ЧАСТЬ 2

ИНФОРМАТИКА

Электронное учебно-методическое пособие

 

  
 

 

7.2. Классификация вирусов

Классифицировать вирусы можно по следующим признакам [9]:

  • по среде обитания;
  • по способу заражения среды обитания;
  • по деструктивным возможностям;
  • по особенностям алгоритма вируса.

По среде обитания вирусы можно разделить на следующие:

  • файловые вирусы, которые внедряются в выполняемые файлы (*.com, *.exe, *.sys, *.bat, *.dll);
  • загрузочные вирусы, которые внедряются в загрузочный сектор диска или в сектор, содержащий системный загрузчик винчестера;
  • макро-вирусы, которые внедряются в системы, использующие при работе так называемые макросы (например, в программах MS Word, MS Excel);
  • сетевые вирусы распространяются по различным сетям, т. е. при передаче данных с одного компьютера на другой, соединённых сетью.

Существуют и сочетания – например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему и их труднее обнаружить.

По способам заражения вирусы бывают:

  • резидентные;
  • нерезидентные.

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.

По деструктивным возможностям вирусы можно разделить на следующие:

  • безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
  • неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и прочими эффектами;
  • опасные – вирусы, которые могут привести к серьёзным сбоям в работе;
  • очень опасные, могущие привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и т. д.

По особенностям алгоритма можно выделить следующие основные группы вирусов:

  • компаньон-вирусы (companion) – алгоритм работы этих вирусов состоит в том, что они создают для exe-файлов файлы-спутники, имеющие то же самое имя, но с расширением com, которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе;

  • вирусы-«черви» (worm) – вариант компаньон-вирусов. «Черви» не связывают свои копии с какими-то файлами. Они создают свои копии на дисках и в подкаталогах дисков, никаким образом не изменяя других файлов и не используя СОМ-ЕХЕ приём;

  • сетевые черви – вирусы, которые распространяются в компьютерной сети и, так же, как и компаньон-вирусы, не изменяют файлы или секторы на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Сетевых вирусов известно всего несколько штук. Например, XMasTree, Вирус Морриса (Internet Worm);

  • «паразитические» – все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон-вирусами»;

  • «студенческие» – самые простые и легко обнаруживаемые вирусы, содержащие большое число ошибок;

  • «стелс»-вирусы (вирусы-невидимки), представляют собой весьма совершенные программы, которые перехватывают обращения операционной системы к поражённым файлам или секторам дисков и «подставляют» вместо себя незаражённые участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные программы-фильтры;

  • «полиморфик»-вирусы (самошифрующиеся, или вирусы-призраки) – достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика;

  • макро-вирусы – вирусы этого семейства используют возможности макроязыков (таких как Word Basic), встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т. д.). В настоящее время широко распространены макро-вирусы, заражающие документы текстового редактора Microsoft Word и электронные таблицы Microsoft Excel;

  • троянские программы (квазивирусы) – не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.

На сегодняшний день сетевые вирусы не представляют никакой опасности, так как они нежизнеспособны в современных сетях, как глобальных, так и локальных. Однако это не мешает обычным вирусам и макро-вирусам поражать компьютерные сети (локальные и глобальные).

Делают они это, в отличие от сетевых вирусов, не используя сетевые протоколы и «дыры» в программном обеспечении. Заражению подвергаются файлы на «общих» дисках на серверах и рабочих местах, через которые эти вирусы перебираются и на другие рабочие места, а часто и передаются в Интернет.

Многие разновидности вирусов устроены так, что при запуске зараженной программы вирус остается в памяти компьютера и время от времени заражает программы и выполняет нежелательные действия на компьютере. Пока на компьютере заражено относительно мало программ, наличие вируса может быть практически незаметным.

К числу наиболее характерных признаков заражения компьютера вирусами относятся следующие:

  • некоторые ранее исполнявшиеся программы перестают запускаться или внезапно останавливаются в процессе работы;

  • увеличивается длина исполняемых файлов;

  • быстро сокращается объём свободной дисковой памяти и оперативной памяти;

  • на носителях появляются дополнительные сбойные кластеры, в которых вирусы прячут свои фрагменты или части повреждённых файлов;

  • замедляется работа некоторых программ;

  • в текстовых файлах появляются бессмысленные фрагменты;

  • на экране появляются странные сообщения, которые раньше не наблюдались;

  • появляются не существовавшие ранее «странные» файлы, особенно в каталоге Windows или корневом;

  • операционная система перестаёт загружаться с винчестера;

  • появляются сообщения об отсутствии винчестера;

  • данные на носителях портятся;

  • снижается скорость работы в Интернете (вирусы могут передавать информацию по сети);

  • жалобы от друзей (или провайдера) о том, что к ним приходят непонятные письма – вирусы любят рассылать себя по почте.

Для защиты информации от вирусов используются общие и программные средства.

К общим средствам, помогающим предотвратить заражение и его разрушительные последствия, относят:

  • резервное копирование информации (создание копий файлов и системных областей жёстких дисков);

  • избежание пользования случайными и неизвестными программами. Чаще всего вирусы распространяются вместе с компьютерными программами;

  • ограничение доступа к информации, в частности, физическая защита дискеты во время копирования с неё файлов.

К программным средствам защиты относят разные антивирусные программы (антивирусы).

 
 


© Сибирская государственная геодезическая академия (СГГА), 2011