Вопрос № 30Классификация вирусов и способы заражения ими. Классификация вирусов и способы заражения ими

История развития науки и техники, как и история человечества, полна примеров драматического противоборства Добра и Зла. Не избежали этого противоборства и активно идущие процессы компьютеризации общества. В то время как одна часть энтузиастов вычислительной техники, представляющая силы Добра, настойчиво работает над тем, чтобы превратить компьютер в надежного помощника, способного соперничать с человеком в искусстве, решать самые высокоинтеллектуальные задачи, другая упражняется в разработке программ, позволяющих обворовывать с помощью компьютеров банки, разрушать базы данных, выводить из строя управляемые компьютерами системы и т. п.

Компьютерный вирус – это специально написанная программа, производящая несанкционированные действия: "прикрепление " к другим файлам, перезапись различных кодов в FAT, засорение оперативной памяти, даже форматирование диска!

Вирус может испортить любой файл, но некоторые файлы может и "заразить", то есть внедриться в них так, что при соблюдении некоторых условий программа-вирус начинает работу. Зараженными могут оказаться исполняемые файлы .com, .exe, .ovl, загрузчик операционной системы, драйверы устройств.

По среде обитания различают вирусы: - файловые - внедряются в файлы программ (чаще всего в *.com *.exe, но иногда и в *.sys); - загрузочные - заражают компоненты системной области винчестера или дискеты, используемые при загрузке DOS; файловые вирусы распространяются гораздо интенсивнее, чем загрузочные; макровирусы—это вирусы, внедряющиеся в макрокоманды, написанные на языке VBA (Visual Basic for Application), этот язык применяется во всех приложениях Microsoft Office.

В зависимости от способа работы различают 2 типа вирусов: 1) нерезидентный,
2) резидентный. Активизация нерезидентного вируса происходит в момент запуска зараженной программы. Программа - вирус может осуществить свои вредные действия, только пока работает запущенная программа. Если программа закончилась, то и вирус прекратит свою работу. Гораздо более опасными являются резидентные вирусы. Активизация такого вируса происходит тоже в момент запуска зараженной программы (или при загрузке с зараженной дискеты), но такой вирус оставляет в памяти ПЭВМ свою резидентную часть, которая будет работать и после завершения зараженной программы. Резидентная часть, оставшаяся в памяти, перехватывает обращения DOS к другим программам и внедряется в них. Резидентные вирусы находятся в оперативной памяти и являются активными вплоть до выключения или перезагрузки ПЭВМ с помощью клавиши RESET. Загрузочные вирусы являются, как правило, резидентными

Вирус работает, как правило, в фоновом режиме, то есть пользователь выполняет обычные действия, а вирус контролирует лишь некоторые действия, например, запись и считывание с диска. После выполнения заложенных в вирусную программу действий управление передается основной программе.

Это скрытый (инкубационный) период заражения вирусом, его признаки:

изменение длины программ;

потеря работоспособности установленного программного обеспечения;

замедление выполнения некоторых операций, особенно с диском;

"зависание" компьютера, приводящее к необходимости перезагрузки;

появление большого количества "плохих" кластеров на дискетах или жестком диске;

внезапная выдача на экран запроса типа "Abort, Retry, Ignore?", когда в дисковод вставлена дискета, защищенная от записи, и вы и не пытались на нее что-то писать.

Заражение винчестера может произойти тремя способами: - при загрузке с зараженной дискеты; - при выполнении зараженной программы; - через сеть.

Первым способом заражают загрузочные вирусы. При этом заражается загрузочный сектор винчестера.

Вторым способом заражают файловые (программные) вирусы. При этом заражаются исполняемые файлы (с расширениями .exe, .com и, иногда, .sys). Файловые вирусы заражают компьютер, если Вы запустите на своей машине программу, уже содержащую вирус. В этом случае возможно заражение других исполняемых файлов.

Третий способ - заражение через сеть - вероятен не только при выполнении на чистом ПК какой - либо зараженной программы из сети, но и просто при работе в сети в интерактивном режиме: заполнении анкет, обмене сообщениями.

Если компьютер заражен резидентным вирусом, то он может заражать чистые дискеты. Достаточно вставить чистую дискету в дисковод и просмотреть ее оглавление, и она будет заражена.

Вид заражения зависит от вида вируса, поразившего винчестер компьютера. Загрузочный вирус заразит загрузочный сектор дискеты. Программный вирус - файлы .exe и .com на дискете. Наоборот, заразить компьютер с дискеты, просто воткнув ее в дисковод невозможно - надо запустить хотя бы одну зараженную программу, находящуюся на дискете или попытаться загрузить компьютер с зараженной дискеты, даже если она несистемная - это может произойти вполне случайно!

Нерезидентный вирус может заразить чистую дискету, если она будет вставлена в дисковод в момент работы зараженной программы.

Если у дискеты заклеена прорезь защиты записи, то заражения не произойдет!!!

Говоря о классификации вирусов, можно упомянуть о маскирующихся вирусах, получивших наименование Stealth-вирусы (вирусы-невидимки),и о полиморфных вирусах (вирусы-мутанты).

Эти вирусы хранят большую часть своего тела в закодированном виде, чтобы с помощью дизассемблеров нельзя было разобраться в механизме их работы, два экземпляра одного и того же вируса, заразившие два файла, не имеют ни одной повторяющейся цепочки байт (например, вирусы "Phantom-1", "OneHalf" и "Natas")! Проблема поиска и удаления этих двух классов вирусов заставляет вирусологов отходить от классических антивирусных программ, анализирующих сигнатуры известных вирусов, и искать новые методы борьбы, реализованные в программах антивирусного комплекта АО "ДиалогНаука".

Время от времени возникает поток относительно простых или даже безграмотно написанных вирусов, вызывающих локальные эпидемии. Как правило, такие вирусы не получают широкого распространения, быстро обнаруживаются и уничтожаются, успев, однако, причинить вред в районе своего размножения. Последней глобальной эпидемией, поразившей массу компьютеров, пожалуй, можно назвать только эпидемию вируса "Dir" летом и осенью 1991 г. Такую особенность жизненного цикла вирусов можно объяснить достаточной распространенностью профилактических антивирусных средств и мероприятий. В свою очередь, сегодняшний характер жизнедеятельности вирусов смещает акценты в стратегии антивирусной защиты и в выборе антивирусных программ. Время, когда для надежной антивирусной защиты было достаточно одной или двух антивирусных программ-полифагов уже безвозвратно прошло. Не велико и значение "фирменных" антивирусных средств, не отвечающих местной вирусной ситуации. На первый план выходят программы, обеспечивающие быструю ликвидацию локальных эпидемий. К ним можно отнести обновляемые еженедельно полифаги и ревизоры с возможностью лечения файлов.

Наши рекомендации