Вредоносные программы и их классификации.

Программный вирус - это исполняемый или интерпретируемый программный код, обладающий свойством несанкционированного распространения и самовоспроизведения в автоматизированных системах или телекоммуникационных сетях с целью изменить или уничтожить программное обеспечение и/или данные, хранящиеся в автоматизированных системах.

Возможными каналами проникновения вирусов в компьютер являются накопители на сменных носителях информации и средства сетевой коммуникации.

Жизненный цикл компьютерных вирусов

Подобно биологическим вирусам жизненный цикл компьютерных вирусов, как правило, включает следующие фазы:

1) Латентный период, в течение которого вирусом никаких действий не предпринимается;

2) Инкубационный период, в рамках которого вирус только размножается;

3) Период проявления, в течение которого наряду с размножением выполняются несанкционированные пользователем действия.

Классификация компьютерных вирусов

Компьютерные вирусы классифицируются в соответствии со следующими признаками:

1) Среда обитания;

2) Способ заражения среды обитания;

3) Способ активизации;

4) Способ проявления;

5) Способ маскировки.

Различают:

1) Файловые вирусы, инфицирующие программные файлы, то есть файлы с программами;2) Загрузочные вирусы, заражающие компоненты системной области, используемые при загрузке ОС;3) Файлово-загрузочные вирусы, интегрирующие черты первых двух групп.

Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет (возможно случайно) осуществлена попытка загрузиться. (Конечно, у файловых вирусов инфицирующая способность выше).

Способы заражения среды обитания

Тело файлового вируса может размещаться при имплантации в:

1) Конце файла;

2) Начале файла;

3) Середине файла;

4) Хвостовой (свободной) части последнего кластера, занимаемого файлом.

Наиболее легко реализуется внедрение вируса в конец COM-файла следующим образом:

Вирус выбирает файл-жертву и модифицирует его следующим образом:

1) Дописывает к файлу собственную копию (тело вируса);

2) Сохраняет в этой копии оригинальное начало файла;

3) Заменяет оригинальное начало файла на команду передачи управления на тело вируса.

При запуске инфицированной программы первоначально инициируется выполнение тела вируса, в результате чего:

1) Восстанавливается оригинальное начало программы (но не в файле, а в памяти!);

2) Возможно, отыскивается и заражается очередная жертва;

3) Возможно, осуществляется несанкционированные пользователи действия;

4) Производится передача управления на начало программы-вирусоносителя, в результате чего она выполняется обычным образом.

Способы активизации вирусов

В зависимости от способа активизации различают:

§ Нерезидентные вирусы;

§ Резидентные вирусы.

Для нерезидентного вируса активизация эквивалентна получению им управления после запуска инфицированной программы. Тело вируса исполняется однократно в случае выполнения зараженной программы и осуществляет описанные выше действия.

Резидентный вирус логически можно разделить на две части – инсталлятор и резидентный модуль. При запуске инфицированной программы управление получает инсталлятор, который выполняет следующие действия:

1) Размещает резидентный модуль вируса в ОЗУ и выполняет операции, необходимые для того, чтобы последний хранился в ней постоянно;

2) Подменяет некоторые обработчики прерываний, чтобы резидентный модуль мог получать управление при возникновении определенных событий.

Загрузочные вирусы, как правило, резидентные, иначе они не будут обладать инфицирующей способностью.

Деструктивные действия вирусов

Проявлениями (деструктивными действиями) вирусов могут быть:

1) Влияние на работу ПЭВМ;

2) Искажение программных файлов;

3) Искажение файлов с данными;

4) Форматирование диска или его части;

5) Замена информации на диске или его части;

6) Искажение BR или MBR диска;

7) Разрушение связности файлов путем искажения FAT;

8) Искажение данных в CMOS-памяти.

Вирусы первой группы называют «иллюзионистами», а вирусы всех остальных групп «вандалами».

Способы маскировки вируса

В соответствии со способами маскировки различают:

­ Немаскирующиеся вирусы;

­ Самошифрующиеся вирусы;

­ Стелс-вирусы.

Две последние группы стали развиваться в связи с появлением антивирусных средств.

Метод маскировки, используемые стелс-вирусами, носят комплексный характер и могут быть условно разделены на две категории:

1) Маскировка наличия вируса в программе-вирусоносителе;

2) Маскировка присутствия резидентного вируса в ОЗУ.

Симптомы наличия вирусов

1) Увеличение числа файлов на диске;

2) Уменьшение объема свободной оперативной памяти;

3) Изменение даты и времени создания файла;

4) Увеличение размера программного файла;

5) Ненормальная работа программы;

6) Замедление работы программы;

7) Загорание лампочки дисковода в то время, когда к диску не должны происходить обращения;

8) Заметное возрастание времени доступа к жесткому диску;

9) Сбои в работе ОС, в частности, ее зависания;

10) Разрушение файловой структуры (исчезновение файлов, искажение каталогов).

MACRO-вирусы

MACRO-вирусы живут исключительно в Windows. пассивные объекты отходят в прошлое; так называемое активное содержимое становится нормой. Файлы, которые по всем признакам должны были бы относиться к данным (например, документы в форматах MS-Word или Postscript, тексты почтовых сообщений), способны содержать интерпретируемые компоненты, которые могут запускаться неявным образом при открытии файла. Как и всякое в целом прогрессивное явление, такое "повышение активности данных" имеет свою оборотную сторону.

Другие виды вирусов:

- вирус, наносящий компьютеру физическое повреждение, например, вводящий в резонанс головки винчестера, что приводит к его разрушению.

- вирус, который разрушает память BIOS WinCIH (правда наносимые повреждения достаточно легко исправляются и профилактика проста: в программе SETUP установить запрет на обновление BIOS).

Другие опасные программы

1) Сетевые черви

К данной категории относятся программы, распространяющие свои копии по локальным и/или глобальным сетям с целью:

- проникновения на удаленные компьютеры;

- запуска своей копии на удаленном компьютере;

- дальнейшего распространения на другие компьютеры в сети.

Для своего распространения сетевые черви используют разнообразные компьютерные и мобильные сети: электронную почту, системы обмена мгновенными сообщениями, файлообменные (P2P) и IRC-сети, LAN, сети обмена данными между мобильными устройствами (телефонами, карманными компьютерами) и т. д. Большинство известных червей распространяется в виде файлов: вложение в электронное письмо, ссылка на зараженный файл на каком-либо веб- или FTP-ресурсе в ICQ- и IRC-сообщениях, файл в каталоге обмена P2P и т. д.

2) Троянские программы

В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Отдельные категории троянских программ наносят ущерб удаленным компьютерам и сетям, не нарушая работоспособность зараженного компьютера (например, троянские программы, разработанные для массированных DoS-атак на удалённые ресурсы сети).

3) Хакерские утилиты и прочие вредоносные программы

К данной категории относятся:

- утилиты автоматизации создания вирусов, червей и троянских программ (конструкторы);

- программные библиотеки, разработанные для создания вредоносного ПО;

- хакерские утилиты скрытия кода зараженных файлов от антивирусной проверки (шифровальщики файлов);

- «злые шутки», затрудняющие работу с компьютером;

- программы, сообщающие пользователю заведомо ложную информацию о своих действиях в системе;

- прочие программы, тем или иным способом намеренно наносящие прямой или косвенный ущерб данному или удалённым компьютерам.