Компьютерные вирусы, их свойства и типы

Компьютерный вирус — это специально написанная, неболь­шая по размерам программа (т. е. некоторая совокупность вы­полняемого кода), которая может «приписывать» себя к другим программам («заражать» их), создавать свои копии и внедрять их в файлы, системные области компьютера и т. д., а также выпол­нять различные нежелательные действия на компьютере.

По-видимому, самым ранним примером могут служить пер­вые прототипы будущих вирусов программы-кролики. Не причи­няя разрушений, они тем не менее были сконструированы так, что многократно копируя себя, захватывали большую часть ре­сурсов системы, отнимая процессорное время у других задач. История их создания доподлинно не известна. Возможно, они явились следствием программной ошибки, которая приводила к зацикливанию и наделяла программу репродуктивными свойст­вами. Первоначально кролики (rabbits) встречались только на локальных машинах, но с появлением сетей быстро «научились» распространяться по последним.

Затем, в конце шестидесятых годов была обнаружена само­размножающаяся по сети APRAnet программа, известная сего­дня как Creeper (вьюнок).

Вьюнок проявлял себя текстовым сообщением:

"i'm the creeper... catch me.if you can"

(" я вьюнок... поймай меня, если сможешь"),

и экономно относился к ресурсам пораженной машины, не при­чиняя ей никакого вреда и разве что слегка беспокоя владельца. Каким бы безвредным Вьюнок ни казался, но он впервые показал, что проникновение на чужой компьютер возможно без ве­дома и против желания его владельцев.

С появлением Creeper родились и первые системы защиты. Первым шагом в борьбе против Вьюнка стал Жнец (Reaper), репродуцирующийся наподобие Creeper, но уничтожающий все встретившиеся ему копии последнего. Достоверно неизвестно, чем закончилась борьба двух программ. Так или иначе, от по­добного подхода к защите впоследствии отказались. Однако ко­пии обеих программ еще долго бродили по сети.

Свойства вирусов. Своим названием компьютерные вирусы обязаны определенному сходству с вирусами естественными:

• способности к саморазмножению;

• высокой скорости распространения;

• избирательности поражаемых систем (каждый вирус пора­жает только определенные системы или однородные груп­пы систем);

• способности «заражать» еще незараженные системы;

• трудности борьбы с вирусами и т. д.

В последнее время к этим особенностям, характерным для вирусов компьютерных и естественных, можно добавить еще и постоянно увеличивающуюся быстроту появления модификаций (мутаций) и новых поколений вирусов.

Программа, внутри которой находится вирус, называется «зараженной». Когда такая программа начинает работу, то сна­чала управление получает вирус. Вирус находит и «заражает» другие программы, а также выполняет какие-нибудь вредные действия (например, портит файлы или таблицу размещения файлов на диске, «засоряет» оперативную память и т. д.). Для маскировки вируса действия по заражению других программ и нанесению вреда могут выполняться не всегда, а, скажем, при выполнении определенных условий.

Классификация вирусов. Один из авторитетнейших «вирусоло­гов» страны Евгений Касперский предлагает условно классифи­цировать вирусы по следующим признакам:

• по среде обитания вируса;

• по способу заражения среды обитания;

• по деструктивным возможностям;

• по особенностям алгоритма вируса.

Более подробная классификация внутри этих групп пред­ставлена на рис. 8.5.

Основными путями проникновения вирусов в компьютер яв­ляются съемные диски (гибкие и лазерные), а также компьютер­ные сети. Заражение жесткого диска вирусами может произойти при загрузке программы с дискеты, содержащей вирус. Такое заражение может быть случайным, например, если дискету не вынули из дисковода А: и перезагрузили компьютер, при этом дискета может быть и не системной. Заразить дискету гораздо про­ще. На нее вирус может попасть, даже если дискету просто вставили в дисковод зараженного компьютера и прочитали ее оглавление.

Как работает вирус

Рассмотрим схему функционирования простейшего загрузоч­ного вируса, заражающего дискеты. При включении компьютера управление передается программе начальной загрузки, которая хранится в постоянном запоминающем устройстве (ПЗУ) т. е. ПНЗ ПЗУ.

Эта программа тестирует оборудование и при успешном за­вершении проверок пытается найти дискету в дисководе А:

Всякая дискета размечена на секторы и дорожки, секторы объединяются в кластеры.

Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных секторов нас пока интересует один — так называемый сектор начальной загрузки (boot sector).

В секторе начальной загрузки хранится информация о дис­кете — количество поверхностей, количество дорожек, количе­ство секторов и пр. Но нас сейчас интересует не эта информа­ция, а небольшая программа начальной загрузки (ПНЗ), кото­рая должна загрузить саму операционную систему и передать ей управление.

Тем самым, нормальная схема начальной загрузки сле­дующая: