Общая характеристика и классификация компьютерных вирусов
Под компьютерным вирусом (или просто вирусом) понимается автономно функционирующая программа, обладающая способностью к самостоятельному внедрению в тела других программ, последующему самовоспроизведению и самораспространению в компьютерных сетях и отдельных ЭВМ. Предшественниками вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последовательности команд (модули), выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы массового применения (редакторы, игры, трансляторы и т.д.), в которые встроены так называемые "логические бомбы", срабатывающие при наступлении некоторого события. Следует отметить, что троянские программы не являются саморазмножающимися.
Принципиальное отличие вируса от троянской программы состоит в том, что вирус после его активизации существует самостоятельно (автономно) и в процессе своего функционирования заражает (инфицирует) программы путем включения (имплантации) в них своего текста. Программы, зараженные вирусом, называются вирусоносителями.
Заражение программы, как правило, выполняется таким образом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплантируется в ее тело так, что первой командой зараженной программы является безусловный переход на компьютерный вирус. Текст вируса заканчивается командой безусловного перехода на команду вирусоносителя, аналогичной бывшей первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.
"Первичное" заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как магнитные носители (дискеты), лазерные диски так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, принято называть сетевыми. Цикл жизни вируса обычно включает следующие периоды: внедрение, инкубационный, репликации (саморазмножения) и проявления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявления вирус выполняет свойственные ему целевые функции, например необратимую коррекцию информации в компьютере или на магнитных носителях.
Признаками наличия вирусов являются:
1) уменьшение доступного пространства оперативной памяти;
2) изменение количества файлов;
3) изменение размеров файлов;
4) резко замедляется скорость работы системы;
5) начинает зажигаться лампочка обращения к дисководу, хотя обращения нет;
6) зависание системы.
Наиболее существенные признаки компьютерных вирусов позволяют провести следующую их классификацию.
По режиму функционирования:
· резидентные вирусы - вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контролируют доступ к его ресурсам;
· транзитные вирусы - вирусы, которые выполняются только в момент запуска зараженной программы.
По объекту внедрения:
· файловые вирусы - вирусы, заражающие файлы с программами;
· загрузочные (бутовые) вирусы - вирусы, заражающие программы, хранящиеся в системных областях дисков.
По степени и способу маскировки:
· вирусы, не использующие средств маскировки;
· stealth-вирусы (стелс) - вирусы, пытающиеся быть невидимыми;
· вирусы-мутанты (MtE-вирусы) - вирусы, содержащие в себе алгоритмы шифрования, обеспечивающие различие разных копий вируса.
Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.
Файловый транзитный вирус целиком размещается в исполняемом файле, в связи с чем он активизируется только в случае активизации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очередного файла для заражения осуществляется вирусом посредством поиска по каталогу. Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения (файлам, загрузочным секторам дисков и т.д.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС.
Наиболее распространенным способом заражения вирусами ПК является инфицирование запускаемых программ, а также файлов при их открытии или чтении. Одним из вариантов заражения является инфицирование загрузочного сектора (бут-сектора) магнитного носителя. Загрузочные вирусы могут реализовывать очень широкий набор способов инфицирования и целевых функций.
Стелс-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.
Полиморфные вирусы - это достаточно трудно обнаруживаемые вирусы, не содержащие ни одного постоянного участка своего кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения.
Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционируют под управлением системы Microsoft Word for Windows. Результатом «работы» макровируса может быть разрушение документа, созданного с помощью приложения.
Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. "Полноценные" сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, "подтолкнуть" пользователя к запуску зараженного файла.
Наибольшую известность приобрели сетевые вирусы конца 80‑х, их также называют сетевыми червями (worms). К ним относятся вирус Морриса, вирусы Christmas Tree и Wank Worm. Для своего распространения они использовали ошибки глобальных сетей того времени. Вирусы передавали свои копии с сервера на сервер и запускали их на выполнение. Эпидемия вируса Морриса парализовала в свое время несколько глобальных сетей в США.
Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, не изменяли файлы или сектора на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти).
После нескольких эпидемий сетевых вирусов ошибки в сетевых протоколах и программном обеспечении были исправлены. В результате в течение нескольких лет не было зафиксировано ни одного случая заражения сетевым вирусом и не появилось ни одного нового сетевого вируса.
Вновь проблема сетевых вирусов возникла лишь в начале 1997 г. с появлением вирусов, использующих возможности электронной почты. Вирус создает новое письмо, содержащее зараженный файл-документ, затем выбирает из списка адресов три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры почты таким образом, что при получении письма оно автоматически открывается, то вирус "автоматически" внедряется в компьютер адресата зараженного письма.
По деструктивным возможностямвирусы можно разделить на следующие группы:
· полезныевирусы, которые используются в играх для моделирования нестандартных ситуаций;
· безвредные или неопасныевирусы, то есть вирусы никак не влияющие на работу компьютера (могут только уменьшать свободную память на диске в результате своего распространения, а также создавать различные графические, звуковые и прочие эффекты);
· опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
· очень опасные вирусы, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти.
Борьба с вирусами
Для того чтобы обезопасить компьютер от действий вирусов, необходимо придерживаться следующих правил:
· не использовать автоматический запуск нового электронного письма;
· осуществлять обязательную проверку всех дискет на наличие вирусов;
· обязательно использовать антивирусные программы и регулярно обновлять антивирусные базы этих программ;
· регулярно создавать резервные копий хранимой на компьютере информации.