Классификации вирусов компьютера

Понятие и классификация компьютерных вирусов

Компьютерные вирусы являются одной из самых больших угроз для вашего компьютера, если вы работаете в сети Интернет. Для определения понятия «компьютерный вирус» существуют различные формулировки. Будем придерживаться следующей:
вирус – это программный код, встроенный в программу или документ, который проникает на компьютер для несанкционированного уничтожения, блокирования, искажения, копирования данных и сбора информации, или для заражения компьютеров через Интернет. Главная особенность вируса – это способность различными путями распространяться из одного файла в другой на одном компьютере или с одного компьютера на другой без ведома и согласия пользователя компьютера. Часто действия вирусов приводят к значительным нарушениям в работе компьютера или компьютерных сетей.

Вирусы принято классифицировать по следующим признакам:
среда обитания, поражаемая операционная система, особенности алгоритма работы, деструктивные возможности.

По среде обитания, иначе говоря, по поражаемым объектам вирусы делятся на файловые, загрузочные, сетевые вирусы и макровирусы.

• Файловые вирусы являются одними из самых распространенных типов компьютерных вирусов. Их характерной чертой является то, что они инициируются при запуске заражённой программы. Код вируса обычно содержится в исполняемом файле этой программы (файл с расширением .exe или .bat), либо в динамической библиотеке (расширение .dll), используемой программой. В настоящее время такие вирусы, как правило, представляют собой скрипты, написаны с использованием скриптового языка программирования (JavaScript, к примеру) и могут входить в состав веб-страниц. Они внедряются в исполняемые файлы, создают дубликаты файлов или используют особенности организации файловой системы для выполнения несанкционированных действий.

• Загрузочные вирусы записываются в загрузочный сектор диска и запускаются при запуске операционной системы, становясь ее частью.

• Сетевые вирусы, которые ещё называют сетевыми червями, имеют своим основным местом «проживания» и функционирования локальную сеть. Сетевой вирус, попадая на компьютер пользователя, самостоятельно копирует себя и распространяется по другим компьютерам, входящим в сеть. Они используют для своего распространения электронную почту, системы обмена мгновенными сообщениями (например, ICQ), сети обмена данными, а также недостатки в конфигурации сети и ошибки в работе сетевых протоколов.

• Макровирусы поражают документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся файлы, созданные с помощью пакета программ Microsoft Office, который поддерживает создание макросов на языке программирования Visual Basic for Application. Весьма полезно перед открытием незнакомого файла, созданного в таких программах, как Word или Excel, удостовериться, что поддержка макросов отключена (Сервис – Параметры – Безопасность макросов). Либо, для версии Microsoft Word 2010, в разделе «Безопасность программы» проверьте, включен ли режим защищенного просмотра файлов и предотвращения выполнения данных.

Однако, можно сказать, что современный вирус зачастую можно отнести сразу к нескольким группам вирусов. Такими сочетаниями являются, например, файловые загрузочные вирусы или файловые сетевые черви. Пример последнего: сетевой макро- вирус, который не только заражает документы, созданные в программах Word или Excel, но и рассылает свои копии по электронной почте.

Еще одним классификационным признаком является вид операционной системы, так как любой вирус ориентирован на заражение файлов или выполнение несанкционированных действий в определенной операционной системе.

По алгоритмам работы выделяют резидентные вирусы и вирусы, использующие стелс-алгоритмы или полиморфичность.

Резидентные вирусы при заражении компьютера постоянно остаются в оперативной памяти, перехватывая обращения операционной системы к объектам заражения, чтобы выполнить несанкционированные действия. Такие вирусы являются активными до полного выключения компьютера.

Применение стелс-алгоритмов базируется на перехвате запросов ОС на чтение или запись зараженных объектов. При этом происходит временное лечение этих объектов, либо замена их незараженными участками информации. Это позволяет вирусам скрыть себя в системе.

Также очень сложно обнаружить в системе вирусы, основанные на применении алгоритмов полиморфичности. Такие вирусы не содержат ни одного постоянного участка кода, что достигается за счет шифрования кода вируса и модификации программы-расшифровщика. Как правило, два образца одного и того же вируса не будут иметь ни одного совпадения в коде.

По деструктивным, то есть разрушительным возможностям выделяют опасные и неопасные вирусы.

Опасные вирусы выводят из строя операционную систему, портят или уничтожают информацию, хранящуюся на диске.

Неопасные вирусы практически не влияют на работоспособность компьютера и не понижают эффективность работы операционной системы, кроме увеличения дискового пространства, которое они занимают и уменьшения объёма свободной памяти компьютера.

Разработчики антивирусных программ обычно создают собственные классификации детектируемых вирусов. Например, «Лаборатория Касперского» (www.kaspersky.com) использует классификацию, основанную на разделении вирусов по типу совершаемых ими на компьютере пользователей действий.

Основные типы вредоносных объектов

Основные типы вредоносных объектов: virus, worm (net-worm и email-worm), packer, utility, trojan (trojan-downloader, backdoor и trojan-dropper), adware.

• Среди сетевых вирусов (worm) выделяют вредоносные программы, которые используют для своего распространения электронную почту (email- worm) и сети обмена данными (net-worm).

• Упаковщики (packer) различными способами архивируют содержимое файла, в том числе с помощью шифрования, для того, чтобы исключить корректное разархивирование информации.

• Трояны (Trojan) – группа вредоносных программ-вирусов, маскирующихся под полезные программы, проникающие на компьютер под видом безвредного программного обеспечения. Как и её прототип из греческой мифологии, программа-троян выглядит не тем, чем является на самом деле. Такая программа несет в себе средства, позволяющие её создателю иметь доступ к системе, в которой она исполняется. Другими словами, основное функциональное назначение троянов – предоставить к пораженному компьютеру свободный доступ через Интернет с удаленного компьютера. В этой группе выделяют программы, предназначенные для скрытого удаленного управления пораженным компьютером (backdoor); программы, предназначенные для несанкционированной установки на компьютер различных вирусов, содержащихся в этой программе (trojan-dropper); программы, предназначенные для несанкционированной загрузки на компьютер новых версий вирусов из сети Интернет (trojan-downloader).

• Вредоносные утилиты (utility) разрабатываются для автоматизации создания других вирусов, червей или троянских программ.

В большинстве случаев они не представляют угрозы компьютеру, на котором исполняются.

• И, наконец, adware, программы, которые не являются вредоносными, но обладают функциональными возможностями для совершения несанкционированных и часто вредоносных действий.

Многие вирусы не входят ни в один из вышеперечисленных классов. В настоящее время они и составляют самую большую категорию вредоносных программ, предназначенных для несанкционированного нарушения работы компьютера.

Спам и Фишинг

Существуют также информационные процессы, которые сами по себе не являются вирусами, однако могут иметь вредоносные последствия не столько для компьютера, сколько для финансового состояния его пользователя — это спам и фишинг.

• Спамом называют массовую рассылку электронной почты, обычно содержащую навязчивую рекламу, на адреса пользователей, которые не выражали желания ее получать. Спам вреден тем, что нагружает каналы связи и сетевое оборудование провайдеров, что, в свою очередь, увеличивает трафик и снижает пропускную способность передачи полезной информации. Кроме того, спам заставляет пользователя тратить свое время на обработку бесполезной информации. Совет: никогда не отвечайте на спамерское письмо, даже если очень хочется. Ваш ответ будет подтверждением того, что данный почтовый ящик существует в действительности, а подобная информация очень ценится у спамеров. В дальнейшем ваш ящик будет постоянно забит спамом.

• Фишинг — это вид мошенничества в глобальной сети Интернет с целью получения персональных данных пользователей. Такие данные злоумышленники могут получить следующим образом: пользователь получает сообщение о том, что ему необходимо обновить конфиденциальную информацию, перейдя по предложенной ссылке. Далее, щелкнув по ссылке, пользователь заходит на поддельный сайт и сам оставляет там свои персональные данные, вплоть до паролей, номера кредитной карты или банковского счета, что приводит к их краже.

Современные антивирусы собирают базу данных о таких угрозах и, при попытке пользователя перейти по фишинговой ссылке, предупреждают его об опасности.

Понятие компьютерного вируса

Компьютерный вирус — это фрагмент исполняемого кода, который копирует себя в другую программу, модифицируя ее при этом.

Здесь стоит отметить, что, в первую очередь, это обычная программа, прав да, предназначенная не для удовлетворения потребностей пользователя, а наоборот, призванная уничтожить ценную информацию, испортить «досуг» различными сбоями операционной системы и программного обеспечения, нанести материальный ущерб и т. п.

Наиболее характерные черты компьютерных вирусов:

  • самостоятельное копирование из каталога в каталог или из файла в файл, что обычно называется «самовоспроизведением». Это позволяет вирусам выживать в условиях постоянной смены программного обеспечения (за раженную программу пользователь может удалить и на этом «жизнь» ви руса закончится). Тем более, что наличие копии вируса в каждой папке повышает шанс его копирования на другой компьютер;
  • маскировка под полезные программы или режим невидимости, при кото ром вы даже не подозреваете, что компьютер заражен (при нажатии ком бинации клавиш < CTRL >+< ALT >+< DEL > запущенные вирусом файлы не отображаются).

Естественно, что не все программы, которые самостоятельно копируют некоторые файлы в различные каталоги и создают видимость, что ничего не происходит, можно считать компьютерными вирусами.

Существует несколько критериев, позволяющих классифицировать компью терные вирусы, — это поддерживаемая операционная система, способ зара жения, алгоритмы работы, деструктивные возможности.

По операционным системам компьютерные вирусы можно подразделить на:

  • вирусы, работающие в среде MS — DOS , — весьма устаревшая категория вирусов, которая еще может в отдельных случаях быть опасной, напри мер для Windows 9 x или MS — DOS , но в операционных системах Windows NT они просто не могут быть запущены по вполне естествен ным причинам;
  • вирусы, работающие в среде Windows 9 x , — наиболее широко распро страненная категория вирусов, по сей день представляющая большую опасность;
  • вирусы, работающие в среде Windows NT , — наиболее «продвинутые» ви русы, т. к. некоторые особенности работы операционных систем данного семейства по своей сути сами по себе защищают компьютер от воздейст вия вирусов, например блокируется прямой доступ к управлению аппа ратными ресурсами.

По алгоритму заражения все многообразие компьютерных вирусов разделя ют на следующие категории:

  • файловые вирусы заражают программные файлы с такими расширениями, как COM , EXE , DLL , SYS , DRV , VXD . Файловые вирусы могут заражать файлы практически любой операционной системы независимо от ее версии. Отдельной категорией стоят вирусы, которые заражают документы, соз данные при помощи пакета программ Microsoft Office , это так называе мые макровирусы;
  • загрузочные вирусы, или как их еще называют boot -вирусы (бутовые), ко торые заражают загрузочные области дискет и жестких дисков, точнее ту их часть, что не используется системными файлами. Такие вирусы зара жают практически все дискеты, которые используются на зараженном компьютере.
  • Особенность загрузочных вирусов состоит в том, что они загружаются в память компьютера еще до запуска операционной системы, а значит, до запуска антивируса, что несколько затрудняет своевременное их обна ружение, особенно, если программа для «ловли вирусов» при запуске компьютера не проверяет оперативную память. Еще одним нюансом загрузочных вирусов является то, что в операционных системах типа Windows многие из них не способны к заражению других дисков;
  • загрузочно-файловые вирусы обладают возможностью заражения как раз личных файлов, так и загрузочной области дисков. При этом заражение может произойти даже при простом обращении к зараженному диску или при запуске зараженного файла;
  • сетевые вирусы — эта категория вирусов способна самостоятельно пере давать свой программный код всем компьютерам, подключенным к ло кальной сети. Часто эту категорию вирусов называют червями;
  • «троянские кони» — эта категория вирусов, как правило, никогда не за ражает файлы или загрузочную область диска, а просто прописывает себя в автозагрузку и ждет, когда же вы введете некий пароль, чтобы отправить его создателю вируса. Такие программы предназначены, в основном, для кражи ценной информации.

Способы заражения могут быть совершенно разными. Например, вирус ак тивируется при запуске операционной системы и остается в оперативной памяти до завершения работы компьютера, при этом заражаются все файлы и диски, к которым обращается система во время своей работы. Или другой вариант — после первого запуска вирус «прописывает» себя в автозагрузку и после каждой загрузки операционной системы в память компьютера копи руется программный код вируса. Вариантов может быть великое множество, поэтому все их мы рассматривать не будем.

В принципе, если в подробностях изучать разновидности компьютерных вирусов, то можно посвятить этому целую книгу, но в данном случае нас интересует в первую очередь то, как можно от них избавиться.

Добавить комментарий

Закрыть меню