Виды вирусов по алгоритмической особенности построения

Обновлено: 18.04.2024

Промышленная ассоциация по компьютерным вирусам только за 1988 г. зафиксировала почти 90 тысяч вирусных атак на персональные компьютеры США. Количество инцидентов, связанных с вирусами, вероятно, превосходит опубликованные цифры, поскольку большинство фирм умалчивает о вирусных атаках. Причины молчания: такая информация может повредить репутации фирмы и привлечь внимание хакеров.

С 1987 г. были зафиксированы факты появления компьютерных вирусов и в нашей стране. Масштабы реальных проявлений "вирусных эпидемий" в настоящее время оцениваются сотнями тысяч случаев "заражения" ПК. Хотя некоторые из вирусных программ оказываются вполне безвредными, многие из них имеют разрушительный характер. Особенно опасны вирусы для персональных компьютеров, входящих в состав локальных вычислительных сетей.

Способ функционирования большинства вирусов - это такое изменение системных файлов ПК, чтобы вирус начинал свою деятельность при каждой загрузке персонального компьютера. Некоторые вирусы инфицируют файлы загрузки системы, другие специализируются на различных программных файлах. Всякий раз, когда пользователь копирует файлы на машинный носитель информации или посылает инфицированные файлы по сети, переданная копия вируса пытается установить себя на новый диск .

Некоторые вирусы разрабатываются так, чтобы они появлялись, когда происходит некоторое событие вызова: например, пятница 13-е, 26 апреля, другая дата, определенное число перезагрузок зараженного или какого-то конкретного приложения, процент заполнения винчестера и т. д.

После того как вирус выполнит нужные ему действия, он передает управление той программе, в которой он находится, и ее работа некоторое время не отличается от работы незараженной.

Для анализа действия компьютерных вирусов введено понятие жизненного цикла вируса, который включает четыре основных этапа, представленных на рис. 8.8.

Для реализации каждого из этапов цикла жизни вируса в его структуру включают несколько взаимосвязанных элементов:

часть вируса, ответственная за внедрение и инкубационный период;
часть вируса, осуществляющая его копирования и добавление к другим файлам (программам);
часть вируса, в которой реализуется проверка условия активизации его деятельности;
часть вируса, содержащая алгоритм деструктивных действий;
часть вируса, реализующая алгоритм саморазрушения.

Следует отметить, что часто названные части вируса хранятся отдельно друг от друга, что затрудняет борьбу с ними.

Объекты воздействия компьютерных вирусов можно условно разделить на две группы:

С целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и / или имеют высокий приоритет в информационной технологии (следует отметить, что сами программы, в которых находятся вирусы, с точки зрения реализуемых ими функций, как правило, не портятся).
Деструктивными целями вирусы воздействуют чаще всего на данные, реже - на программы.

К способам проявления компьютерных вирусов можно отнести:

Следует отметить, что способы проявления необязательно вызываются компьютерными вирусами. Они могут быть следствием некоторых других причин, поэтому вычислительные средства ИТ следует периодически комплексно диагностировать.

В настоящее время существует огромное количество вирусов, которые можно классифицировать по признакам, представленным на рис. 8.9.

По виду среды обитания вирусы классифицируются на следующие виды:

загрузочные внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
файловые внедряются в основном в исполняемые файлы с расширениями .СОМ и .ЕХЕ;
системные проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов;
сетевые вирусы обитают в компьютерных сетях;

файлово-загрузочные (многофункциональные) поражают загрузочные секторы дисков и файлы прикладных программ.

По степени воздействия на ресурсы компьютерных систем и сетей, или по деструктивным возможностям, выделяются:

безвредные вирусы, не оказывающие разрушительного влияния на работу персонального компьютера, но могут переполнять оперативную память в результате своего размножения;
неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т. д. ;
опасные вирусы нередко приводят к различным серьезным нарушениям в работе персонального компьютера и всей информационной технологии;

разрушительные приводят к стиранию информации, полному или частичному нарушению работы прикладных программ и пр.

По способу заражения среды обитания вирусы подразделяются на следующие группы:

резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера.

нерезидентные вирусы не заражают оперативную память персонального компьютера и являются активными ограниченное время.

Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Выделяют следующие виды таких вирусов:

Компьютерным вирусом принято называть специально написанную (обычно небольшую по размерам) программу, способную самопроизвольно присоединяться к другим программам (т.е. заражать их), создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в файлы, системные области компьютера и в другие объединенные с ним компьютеры с целью нарушения нормаль-ной работы программ, порчи файлов и каталогов, создания различных помех при работе на компьютере.

Компьютерным вирусам характерны определенные стадии существования:

• пассивная стадия, в которой вирус никаких действий не предпринимает;

• стадия размножения, когда вирус старается создать как можно больше своих копий;

• активная стадия, в которой вирус переходит к выполнению деструктивных действий в локальной компьютерной системе или компьютерной сети.

К признакам появления вируса можно отнести:

• замедление работы компьютера;

• невозможность загрузки операционной системы;

• прекращение работы или неправильную работу ранее успешно функционировавших программ;

• увеличение количества файлов на диске;

• изменение размеров файлов;

• уменьшение объема свободной оперативной памяти;

• заметное возрастание времени доступа к жесткому диску;

• изменение даты и времени создания файлов;

• разрушение файловой структуры (исчезновение файлов, искажение каталогов и др.).

В зависимости от среды обитания вирусы классифицируются на:

· Сетевые вирусыиспользуют для своего распространения команды и протоколы телекоммуникационных сетей (обитают в компьютерных сетях).

· Загрузочные вирусывнедряются в загрузочный сектор дискеты или в главную загрузочную запись жесткого диска (содержащую программу загрузки системного диска). Такой вирус изменяет программу начальной загрузки операционной системы, запуская необходимые для нарушения конфиденциальности программы или подменяя, для этой же цели, системные файлы (в основном это относится к файлам, обеспечивающим доступ пользователей в систему).

· Файловые вирусывнедряются в основном в исполняемые файлы с расширением .СОМ и .ЕХЕ, но могут внедряться и в файлы с компонентами операционной системы, драйверы внешних устройств, объектные файлы и библиотеки, в командные пакетные файлы. При запуске зараженных программ вирус на некоторое время получает управление и в этот момент производит запланированные деструктивные действия и внедрение в другие файлы программ.

· Документные вирусы(макровирусы) заражают текстовые файлы редакторов или электронных таблиц, используя макросы, которые сопровождают такие документы. Вирус активизируется, когда документ загружается в соответствующее приложение.

По степени действия на ресурсы компьютерных систем и сетей выделяют:

· Безвредные вирусыне оказывают разрушительного влияния на работу ПК, но могут переполнять оперативную память в результате своего размножения.

· Неопасные вирусыне разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т.д.

· Опасные вирусынередко приводят к различным серьезным нарушениям в работе компьютера.

· Разрушительные вирусы- к стиранию информации, полному или частичному нарушению работы прикладных программ.

По способу заражения среды обитания вирусы подразделяют:

· Резидентные вирусы после завершения инфицированной программы остаются в оперативной памяти и продолжают свои деструктивные действия, заражая другие исполняемые программы, вплоть до выключения компьютера.

· Нерезидентные вирусы запускаются вместе с зараженной программой и удаляются из оперативной памяти вместе с ней (являются активными ограниченное время).

Алгоритмическая особенность построения вирусов различают:

· Репликаторные (копирующие сами себя) программы - благодаря своему быстрому воспроизводству приводят к переполнению основной памяти.

· Программы-черви - вычисляют адреса сетевых компьютеров и рассылают по этим адресам свои копии.

· Логическая бомба- программа, которая безвредна до наступления определенного события, после которого реализуется ее логический механизм (например, под Новый год).

· Программы-мутанты, самовоспроизводясь, воссоздают свои копии, которые явно отличаются от оригинала (их очень трудно обнаружить).

· Вирусы-невидимки(стелс-вирусы), перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные объекты.

· Макровирусыиспользуют возможности макроязыков, встроенных в офисные программы обработки данных.

Антивирусные средства

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. К резидентным относятся макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора.

В многозадачных операционных системах время "жизни" резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.

Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо "подставляют" вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.

Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса. Полиморфик-вирусы (polymorphic) – это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре операционной системы, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.

Классифиация компьютерных вирусов по деструктивные возможностям

По деструктивным возможностям вирусы можно разделить на:

· безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

· неопасные, влияние которых ограничивается уменьшением свободной памяти на диске;

· опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

· очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже повредить аппаратные средства компьютера.

Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия, поскольку вирус, ка

Выводы по теме

1. По среде "обитания" вирусы делятся на файловые, загрузочные, макровирусы, сетевые.

2. Файловые вирусы внедряются в выполняемые файлы, либо создают файлы-двойники, либо используют особенности организации файловой системы.

3. Загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий системный загрузчик жесткого диска.

4. Макровирусы заражают файлы-документы и электронные таблицы офисных приложений.

5. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

6. По особенностям алгоритма работы вирусы делятся на резидентные, стелс-вирусы, полиморфик-вирусы и вирусы, использующие нестандартные приемы.

7. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них.

8. Стелс-вирусы скрывают свое присутствие в "среде обитания".

9. Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса.

10. По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные вирусы.

Вопросы для самоконтроля

1. Перечислите классификационные признаки компьютерных вирусов.

2. Охарактеризуйте файловый и загрузочный вирусы.

3. В чем особенности резидентных вирусов?

4. Сформулируйте признаки стелс-вирусов.

5. Перечислите деструктивные возможности компьютерных вирусов.

6. Поясните самошифрование и полиморфичность как свойства компьютерных вирусов.

Простейшие вирусы - паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.

Вирусы-компаньоны – это вирусы относящие к файловым, резидентным и вирусам прямого действия.
Чтобы выполнить свои разрушительные действия, вирусы-компаньоны могут ждать в памяти до тех пор, пока нужная программа не запустится (резидентный вирус), или действовать немедленно, копируя себя (вирусы прямого действия).

Примеры: Stator, Asimov.1539 , Terrax.1069.

Червь – это вредоносная программа. В отличии от вируса, червям не нужно заражать другие файлы для размножения. Они сами могут клонировать себя, тем самым заполняя место на жестком деске ПК и создавая трудности в работе системы. Главным и приятным фактом является то, что червей можно легко обнаружить с помощью антивируса. Основным источником заражения червями являются чаты, электронная почта, IRC и ICQ сети.

Примеры: Lovgate.F, Trile.C, Mapson.

Стелс-вирусы (stealth – невидимка). Это вирусы, которые умеют скрывать свое присутствие в системе. Обнаружить их очень сложно. Стелс-вирусы используют различные способы обеспечения "невидимости". Наиболее распространен следующий вариант. Вирус состоит из двух частей. Одна из них резидентная и постоянно находится в памяти компьютера. Если операционная система обращается к зараженному файлу, то "резидент" перехватывает это обращение и удаляет из файла код вируса. Таким образом, приложение оказывается "чистым". Но после того как оно завершает свою работу, "резидент" снова заражает его.

Полиморфные вирусы. Особенностью этих вирусов является умение изменять собственный код. Сделано это для того, чтобы ввести в заблуждение антивирусные программы, часто использующие "маски" (отрывки кода, типичные для вирусов). Полиморфные вирусы бывают двух типов. Первые просто шифруют собственное "тело" с непостоянным ключом и случайным набором команд дешифратора. Вторая группа сложнее. Вирусы, относящиеся к ней, могут переписывать свой код, то есть, по сути, они сами являются программистами.

Примеры: Tuareg, Marburg.

Троянский конь – это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты.

Примеры: IRC. Sx2, Trifor.

Логические бомбы. Они не считаются вирусами, так как не размножаются. Их даже нельзя назвать программами, вернее всего будет отнести их к замаскированным сегментам других программ. Их цель – повредить данные на компьютере, как только выполняются определенные условия. Логические бомбы остаются незамеченными до тех пор, пока не запускаются, а их последствия могут быть разрушительными.

часть вируса, ответственная за внедрение и инкубационный период;
часть вируса, осуществляющая его копирования и добавление к другим файлам (программам);
часть вируса, в которой реализуется проверка условия активизации его деятельности;
часть вируса, содержащая алгоритм деструктивных действий;
часть вируса, реализующая алгоритм саморазрушения.

Объекты воздействия компьютерных вирусов можно условно разделить на две группы:

С целью продления своего существования вирусы поражают другие программы, причем не все, а те, которые наиболее часто используются и / или имеют высокий приоритет в информационной технологии (следует отметить, что сами программы, в которых находятся вирусы, с точки зрения реализуемых ими функций, как правило, не портятся).
Деструктивными целями вирусы воздействуют чаще всего на данные, реже - на программы.

К способам проявления компьютерных вирусов можно отнести:

По виду среды обитания вирусы классифицируются на следующие виды:

загрузочные внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска;
файловые внедряются в основном в исполняемые файлы с расширениями .СОМ и .ЕХЕ;
системные проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов;
сетевые вирусы обитают в компьютерных сетях;

файлово-загрузочные (многофункциональные) поражают загрузочные секторы дисков и файлы прикладных программ.

безвредные вирусы, не оказывающие разрушительного влияния на работу персонального компьютера, но могут переполнять оперативную память в результате своего размножения;
неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т. д. ;
опасные вирусы нередко приводят к различным серьезным нарушениям в работе персонального компьютера и всей информационной технологии;

По способу заражения среды обитания вирусы подразделяются на следующие группы:

Читайте также: