Класификация на компютърни вируси, Компютърна помощ в Шебекино

Компютърният вирус е програма, която има способността да създава свои копия и да ги инжектира в различни обекти и ресурси на компютърни системи, мрежи и др. без знанието на потребителя. В същото време копията запазват възможността за по-нататъшно разпространение.

Заразяването на програма обикновено се извършва по такъв начин, че вирусът поема контрола преди самата програма. За да направите това, той или се вгражда в началото на програмата, или се имплантира в нейното тяло, така че първата команда на заразената програма да е безусловен скок към компютърен вирус, чийто текст завършва с подобна команда за безусловно скок към командата на вирусоносителя, която е била първата преди заразяването. След като получи контрол, вирусът избира следващия файл, заразява го, евентуално извършва някои други действия и след това предава контрола на носителя на вируса.

Първичното заразяване възниква, когато заразените програми се преместят от паметта на една машина в паметта на друга, като средство за преместване на тези програми могат да се използват както носители на информация (оптични дискове, флаш памет и др.), така и канали на компютърната мрежа. Вирусите, които използват мрежови инструменти, мрежови протоколи, контролни команди за компютърни мрежи и електронна поща за възпроизвеждане, обикновено се наричат ​​мрежови вируси.

Жизненият цикъл на вируса обикновено включва следните периоди: въвеждане, инкубация, репликация (самовъзпроизвеждане) и проявление. По време на инкубационния период вирусът е пасивен, което усложнява задачата за неговото търсене и неутрализиране. На етапа на проявление вирусът изпълнява своите целеви функции, например необратима корекция на информация в компютър или на външен носител.

Физическата структура на компютърния вирус е доста проста. Състои се от глава и евентуалноопашка. Главата на вируса е негов компонент, който първи получава контрол. Опашката е част от вируса, разположена в текста на заразената програма отделно от главата. Вирусите, състоящи се от една глава, се наричат ​​несегментирани, докато тези, съдържащи глава и опашка, се наричат ​​сегментирани.

Най-важните характеристики на компютърните вируси ни позволяват да ги класифицираме по следния начин.

Има няколко подхода за класифициране на компютърните вируси според техните характерни характеристики:

— според местообитанието на вируса;

- според начина на заразяване;

- по разрушителни възможности;

- според особеностите на алгоритъма на работа.

По местообитание вирусите се разделят на:

Файловите вируси са вируси, които заразяват изпълними файлове, написани в различни формати. Съответно, в зависимост от формата, в който е написана програмата, това ще бъдат EXE или COM вируси.

Вируси за зареждане - вируси, които заразяват секторите за зареждане (Boot sectors) на дисковете или сектора, съдържащ системното зареждане (Master Boot Record) на твърдия диск.

Мрежовите вируси са вируси, които се разпространяват в различни компютърни мрежи и системи.

Макро вируси — вируси, заразяващи файлове на Microsoft Office

Флаш вируси — вируси, които заразяват BIOS FLASH памет чипове.

Според начина на заразяване вирусите се делят на:

Резидентните вируси са вируси, които оставят своята резидентна част в паметта, когато заразят компютър. Те могат да прихващат прекъсвания на операционната система, както и достъп до заразени файлове от програми и операционна система. Тези вируси могат да останат активни, докато компютърът не бъде изключен или рестартиран.

Нерезидентviruses — вируси, които не оставят резидентните си части в RAM паметта на компютъра. Някои вируси оставят в паметта някои от своите фрагменти, които не могат да се възпроизвеждат по-нататък; такива вируси се считат за нерезидентни.

Според разрушителните си способности вирусите се делят на:

Безвредните вируси са вируси, които не влияят по никакъв начин на работата на компютъра, с изключение на възможното намаляване на свободното дисково пространство и RAM.

Неопасни вируси — вируси, които се проявяват в резултат на различни графични, звукови ефекти и други безвредни действия.

Опасните вируси са вируси, които могат да причинят различни неизправности на компютрите, както и на техните системи и мрежи.

Много опасни вируси са вируси, които причиняват загуба, унищожаване на информация, загуба на функционалност на програмите и системата като цяло.

Според особеностите на алгоритъма на работа вирусите могат да бъдат разделени на:

Придружаващи вируси — тези вируси заразяват EXE файлове чрез създаване на дублиращ COM файл и следователно, когато програмата се стартира, тя ще стартира първо COM файла с вируса, след като приключи работата си, вирусът ще стартира EXE файла. При този метод на заразяване „заразената“ програма не се променя.

„Стелт вируси“ (стелт вируси) са много напреднали програми, които прихващат DOS извиквания към заразени файлове или дискови сектори и се заменят с незаразени части от информация. Освен това, когато получават достъп до файлове, такива вируси използват доста оригинални алгоритми, които им позволяват да "заблудят" резидентните антивирусни монитори.

"Полиморфни" (самошифроващи се или призрачни вируси, полиморфни) - вируси, доста трудниоткриваеми вируси, които нямат сигнатури, т.е. не съдържа нито един постоянен код. В повечето случаи две проби от един и същ полиморфен вирус няма да имат нито едно съвпадение. Това се постига чрез криптиране на основното тяло на вируса и модифициране на програмата за декриптиране.

По режим на работа:

- резидентни вируси (вируси, които след активиране се намират постоянно в RAM паметта на компютъра и контролират достъпа до неговите ресурси);

— преходни вируси (вируси, които се изпълняват само в момента на стартиране на заразената програма).

По обект на изпълнение:

- файлови вируси (вируси, които заразяват файлове с програми);

- зареждащи вируси (вируси, които заразяват програмите, съхранявани в системните области на дисковете).

От своя страна файловите вируси се разделят на вируси, които заразяват:

— пакетни файлове и конфигурационни файлове;

- компилирани в макро езици за програмиране или файлове, съдържащи макроси (макро вирусите са вид компютърни вируси, разработени в макро езици, които са вградени в приложни софтуерни пакети като Microsoft Office);

— файлове с драйвери на устройства;

— файлове с библиотеки от модули за източник, обект, зареждане и наслагване, библиотеки за динамични връзки и др.

Вирусите за зареждане се разделят на вируси, които заразяват:

- системно зареждане, разположено в сектора за зареждане и логическите устройства;

- буутлоудър извън системата, разположен в сектора за зареждане на твърдите дискове.

Според степента и начина на прикриване:

- вируси, които не използват инструменти за маскиране; —стелт вируси (вируси, които се опитват да бъдат невидими въз основа на контрол на достъпа до заразени елементи от данни); — мутантни вируси (MtE вируси, съдържащи алгоритми за криптиране, които разграничават различните копия на вируса).

На свой ред MtE вирусите се делят:

- за обикновени мутантни вируси, в различни копия на които се различават само криптираните тела, а декриптираните тела на вирусите са еднакви;

- полиморфни вируси, в различни копия на които се различават не само криптираните тела, но и техните декриптирани тела.

Най-често срещаните видове вируси се характеризират със следните основни характеристики.

Вирусът за пренос на файлове се намира изцяло в изпълнимия файл и следователно се активира само ако носителят на вируса е активиран, а когато са извършени необходимите действия, той връща контрола на самата програма. В този случай следващият файл, който ще бъде заразен, се избира от вируса чрез търсене в директория.

Стелт вирусите се възползват от слабата защита на някои операционни системи и заменят някои от техните компоненти (драйвери на диска, прекъсвания) по такъв начин, че вирусът да стане невидим (прозрачен) за други програми.

Полиморфните вируси съдържат алгоритъм за генериране на дешифрирани вирусни тела, които не приличат едно на друго. В същото време алгоритмите за декриптиране могат да съдържат извиквания на почти всички команди на процесора на Intel и дори да използват някои специфични характеристики на неговия реален режим на работа.

Макровирусите се разпространяват под контрола на приложни програми, което ги прави независими от операционната система. По-голямата част от макро вирусите работят под контрола на текстовия процесор на Microsoft Word. В същото време е известно, че макро вирусите работят под приложения като Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes,операционни системи от Microsoft и Apple.

"Вратички", подобни на описаната по-горе, поради особеностите на изпълнението на определени функции в софтуера, са обективна предпоставка за създаване и внедряване на репликатори от нападателите.

Ефектите, причинени от вирусите в процеса на изпълнение на техните целеви функции, обикновено се разделят на следните групи:

- изкривяване на информацията във файловете или в таблицата за разпределение на файлове (FAT-таблица), което може да доведе до разрушаване на файловата система като цяло; - симулация на хардуерни повреди; - създаване на звукови и визуални ефекти, включително, например, показване на съобщения, които подвеждат оператора или го затрудняват в работата; - иницииране на грешки в потребителските програми или операционната система.

---