального кода, использующего уязвимости программного обеспечения.

Ныне существует немало разновидностей вирусов, различающихся  по способу распространения и  функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ: руткитов, бэкдоров (создают «чёрный ход» в систему), кейлоггеров (регистрация активности пользователей), программ-шпионов (крадут пароли от банковских счётов и номера кредитных карт), ботнетов (превращают заражённые компьютеры в станции по рассылке спама или в часть компьютерных сетей, занимающихся спамом, DoS-атаками и прочей противоправной активностью).

Создание  и распространение компьютерных вирусов и вредоносных программ преследуется в России согласно Уголовному Кодексу РФ (глава 28, статья 273).

Согласно  доктрине информационной безопасности РФ, в России должен проводиться  правовой ликбез в школах и вузах  при обучении информатике и компьютерной грамотности по вопросам защиты информации в ЭВМ, борьбы с компьютерными  вирусами, детскими порносайтами и обеспечению информационной безопасности в сетях ЭВМ.

Признаки  появления вирусов

При заражении  компьютера вирусом важно его  обнаружить. Для этого следует  знать об основных признаках проявления вирусов. К ним можно отнести  следующие:

1.прекращение  работы или неправильная работа  ранее успешно функционировавших программ

2. медленная  работа компьютера

3. невозможность загрузки операционной системы

4. исчезновение  файлов и каталогов или искажение  их содержимого

5. изменение  даты и времени модификации файлов

6. изменение  размеров файлов

7. неожиданное  значительное увеличение количества  файлов на диске

8. существенное  уменьшение размера свободной оперативной памяти

9. вывод на  экран непредусмотренных сообщений  или изображений

10. подача  непредусмотренных звуковых сигналов

11. частые  зависания и сбои в работе  компьютера

Следует отметить, что вышеперечисленные явления  необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния  компьютера.

Классификация

В настоящее  время не существует единой системы  классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы по поражаемым объектам (файловые вирусы, загрузочные  вирусы, скриптовые вирусы, макро-вирусы, сетевые черви), по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux), по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы), по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.).

Классификация вирусов по способу заражения

Резидентные

 

Под термином "резидентность" (DOS'овский термин TSR - Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу. Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов - форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно, после того как он отформатирован.

 

Нерезидентные вирусы, напротив, активны довольно непродолжительное время - только в  момент запуска зараженной программы. Для своего распространения они  ищут на диске незараженные файлы  и записываются в них. После того как код вируса передает управление программе-носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска  какой-либо зараженной программы. Поэтому  файлы, зараженные нерезидентными вирусами, значительно проще удалить с  диска и при этом не позволить  вирусу заразить их повторно.

Нерезидентные

Получив управление, такой вирус производит разовый  поиск жертв, после чего передает управление ассоциированному с ним  объекту (зараженному объекту). К  такому типу вирусов можно отнести  скрипт-вирусы. Они оставляют в оперативной памяти небольшие программы, которые не имеют алгоритма распространения вируса. Такой вирус погибает при выключении компьютера.

Классификация вирусов по степени воздействия

 

Неопасные вирусы

Большинство вирусов не выполняет каких-либо действий, кроме своего распространения (заражения других программ, дисков и т.д.) и, иногда, выдачи каких-либо сообщений  или иных эффектов («приколов»), придуманных  автором вируса: игры музыки, перезагрузки компьютера, выдачи на экран разных рисунков, блокировки или изменения  функций клавиш клавиатуры, замедления работы компьютера, создания видеоэффектов  и т.д. Однако сознательной (или по недомыслию) порчи информации эти вирусы не осуществляют. Такие вирусы условно называются неопасными. Впрочем, и эти вирусы способны причинить большие неприятности (например, перезагрузки каждые несколько минут вообще не дадут Вам работать).

Опасные и очень опасные вирусы.

Однако около  трети всех видов вирусов портят данные на дисках или сознательно, или из-за содержащихся в вирусах ошибок, скажем, из-за не вполне корректного выполнения некоторых действий. Если порча данных происходит лишь эпизодически и не приводит к тяжелым последствиям (например, портится лишь .СОМ - файлы при заражении, если длина этих файлов более 64000 байт), то вирусы называются опасными. Если же порча данных происходит часто или вирусы причиняют значительные разрушения (форматирование жесткого диска, систематическое изменение данных на диске и т.д.), то вирусы называются очень опасными.

Классификация вирусов по способу маскировки

 

При создании копий для маскировки могут применяться следующие технологии:

Шифрованный вирус 

Шифрованный вирус состоит из двух функциональных кусков: собственно вирус и шифратор. Каждая копия вируса состоит из шифратора, случайного ключа и собственно вируса, зашифрованного этим ключом.

Это вирус, использующий простое шифрование со случайным  ключом и неизменный шифратор. Такие  вирусы легко обнаруживаются по сигнатуре  шифратора.

Полиморфный вирус 

Полиморфными  называются вирусы, модифицирующие свой код в зараженных программах таким  образом, что два экземпляра одного и того же вируса могут, вообще говоря, не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные ключи шифрования, но и содержат код генерации шифровальщика и расшифровальщика, что и отличает их от обычных шифрованных вирусов, которые также могут шифровать участки своего кода (и даже использовать при этом различные ключи шифрования, меняющие от экземпляра к экземпляру), но имеют при этом постоянный код шифровальщика и расшифровальщика (decryptor).

Классификация вирусов по среде обитания

 

Под «средой  обитания» понимаются системные  области компьютера, операционные системы  или приложения, в компоненты (файлы) которых внедряется код вируса. По среде обитания вирусы можно разделить  на:

загрузочные;

сетевые;

файловые:

макро-вирусы;

скрипт-вирусы.

Отдельно  стоит отметить тот факт, что вирусы, рассчитанные для работы в среде  определенной ОС или приложения, оказываются  неработоспособными в среде других ОС и приложений. Поэтому как отдельный  атрибут вируса выделяется среда, в  которой он способен выполняться. Для  файловых вирусов это DOS, Windows, Linux, MacOS, OS/2. Для макровирусов — Word, Excel, PowerPoint, Office. Иногда вирусу требуется для корректной работы какая-то определенная версия ОС или приложения, тогда атрибут указывается более узко: Win9x, Excel97.

Загрузочные

Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

Сетевые

К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.

 

Бытует ошибочное  мнение, что сетевым является любой  вирус, распространяющийся в компьютерной сети. Но в таком случае практически  все вирусы были бы сетевыми, даже наиболее примитивные из них: ведь самый обычный  нерезидентный вирус при заражении  файлов не разбирается - сетевой (удаленный) это диск или локальный. В результате такой вирус способен заражать файлы  в пределах сети, но отнести его  к сетевым вирусам никак нельзя.

 

Файловые  вирусы

К данной группе относятся вирусы, которые при  своем размножении тем или  иным способом используют файловую систему  какой-либо (или каких-либо) ОС.  Внедрение файлового вируса возможно практически во все исполняемые файлы всех популярных ОС. На сегодняшний день известны вирусы, поражающие все типы выполняемых объектов стандартной DOS: командные файлы (BAT), загружаемые драйверы (SYS, в том числе специальные файлы IO.SYS и MSDOS.SYS) и выполняемые двоичные файлы (EXE, COM). Существуют вирусы, поражающие исполняемые файлы других операционных систем - Windows 3.x, Windows95/NT, OS/2, Macintosh, UNIX, включая VxD-драйвера Windows 3.x и Windows95.

 

Существуют  вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это  случается либо в результате ошибки вируса, либо при проявлении его  агрессивных свойств. Макро-вирусы также записывают свой код в файлы данных - документы или электронные таблицы, - однако эти вирусы настолько специфичны, что вынесены в отдельную группу.

Макро-вирусы

Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие.

На сегодняшний  день известны четыре системы, для которых  существуют вирусы - Microsoft Word, Excel, Office97 и AmiPro. В этих системах вирусы получают управление при открытии или закрытии зараженного файла, перехватывают стандартные файловые функции и затем заражают файлы, к которым каким-либо образом идет обращение. По аналогии с MS-DOS можно сказать, что большинство макро-вирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

Скрипт-вирусы

Скрипт-вирусы, также как и макро-вирусы, являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т.д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.