Компьютерные вирусы. Типы, виды, пути заражения

Классификация вирусов

Все известные вирусы классифицируются по следующим признакам (рис 1):

среде обитания;

способу заражения среды обитания;

по воздействию;

по особенностям алгоритма.

Среда обитания. Можно выделить четыре среды обитания (Рис 1,а) — это сетевые, файловые, загрузочные, файлово-загрузочные.

Сетевые вирусы располагаются только в ОЗУ компьютеров и не копируют себя на носители данных. На автономных компьютерах сетевые вирусы существовать могут только при включенном питании, так как при выключении питания сетевой вирус погибает. В крупных сетях компьютеры не выключаются очень продолжительное время и если какой, то компьютер выключился, то вирус пережидает на других компьютерах сети. Считается, что такие вирусы для индивидуальных пользователей не страшна.

Файловые вирусы. Этот тип вирусов внедряются главным образом в исполняемые файлы, имеющие расширения СОМ или ЕХЕ. Заражение происходит в тот момент, когда файл находится в ОЗУ, т.е. в момент исполнения. Также вирус может внедряться в SYS-файлы (это файлы ОС и драйверы). Вирус может располагать себя как в начало, середину или в конец файла.

Загрузочные вирусы. Это такие вирусы, которые располагаются в свободных местах загрузочного сектора системной дискеты или жесткого диска (Boot Record). Кроме того такой вирус может также располагаться в области Vaster Boot Record — MBR) жесткого диска, если он был разделен на разделы. При запуске ПК такой вирус поступает в ОЗУ и потом будет переходить в системные области гибких дисков, если их вставлять в дисковод для записи данных.

При выполнении ремонтно-восстановительных работ следует использовать не завирусованные системные диски, т.е. надо иметь для таких целей проверенные дискеты. Считается, что очень часто вирусы попадают в ПК после ремонтно-восстановительных работ. Сам вирус размещается в ВР или MBR не полностью, центральная часть (ядро), а остальную часть — в свободное место на диске (как правило в последних секторах).

Файлово-загрузочные вирусы. Это вирусы, которые могут поражать как файлы, так и системные области диска BR и MBR.

Предлагаем ознакомиться  Вирус-шифровальщик | Пикабу

Макровирусы. Это новый вид вирусов, которые внедряются в файлы документов, подготовленные в тестовом редакторе Word, в котором есть возможность составления макрокоманд. В общем случае такие вирусы могут поражать документы, подготовленные в других пользовательских средах, в которых есть свой язык макрокоманд.

Способ заражения среды обитания. По способу заражения вирусы делятся на резидентные и нерезидентные (рис 1,б). Резидентный вирус при инфицировании компьютера оставляют в ОЗУ свое ядро, резидентную часть. Которая потом перехватывает обращение ОС к объектам заражения (файлы, системные сектора дисков и т.д.) и внедряется в них. Такое ядро находится постоянно в памяти и является активным вплоть до включения или перезагрузки компьютера.

Нерезидентные вирусы не записываются в память компьютера и являются активными лишь ограниченное время.

Бывают вирусы, которые в ОЗУ оставляют резидентную часть, но она не распространяет вирус. Такие вирусы относят к нерезидентным.

Воздействия вируса. По степени воздействия (Рис 1,г) вирусы могут быть неопасными, опасными и очень опасными.

Неопасные или безвредные вирусы себя проявляют в каких-либо графических или звуковых эффектах. Механизм таких вирусов, как видно, не предполагает опасных действий. Практически такие вирусы занимаются только размножением. Вероятнее всего создатели таких вирусов хотят самоутвердиться и попробовать свои силы в программировании на ассемблере. Такие вирусы не выполняют разрушительных действий, но они перегружают ресурсы компьютера и этим способны понижать производительность компьютера.

Опасные вирусы — это такие вирусы, которые способны привести к различным нарушениям в работе компьютера.

Промежуточное положение занимают так называемые малопасные вирусы. Они в момент своей активизации не производят разрушительных действий, но могут беспокоить пользователей неожиданными сообщениями, экранными и звуковыми эффектами. Их вредность почти такая же, как и у вредных вирусов. Малоопасные вирусы имеют одно положительное качество -предупреждают пользователя ПК о том, что не все в порядке в его системе безопасности и этим спасают его от еще больших неприятностей.

Предлагаем ознакомиться  Антивирусная защита домашнего компьютера

Очень опасные вирусы или разрушительные вирусы. Это такие вирусы, которые могут привести к потере программ, уничтожению данных, стиранию информации в системных областях. Такие вирусы не могут обрабатывать жесткий диск часами и чтобы никто ничего не заметил. Поэтому они обычно уничтожают только служебные области.

Современные вирусы — разрушители могут иметь доступ до CMOS-памяти и до флеш-памяти (перезаписываемая микросхема). Восстановление их — это простая замена ПЗУ. Защита от такого вируса — это установка на материнской плате перемычки, чтобы вирус не смог включать режим перепрограммирования микросхемы.

Особенности алгоритма. По особенностям алгоритма функционирования вирусы трудно классифицировать из-за большого их разнообразия. Все таки такая попытка сделана и она представлена на Рис 1,г. Большинство антивирусных программ выявляют вирусы по известным образцам их программного кода — сигнатурам.

Это определенная последовательность групп кодов, характерные для известных вирусов. Если в файле имеется такая характерная последовательность байтов (сигнатура) и она зарегистрирована в базе данных как характерная для вируса, то антивирусная программа выдает сообщение о наличии вируса и может предлагать ее уничтожение.

По алгоритму функционирования простейшими вирусами являются паразитические, которые при распространении своих копий обязательно изменяют содержимое файлов и секторов диска. Такие вирусы достаточно легко обнаруживаются и уничтожаются.

Вирусы-репликаторы или вирусы черви (Worm). Они, как правило, распространяются по компьютерной сети и не изменяют файлы и сектора на дисках. Такие вирусы из сети записываются в ОЗУ компьютера, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии.

Некоторые авторы используют такие алгоритмы, которые позволяют вирусу быть невидимой антивирусной программе, а также такие алгоритмы, которые формируют вирусы-мутанты, которые изменяют свой код.

Вирусы-невидимки или стелс-вирусы (Stealth). Это такие вирусы, которые имеют весьма совершенные программы и их нельзя увидеть средствами антивирусной защиты. Такие вирусы перехватывают прерывания при просмотре файлов средства операционной системы (например, по F3 операционной оболочки MSDOS). В этом случае вирус удаляет свое тело из файла и пользователь не увидит код вируса. При закрытии файла вирус записывает себя снова в файл.

Предлагаем ознакомиться  RAID или AHCI: что выбрать и для каких задач они лучше?

Для обнаружения таких вирусов-невидимок антивирусные программы должны иметь свои собственные средства просмотра, независимое от операционной системы.

Наиболее трудно обнаружить вирусы-мутанты или вирусы-призраки (полимофные вирусы). Такие вирусы не имеют постоянных кодов. Это нужно для того, чтобы обмануть антивирусные защитные средства. Вирус распространяется в закодированном виде. Используется алгоритм случайного кодирования и декодирования и он находится в самом же вирусе.

Из-за этого копии вирусов всякий раз выглядят по разному, так как получаются разные сигнатуры, т.е. в последовательности байтов в вирусе нет ничего общего. Выявлять такие вирусы простым сравнением сигнатур с данными из базы антивирусной программы практически невозможно. Против таких вирусов антивирусные программы используют специальные алгоритмы эвристического анализа.

Признаки проявления вируса

Для борьбы с вирусами надо прежде всего его обнаружить. Для этого надо знать основные признаки, по которым можно судить о наличии вируса в компьютере. В качестве признаков могут служить следующие проявления:

прекращение работы или неправильная работа ранее успешно функционирующая программа или несколько программ;

медленная работа компьютера;

невозможность загрузки ОС;

исчезновение файлов и каталогов или искажение их содержимого;

изменение даты и времени модификации файлов;

изменение и значительное увеличение количества файлов на диске;

существенное уменьшение размера свободной оперативной памяти;

вывод на экран непредусмотренных сообщений или изображений;

подача непредусмотренных звуковых сигналов;

частые зависания и сбои в работе компьютера.

Компьютерные вирусы различных типов в основном предназначены для поражения определенных объектов файловой системы. Этим и можно объяснять такое обилие основных признаков проявления вируса, так как только файловая система обеспечивает доступ к файлам и его параметрам.

Оцените статью
Техничка
Adblock detector