Понятие и основные типы компьютерных вирусов

Компьютерные вирусы

 

Загрузочные вирусы

 

От программных вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти.

Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.

 

Комбинированные вирусы

Комбинированные вирусысочетают в себе свойства файловых и загрузочныхфайлов, т.е. проще говорязагрузочно – файловые вирусы. Данный вирус заражает главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие – шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а зашифровав половину жесткого диска, радостно сообщает вам об этом. Основная проблема при лечении вируса в том, что недостаточно удалить вирус из MBR и файлов, надо распознать зашифрованную информацию. Наиболее «смертельное» действие - просто переписать новый здоровый MBR.

Полиморфные вирусы

Полиморфные вирусы модифицируют свой код в зараженных программах т.о., что 2 экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но и имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы – вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно в процессе выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса

Макровирусы

Это особая разновидность вирусов поражает документы, выполняемые в некоторых прикладных программах, имеющие средства для исполнения так называемых макрокоманд. В частности, к ним относятся документы, выполненные с помощью программ офисного пакета Microsoft Office. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Стелс - вирусы

Стелс – вирусы (вирусы - невидимки), в которых реализованных алгоритмы, скрывающие присутствие вируса на зараженной машине. Их нельзя обнаружить, например, просматривая файлы на диске с помощью файлового менеджера. Один из приемов маскировки состоит в том, что в момент открытия зараженного файла для просмотра, вирус сам себя удаляет из тела файла, а в момент закрытия – возвращает назад. Эффективным мероприятием по спасению ПК от данного вируса – полное форматирование диска.

 

 

Признаки появления вирусов

 

При заражении ПК вирусом важно его обнаружить. Для этого необходимо знать об основных признаках появления вирусов.

Признаки:

ü Прекращение работы или неправильная работа ранее успешно функционировавших программ;

ü Медленная работа ПК;

ü Невозможность загрузки операционной системы;

ü Исчезновение файлов и каталогов или искажение их содержимого;

ü Изменение содержимого файлов;

ü Изменение даты и времени модификации файлов;

ü Неожиданное значительное увеличение количества файлов на диске;

ü Существенное уменьшение размера свободной оперативной памяти;

ü Вывод на экран непредусмотренных сообщений или изображений;

ü Подача непредусмотренных звуковых сигналов;

ü Частые зависания и сбои в работе ПК.

 

Компьютерные вирусы

 

Понятие и основные типы компьютерных вирусов

Компьютерный вирус - это программный код, встроенный в другую программу, или в документ, или в определенные области носителя данных и предназначенный для выполнения несанкционированных действий на несущем компьютере.

 

Основными типами компьютерных вирусов являются:

 

ü Файловые вирусы;

ü Загрузочные вирусы;

ü Комбинированные вирусы;

ü Программные вирусы;

ü Макровирусы;

ü «Троянские» программы;

ü Полиморфные вирусы;

ü Стелс – вирусы.

 

Файловые вирусы

Файловые вирусы, поражают исполняемые файлы. При запуске инфицированного исполняемого файла вирус получает управление, проводит некоторые действия и передает управление «хозяину». Вирус ищет новый объект для заражения – подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Заражая исполняемый файл, вирус, всегда изменяет его код, поэтому заражение исполняемого файла можно проследить. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, дополнительную информацию,   номер первого кластера файла и т.н. резервные байты. Последние оставлены «про запас» и самой операционной системой не используются.

При запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и т.д. все остальные кластеры.

Т.о. при запуске любого файла, вирус получает управление (ОС запускает его сама), резидентно устанавливает в память и передает управление вызванному файлу.

 

Программные вирусы

 

Программные вирусы - это блоки программного кода, целенаправленно внедренные внутрь других прикладных программ. При запуске программы, несущей вирус, происходит запуск имплантированного в нее вирусного кода. Работа этого кода вызывает скрытые от пользователя изменения в файловой системе жестких дисков и/или в содержании других программ. Так, например, вирусный код может воспроизводить себя в теле других программ - этот процесс называется размножением. По прошествии определенного времени, создав достаточное количество копий, программный вирус может перейти к разрушительным действиям - нарушению работы программ и операционной системы, удалению информации, хранящейся на жестком диске. Этот процесс называется вирусной атакой. Самые разрушительные вирусы могут инициировать форматирование жестких дисков. Поскольку форматирование диска - достаточно продолжительный процесс, который не должен пройти незамеченным со стороны пользователя, во многих случаях программные вирусы ограничиваются уничтожением данных только в системных секторах жесткого диска, что эквивалентно потере таблиц файловой структуры. В этом случае данные на жестком диске остаются нетронутыми, но воспользоваться ими без применения специальных средств нельзя, поскольку неизвестно, какие сектора диска каким файлам принадлежит. Теоретически восстановить данные в этом случае можно, но трудоемкость этих работ исключительно высока.

Считается, что никакой вирус не в состоянии вывести из строя аппаратное обеспечение компьютера. Однако бывают случаи, когда аппаратное и программное обеспечение настолько взаимосвязаны, что программные повреждения приходится устранять заменой аппаратных средств. Так, например, в большинстве современных материнских плат базовая система ввода-вывода (BIOS) хранится в перезаписываемых постоянных запоминающих устройствах (так называемая флэш-память). Возможность перезаписи информации в микросхеме флэш-памяти используют некоторые программные вирусы для уничтожения данных BIOS. В этом случае для восстановления работоспособности компьютера требуется либо замена микросхемы, хранящей BIOS, либо ее перепрограммирование на специальных устройствах, называемых программаторами.

Программные вирусы поступают на компьютер при запуске непроверенных программ, полученных на внешнем носителе (гибкий диск, компакт-диск и т. п.) или принятых из Интернета, i Особое внимание следует обратить на слова при запуске. При обычном копировании зараженных файлов заражение компьютера произойти не может. В связи с этим все данные, принятые из Интернета, должны проходить обязательную проверку на безопасность, а если получены незатребованные данные из незнакомого источника, их следует уничтожать, не рассматривая. Обычный прием распространения "троянских" программ - приложение к электронному письму с "рекомендацией" извлечь и запустить якобы полезную программу.

 

Загрузочные вирусы

 

От программных вирусов загрузочные вирусы отличаются методом распространения. Они поражают не программные файлы, а определенные системные области магнитных носителей (гибких и жестких дисков). Кроме того, на включенном компьютере они могут временно располагаться в оперативной памяти.

Обычно заражение происходит при попытке загрузки компьютера с магнитного носителя, системная область которого содержит загрузочный вирус. Так, например, при попытке загрузить компьютер с гибкого диска происходит сначала проникновение вируса в оперативную память, а затем в загрузочный сектор жестких дисков. Далее этот компьютер сам становится источником распространения загрузочного вируса.

 

Комбинированные вирусы

Комбинированные вирусысочетают в себе свойства файловых и загрузочныхфайлов, т.е. проще говорязагрузочно – файловые вирусы. Данный вирус заражает главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие – шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а зашифровав половину жесткого диска, радостно сообщает вам об этом. Основная проблема при лечении вируса в том, что недостаточно удалить вирус из MBR и файлов, надо распознать зашифрованную информацию. Наиболее «смертельное» действие - просто переписать новый здоровый MBR.

Полиморфные вирусы

Полиморфные вирусы модифицируют свой код в зараженных программах т.о., что 2 экземпляра одного и того же вируса могут не совпадать ни в одном бите. Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но и имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы – вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно в процессе выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса

Макровирусы

Это особая разновидность вирусов поражает документы, выполняемые в некоторых прикладных программах, имеющие средства для исполнения так называемых макрокоманд. В частности, к ним относятся документы, выполненные с помощью программ офисного пакета Microsoft Office. Заражение происходит при открытии файла документа в окне программы, если в ней не отключена возможность исполнения макрокоманд.

Стелс - вирусы

Стелс – вирусы (вирусы - невидимки), в которых реализованных алгоритмы, скрывающие присутствие вируса на зараженной машине. Их нельзя обнаружить, например, просматривая файлы на диске с помощью файлового менеджера. Один из приемов маскировки состоит в том, что в момент открытия зараженного файла для просмотра, вирус сам себя удаляет из тела файла, а в момент закрытия – возвращает назад. Эффективным мероприятием по спасению ПК от данного вируса – полное форматирование диска.