Типы поражений, наносимых вирусами

Вызываемые вирусами последствия могут быть классифицированы по следующим основным категориям:

1. Отказ в выполнении той или иной функции (например, блокирование вирусом C170Rзагрузки программы с защищенной от записи дискеты);

2. Выполнение функции, не предусмотренной программой (например, форматирование диска, удаление файла и т.д.);

3. Выдача ложных, раздражающих или отвлекающих сообщений (например, «падение букв» в вирусе C1701R, замедление выполнения программ в вирусеCE1813R, проигрывание мелодии вCE1810R, движущийся на экране ромбик вB1024Rи т.д.).

4. Наиболее уязвимой частью файловой системы DOS является FAT(таблица размещения файлов). ЕслиFATразрушен, тоDOSне в состоянии определить местонахождение того или иного файла, хотя сами файлы не повреждены. Вирус может также выполнять форматизацию некоторых участков диска, содержащих системные данные. Поэтому необходимо достаточно часто дублировать управляющие данные файловой системы на другой, заранее известный участок диска или дискету. Для этой цели, в частности, можно использовать утилитуDBACK, а такжеMirrorиз пакетаPCSHELL.

Наиболее опасныкак раз не катастрофические повреждения винчестера или дискет (при адекватном архивировании это означает максимум потерю одного дня работы), амелкие, незаметные изменения файлов данных. В частности, известен вирус, который ищет файлы типаDBF, и, найдя внутри файла числовой поле, меняет местами две рядом стоящие цифры. Хотя большинство повреждений, наносимых вирусом, относятся к данным, возможны также повреждения оборудования. Например, можно повредить участок люминофора («выжечь пятно») на монохроматическом мониторе, используя особенности схемы управления.

Классификация компьютерных вирусов

Классификация вирусов должна позволять однозначно охарактеризовать не только известные вирусы, но новые их разновидности по ограниченному числу сравнительно простых и непротиворечивых признаков.

Здесь предлагается классификация, в которой имя вируса состоит из буквенного префикса, цифрового корня и факультативного буквенного суффикса.

Буквенный префикс характеризует среду размножения вируса.

В зависимости от среды размножения:

1. тип B- располагающиеся вBOOTсекторе и в сбойных секторах – бутовые вирусы,

2. типы CиE- вCOMиEXE– файлах – файловые вирусы

3. тип N- передающиеся по сети – сетевые вирусы

В некоторых случаях возможно сочетание префиксов, например, CиE(типCE).

Цифровой корень характеризует длину вируса. Поскольку точное определение этой величины затруднительно, используется ее приближенное значение, получаемое по следующим правилам.

1. Для вирусов типа CиCEон принимается равным приращению длины файлаCOMMAND.COMпри заражении.

2. Для типа Eв качестве аппроксимации длины принимается минимальное приращение длины при заражении файлов типаEXE.

3. Для вирусов типа Bв качестве аппроксимации длины принимается используемых секторов, умноженное на 512 (длину сектора).

Такой подход повышает прогностическую ценность классификации, поскольку во многих случаях позволяет сразу по длине зараженного COMMAND.COM(а файловые вирусы поражают этот файл в числе первых) определить тип вируса. Для бутовых вирусов было бы более наглядным указывать наглядное количество занимаемых кластеров, однако нет никакой гарантии, что не появятся два или более вируса с одним и тем же количеством занимаемых кластеров.

Поскольку резидентность является очень важной характеристикой вируса, для классификации резидентных вирусов используется суффикс R, напримерC1701R.

По степени разрушительности можно условно различать два типа вирусов,

• иллюзионистами(C1701R,CE1805R,B1024R)

• убийцами(C648,CE800R,B3072R,C346R).

Основным приоритетом при конструировании вирусов – иллюзионистов является демонстрация какого–нибудь экзотического звукового (СE1805R) или визуального эффекта типа бегающего шарика (B1024R), падающих букв (C1701R). В качестве основного приоритета вирусов – убийц является как можно более скрытое размножение, с тем, чтобы в фазе разрушения (детонации), уничтожающей и данный экземпляр вируса (при разрушенииFAT, форматизации и других подобных действиях), предшествовало определенное количество незамеченных размножений.

При этом наблюдается интересная взаимосвязь, на которую впервые обратил внимание автора Л. И Обухов: «если вирус демонстрирует изощренный визуальный или звуковой эффект, то, скорее всего он не выполняет массированного разрушения данных». Действительно, это правило подтверждается на примере приведенных вирусов. Только CE1813Rнесколько выпадает из этого ряда. Однако создаваемые им визуальные эффекты (черное окно в левом нижнем углу и замедление работы ЭВМ) довольно примитивны.

Вирусы можно разделить на классы по следующим основным признакам:

1. среда обитания;

По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:

1. файловыеФайловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).;

2. загрузочные; Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

3. макро; Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.

4. сетевые. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты

5. драйверные вирусызаражают драйверы устройств компьютера или запускают себя путем включения в файл конфигурации дополнительной строки.

Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.

2. операционная система (OC);

Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.

3. особенности алгоритма работы;

Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:

1. резидентность; РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора.

2. использование стелс-алгоритмов; позволяет вирусам полностью или частично скрыть себя в системе. Вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружитьвирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.

3. самошифрование и полиморфичность; САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Полиморфные вирусы- вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

4. использование нестандартных приемов. часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус "3APA3A"), защитить от обнаружения свою резидентную копию (вирусы "TPVO", "Trout2"), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS)

4. деструктивные возможности.

По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на:

1. безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

2. неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

3. опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;

4. очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некотоорых типов винчестеров.