Классификация компьютерных вирусов

Компьютерным вирусом называется программа (некоторая совокупность выполняемого кода/инструкций), которая способна создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя. При этом копии сохраняют способность дальнейшего распространения.

Вирусы можно разделить на классы по следующим признакам:

1. по среде обитания вируса;

2. по способу заражения среды обитания;

3. по деструктивным возможностям

4. по особенностям алгоритма вируса

1. По среде обитания вирусы можно разделить на сетевые, файловые и загрузочные. Сетевые вирусы распространяются по компьютерной сети, файловые внедряются в выполняемые файлы, загрузочные - в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Существуют сочетания -например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы и часто применяют оригинальные методы проникновения в систему.

2. Способы заражения делятся на резидентный и нерезидентный. Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.

3. По деструктивным возможностям вирусы можно разделить на:

§ неопасные, т.е. никак не влияющие на работу компьютера: уменьшение свободной памяти на диске и графическими, звуковыми и пр. эффектами;

§ опасные вирусы, которые могут привести к серьезным сбоям в работе: замедление работы операционной системы, некорректная работа программ и др.;

§ очень опасные, которые могут привести к потере программ, уничтожить данные, программы, удалить информацию, записанную в системных областях памяти, вывести из строя устройство.

4. По особенностям алгоритма можно выделить следующие группы вирусов:

§ - компаньон-вирусы (companion) - это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением.СОМ, например, для файла XCOPY.EXE создается файл XCOPY.COM. Вирус записывается в СОМ-файл и никак не изменяет ЕХЕ-файл. При запуске такого файла DOS первым обнаружит и выполнит СОМ-файл, т.е. вирус, который затем запустит и ЕХЕ-файл.

§ - вирусы-"черви" (worms) - вирусы, которые распространяются в компьютерной сети и, так же как и компаньон-вирусы, не изменяют файлы или сектора на дисках. Они проникают в память компьютера из компьютерной сети, вычисляют сетевые адреса других компьютеров и рассылают по этим адресам свои копии. Такие вирусы иногда создают рабочие файлы на дисках системы, но могут вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). К счастью, в вычислительных сетях IBM-компьютеров такие вирусы пока не завелись. Программы-"черви" используют сетевые соединения для распространения от одной системы к другой. Во время работы на отдельном компьютере сетевой "червь" может вести себя как компьютерный вирус или "бактерия", внедрять "троянских коней", или же выполнять какие-то другие разрушительные или подрывные действия.

Для размножения сетевой "червь" использует сетевые средства доставки информации. Примерами таких средств могут быть следующие службы.

- Электронная почта. "Червь" отправляет свою копию по почте в другую систему.

- Удаленный вызов программ. "Червь" запускает свою копию на выполнение в другой системе.

- Доступ к удаленной системе. "Червь" входит в удаленную систему как пользователь, а затем использует команду копирования себя из одной системы в другую.

Новая копия программы-«червя» в результате оказывается запущенной в удаленной системе, где в дополнение ко всем другим предусмотренным операциям "червь" продолжает размножаться указанным выше способом.

§ паразитические - все вирусы, которые при распространении своих копий обязательно изменяют содержимое дисковых секторов или файлов. В эту группу относятся все вирусы, которые не являются «червями» или «компаньон».

§ «стелс»-вирусы (вирусы-невидимки, stealth), представляющие собой весьма совершенные программы, которые перехватывают обращения ОС к пораженным файлам или секторам дисков и "подставляют" вместо себя незараженные участки информации. Кроме этого, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы.

§ «полиморфик»-вирусы (самошифрующиеся или вирусы-призраки, polymorphic) - вирус, код которого изменяется при каждом новом заражении, что делает практически невозможным обнаружить его по сигнатуре. Достаточно трудно обнаруживаемые вирусы, не имеющие постоянных сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Полиморфный вирус создает при размножении копии, эквивалентные функциям, но существенно различающиеся по двоичному представлению. Как и в случае с вирусами-невидимками, это делается с целью противостоять программам, обнаруживающим вирусы. Для изменения представления кода вирус может вставлять в свой код генерируемые случайным образом избыточные команды или же изменять порядок следования независимых команд. Более эффективным подходом является шифрование. Часть вируса, называемая механизмом управления мутациями, генерирует случайное значение ключа, с помощью которого шифрует остальной код вируса. Ключ сохраняется вместе с вирусом, а механизм управления мутациями видоизменяется. Во время запуска инфицированной программы вирус с помощью сохраненного ключа расшифровывается. При новом инфицировании генерируется новый ключ.

§ макро-вирусы - вирусы этого семейства используют возможности макро-языков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). В настоящее время наиболее распространены макро-вирусы заражающие текстовые документы редактора Microsoft Word и рабочие листы Microsoft Excel. По сути, макрос представляет собой программу, встроенную в документ текстового процессора или файл какого-то другого типа. Обычно пользователи применяют макросы для того, чтобы автоматизировать выполнение часто повторяемых действий, что позволяет экономить время. Язык макросов чаще всего является каким-нибудь вариантом языка программирования Basic. Пользователь может записать последовательность нажатий клавиш в виде макроса, а затем настроить программу так, чтобы записанный макрос вызывался нажатием функциональной клавиши или какой-то специальной комбинации клавиш. Создание макровирусов оказывается возможным благодаря существованию автоматических макросов. Это макросы, которые выполняются автоматически, без явной активизации их пользователем. Типичными автоматически происходящими событиями являются открытие, закрытие файла, а также запуск приложения. Во время своего выполнения макрос может копировать себя в другой документ, удалять файлы и выполнять любые другие действия, разрушающие систему пользователя. В Microsoft Word существует три типа автоматических макросов:

- AutoExec. Макрос с зарезервированным именем AutoExec, размещенный в шаблоне normal.dot или в глобальном шаблоне, хранящемся в каталоге запуска Word, и автоматически выполняющийся при запуске Word.

- Автомакрос. Выполняется, когда происходит определенное событие, например, открытие или закрытие документа, создание нового документа или завершение работы Word.

- Командный макрос. Если находящийся в глобальном файле макросов или связанный с текущим документом макрос имеет имя, совпадающее с названием команды Word, он будет выполняться при каждом вызове этой команды (например, команды FileSave) пользователем.

§ Загрузочный вирус. Инфицирует главную загрузочную запись или загрузочный сектор и распространяется, когда система загружается с зараженного диска.

Хотя вирусные атаки случаются не очень часто, общее число вирусов слишком велико, а ущерб от "хулиганских" действий вируса в системе может оказаться значительным. Существуют вирусы, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы информацию.

Люки

Люк, или лазейка, — это секретная точка входа в программу, позволяющая тому, кто знает о существовании люка, получить доступ в обход стандартных процедур защиты. Люки уже много лет совершенно законно используются в программистской практике для ускорения отладки и тестирования программ. Эта возможность обычно применяется программистом при создании приложения, в состав которого входит процедура аутентификации или слишком долгая программа установки, требующая от пользователя ввода множества различных параметров для запуска программы. Чтобы ускорить процесс отладки, разработчик может воспользоваться специальным уровнем привилегий или обойти процедуру установки или аутентификации. Для программиста удобно иметь возможность запустить программу тогда, когда по причине каких-то неполадок встроенная процедура аутентификации не позволяет этого сделать. Люк представляет собой программный код, реагирующий на специальную последовательность введенных с клавиатуры символов, либо активизирующийся в ответ на ввод определенного идентификатора пользователя или последовательность каких-то маловероятных событий.

Люки представляют собой угрозу, когда они позволяют недобросовестным программистам получить несанкционированный доступ. Именно люк был основной причиной угрозы, на которой построен сюжет фильма "Военные игры" (War Games). Еще одним примером является люк, использованный в рамках тестирования системы Multics, проводимого "командой тигров" (командой моделирования действий противника) ВВС США. Одним из решений была отправка на узел, на котором выполнялась Multics, ложного пакета с обновлениями системы. В этом пакете содержался "троянский конь", который активизировался через люк и позволял "тиграм" получить доступ к системе. Угроза была реализована настолько удачно, что разработчики Multics не смогли найти ее даже после того, как были информированы о ее существовании.

Реализовать выявление возможных лазеек стандартными средствами операционной системы очень трудно. Меры защиты в данном случае должны быть сфокусированы на осуществлении контроля процесса разработки программного обеспечения и его обновления.

Логические бомбы

Одним из самых старых типов вредоносных программ, возникших еще до появления вирусов и "червей", является логическая бомба. Логическая бомба представляет собой программный код, внедренный в какую-то полезную программу, который должен "взорваться" при выполнении определенных условий. Примерами условий, которые запускают логическую бомбу, могут быть присутствие или отсутствие каких-то файлов, наступление определенного дня недели или определенной даты, имя конкретного пользователя, инициировавшего запуск приложения. В одном ставшем широко известным случае логическая бомба проверяла наличие определенного табельного номера сотрудника (автора бомбы) и срабатывала тогда, когда этот табельный номер отсутствовал в двух идущих подряд ведомостях по начислению зарплаты. После запуска бомба может изменять или удалять данные файлов, вызывать зависание машины или выполнять какие-то другие разрушительные действия. Впечатляющий пример того, как можно использовать логическую бомбу, дает дело о библиотечной системе, рассматривавшееся в суде округа Монтгомери, шт. Мэриленд. Подрядчик, разработавший библиотечную систему компьютеризованного учета, заложил в ее код логическую бомбу, которая через некоторое время должна была сделать систему недоступной, если подрядчику не заплатят за выполненную работу. Когда библиотека, основываясь на том, что система слишком медленно реагирует на запросы, решила не оплачивать финальную стадию работ, подрядчик сообщил о существовании бомбы и заявил, что не уберет ее до тех пор, пока не получит своих денег.

Троянские кони

"Троянский конь" представляет собой полезную или кажущуюся полезной программу, содержащую скрытый код, который после запуска программы носителя выполняет нежелательные или разрушительные функции.

Программа этого типа может использоваться для опосредованного выполнения операций, которые несанкционированный пользователь не может выполнить непосредственно. Например, для получения доступа к файлам другого пользователя на компьютере, находящемся в совместном пользовании нескольких человек, злоумышленник может создать программу "троянского коня", которая при выполнении изменит параметры доступа к файлам этого пользователя, сделав их открытыми для всех. Создав такую программу, автор может спровоцировать других пользователей запустить ее, поместив программу в общедоступный каталог и присвоив ей имя, которое большинству пользователей покажется именем полезной программы или утилиты. Примером может служить программа, якобы создающая только список файлов пользователя в нужном формате. После того как другой пользователь запустит такую программу, автор программы может получить доступ к информации, содержащейся в файлах этого пользователя. Примером "троянского коня", которого обнаружить очень трудно, является компилятор, модифицированный с целью внедрения дополнительного кода в программы определенного вида (например, в программы входа в систему) во время их компиляции. Соответствующий код создает в модуле регистрации люк, позволяющий автору кода войти в систему с помощью специального пароля. Обнаружить такого "троянского коня" по исходному коду программы входа систему будет просто невозможно.

Вторым побудительным мотивом создания "троянских коней" является разрушение данных. В этом случае программа, выполняющая какие-то полезные функции (например, программа-калькулятор), может без каких бы то ни было внешних проявлений удалить все файлы пользователя. Так, жертвой "троянского коня" однажды оказался даже один из высокопоставленных чиновников, у которого эта программа уничтожила всю хранившуюся на компьютере информацию. "Троянский конь" был внедрен в программу обработки графических данных, распространявшуюся через электронную доску объявлений.

Один из типичных примеров — вездесущий RBot, который распространяется самыми разными способами. Эта программа может собирать системную информацию, загружать и исполнять файлы, инициировать атаки на отказ в обслуживании и даже удаленно управлять подключенной Web-камерой.

RBot-A, первая версия червеподобного «троянца», была обнаружена в марте 2004 года. Последняя, RBot RN, по данным английской антивирусной компании Sophos, появилась 13 декабря. Всего за девять месяцев было создано 480 различных вариантов этого вредоносного ПО.

«Троянцы» и программы, использующие уязвимые места систем, — вещь далеко не новая, но, как считает Джесс Вилла, менеджер компании Frontbridge Technologies по техническим продуктам, резкое увеличение их числа в 2004 году стало результатом сотрудничества авторов вирусов, сетевых преступников и спамеров.

«Троянец» под названием Banker-AJ проникал на компьютеры и ожидал, когда пользователи войдут на интерактивные банковские сайты. Эта программа записывала последовательность клавиш, нажимаемых пользователем, и таким образом получала информацию о счете.

Никогда еще со времен Древней Греции о троянцах не говорили так часто, как в 2004 году, когда массовое появление «троянских коней» превратило многие подключенные к Internet компьютеры в инструменты хакеров и международных криминальных Internet-организаций.

Начиная с января 2005 г. «троянцы» с помощью электронной почты и Internet-червей практически беспрепятственно проникают в уязвимые компьютеры.

Бактерии

"Бактерии" являются программами, не повреждающими сами по себе никаких файлов. Единственной целью "бактерии" является воспроизведение себе подобных. Типичная "бактерия" может просто запустить две собственные копии в многозадачной среде или создать два новых файла, содержащих по копии оригинальной программы-"бактерии". Затем каждая из копий может создать две копии и т.д. Скорость размножения "бактерий" растет экспоненциально, в конце концов приводит к быстрому захвату всех ресурсов процессора, памяти или дискового пространства, а результатом является отказ пользователям в доступе к этим ресурсам.

2.3.2 Антивирусная защита

Идеальным решением проблемы вирусов является предотвращение инфицирования: не следует допускать начального проникновения вируса в компьютерную систему. Этой цели, в общем, достичь невозможно, хотя предпринятые превентивные меры могут снизить вероятность успешного завершения вирусной атаки. Идеальный подход должен обеспечивать решение следующих задач.

1. Обнаружение. Если заражение произошло, оно должно быть немедленно обнаружено с установлением места обитания вируса.

2. Идентификация. Обнаружив заражение вирусом, необходимо идентифицировать его тип.

3. Удаление. Как только вирус будет идентифицирован, следует удалить все следы вируса из инфицированных программ и восстановить программы висходном виде. Важно удалить вирус из всех инфицированных систем, чтобы болезнь не распространялась дальше.

Если вирус обнаружен, но его не удается идентифицировать или удалить из ситемы, альтернативой является удаление инфицированной программы с последующей ее новой загрузкой с резервной копии.