Компютърни вируси и зловреден софтуер
Вирусът е програма, която може да се припише на други програми, т.е. ги „заразяват“, както и извършват различни нежелани действия на компютъра. Основното свойство на компютърния вирус е способността да създава свои дубликати (не е задължително да са идентични с оригинала) и да ги инжектира в компютърни мрежи и (или) файлове, области на компютърна система и други изпълними обекти. В същото време дубликатите запазват възможността за по-нататъшно разпространение.
Вирусите могат да бъдат разделени на класове според следните основни характеристики:
– местообитание (заразени обекти);
– тип операционна система, платформа;
– особености на алгоритъма на работа;
– разрушителни способности и злонамерена функционалност.
Според средатамогат да се разграничат следните типове вируси: файлов; ботуш; макро-; мрежа.
Файловите вируси заразяват изпълними файлове по различни начини (първоначално най-често срещаният тип вирус).
Вирусите за зареждане се записват или в сектора за зареждане на диска (сектор за зареждане), или в сектора, съдържащ системното зареждане на Master Boot Record (MBR), или променят показалеца към активния сектор за зареждане. Когато дискът е заразен, вирусът в повечето случаи прехвърля оригиналния зареждащ сектор (или MBR) в друг сектор на диска (например в първия свободен). Причината за първата епидемия през 1987 г. е стартиращият вирус Brain, който заразява десетки хиляди компютри.
За зареждащи вируси пълната дължина на тялото на вируса се приема за дължина, т.е. броя на секторите, заети от вируса, умножен по броя на байтовете в сектора.
Мрежовите вируси, наричани още мрежови червеи (червеи), използват протоколите или командите на компютърни мрежи и електроннипоща. Основният принцип на мрежовия вирус е способността самостоятелно (без да заразява други файлове) да прехвърля своя код на отдалечен сървър или работна станция. Първият масов мрежов вирус е създаден от Робърт Морис през 1988 г. Червеят Морис заразява хиляди компютри за кратко време. В резултат на вирусната атака повечето мрежи не работят до пет дни.
Заразената операционна система(ОС или платформа, чиито обекти са податливи на инфекция) е второто ниво на разделяне на вирусите на класове. Всеки файлов или мрежов вирус заразява файлове на една или повече операционни системи (DOS, OS/2, Windows, Unix, Linux и др.). Макро вирусите заразяват Word, Excel, MS Office файлове. Вирусите за зареждане също са фокусирани върху специфични формати за местоположението на системните данни в секторите за зареждане на дисковете.
Споредособеностите на алгоритъма на работана вирусите се разграничават следните разновидности:
- стелт вируси (англ.stealth virus- невидим вирус);
– полиморфни вируси (англ.polymorphic viruses. от гръцкиπολυ– много,μορφή– форма, вид);
- използване на нестандартни методи.
Полиморфността, както и самокриптирането се използват от почти всички видове вируси, за да се усложни максимално процедурата за откриване на вируси. Полиморфните вируси са доста трудни за откриване вируси, които нямат сигнатури, т.е. не съдържа нито един постоянен код. В повечето случаи две проби от един и същ полиморфен вирус няма да имат нито едно съвпадение.
Във вирусите често се използват различни нестандартни трикове, за да се скрият възможно най-дълбоко в OC ядрото, да защитят резидентното си копие от откриване и да затруднят лечението на вирус (напр.поставяне на вашето копие във Flash-BIOS) и др. Много вируси използват грешки и уязвимости в софтуера. Такива вируси и подобни програми се наричат експлойти (англ.exploit- експлоатиране).
Има голям брой вируси, които комбинират различни функции. Например вируси за зареждане на файлове, които заразяват както файлове, така и сектори за зареждане на дискове. Такива вируси като правило имат доста сложен алгоритъм на работа, често използват оригинални методи за проникване в системата, използват стелт и полиморфни технологии. Друг пример за подобна комбинация е мрежов макровирус, който не само заразява редактирани документи, но и изпраща свои копия по имейл.
Спореддеструктивните способностивирусите се делят на следните видове:
– безвреден, т.е. които не влияят по никакъв начин на работата на компютъра (с изключение на намаляването на свободното дисково пространство в резултат на разпространението му);
– неопасни, чието въздействие е ограничено до намаляване на свободното дисково пространство и графични, звукови и други ефекти;
- Опасни вируси, които могат да причинят сериозни неизправности на компютъра;
- много опасни, чийто алгоритъм умишлено се основава на процедури, които могат да доведат до загуба на програми, да унищожат данни, да изтрият информацията, необходима за работата на компютъра, записана в областите на системната памет;
- Отделно трябва да се отбележат блокери, които парализират работата на програмата по време на нейното зареждане (най-често - операционната система, по-рядко - браузърът, а понякога и други), прихващайки контрола върху него и изисквайки въвеждането на специален код, за да продължи. Опасността от заразяване се крие във факта, че в повечето случаи потребителите, които са посочили блокери на ransomware при поискванеозначава, че те не получават никакъв „лечебен“ код, като са жертви на престъпна измама (понякога многократно).
Но дори ако в алгоритъма на вируса не се открият клонове, които да увреждат системата, този вирус не може да се нарече безвреден с пълна увереност, тъй като проникването му в компютър може да причини непредвидими и понякога катастрофални последици.
Освен вирусите, злонамерените и нежелани програми включват следните програми: вирусни конструктори, полиморфни генератори; „троянски коне“, които включват всички видове кийлогъри, които „крадат“ пароли и друга поверителна информация; скенери, снифери (мрежови слушатели); люкове - помощни програми за скрито администриране на отдалечени компютри (backdoor); логически бомби; руткитове (англ.rootkit- набор от инструменти на root'a, т.е. суперпотребител, чийто акаунт в UNIX се нарича root по подразбиране), предназначени да "прикрият следи" от проникване на нарушител, да маскират злонамерена програма, както и самото присъствие на руткит в системата чрез скриване на файлове и процеси; програми за хакване (crack) на защитни функции на лицензиран софтуер и други.