Классификация вирусов по особенностям алгоритма

Сетевые вирусы (сетевые черви) или вирусы-репликаторы: вирусы, которые распространяются в компьютерной сети и не изменяют файлы или сектора на дисках. Программа «сетевой червь» является самостоятельной программой, т.е. в файле находится только сам червь, и базовая программа (как в случае с классическим вирусом) в этом файле отсутствует.

Сетевые черви для своего распространения используют электронную почту.

Варианты действий создателя червя.

1. Создатель червя формирует электронное письмо и рассылает его по нескольким адресам в расчёте на то, что в дальнейшем сам червь будет размножаться. В этом письме имеется прикреплённый файл, в тексте письма указывается просьба открыть и посмотреть содержимое этого прикреплённого файла. При попытке открыть прикреплённый файл пользователь компьютера запускает программу-вирус, которая в данном случае называется сетевым червём. После запуска в процессе своего функционирования червь обращается к базе почтовых адресов в компьютере и действует, как создатель вируса: формирует письма, прикрепляет к ним свою копию и рассылает эти электронные письма по найденным адресам.

2. Создатель червя взламывает какой-то web-сайт и заносит на этот web-сайт зараженный файл, содержащий червь. Создатель червя рассылает несколько писем по электронной почте с гиперссылкой на зараженный файл и с рекламой какого-то товара, информация о котором может быть получена по данной гиперссылке. Кто-то из пользователей заинтересовались данной рекламой и попытались посмотреть информацию о рекламируемом товаре. Пользователь делает попытку перейти на указанный web-сайт по имеющейся в электронном письме гиперссылке. Реально со взломанного web-сайта приходит на компьютер пользователя зараженный файл, программа-сетевой вирус запускается и реализует те же действия, что и в первом случае.

В отличие от классического вируса червь является самостоятельной программой, т. е. в файле содержится только прорамма-сетевой вирус. Червь запускается на компьютере, в который он попадает только 1 раз, за время функционирования он формирует множество электронных писем.

Стелс-вирусы (вирусы-невидимки, stealth) перехватывают обращения операционной системы к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы;

Полиморфик-вирусы (самошифрующиеся или вирусы-призраки или вирусы-мутанты, polymorphic) - достаточно труднообнаруживаемые вирусы.

Компьютерный вирус – это программа, которая в результате исполнения процессором получает конкретный результат. Компьютерный вирус размножается. Два экземпляра одного вируса – два экземпляра одной и той же программы совпадают друг с другом.

Сигнатура: последовательность команд в программе–вирусе, которая не изменяется при размножении вируса (копировании программы из одного базового файла в другой базовый файл).

Если пользователь обнаружил признаки наличия вируса в памяти своего компьютера, он пересылает в компанию – разработчик антивирусных программ содержимое памяти своего компьютера. Антивирусная компания анализирует присланные файлы и выявляет программу-вирус, выделяет в этой программе сигнатуру, создаёт антивирусную программу, которая может выявить среди множества программ на множестве компьютеров эту сигнатуру и её удалить из файла.

Полиморфик-вирусы созданы таким образом, что они не содержат сигнатуру, т.е. не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения.
ни одного постоянного участка кода. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика; Злоумышленники модифицируют вирусы, чтобы их нельзя было распознать по способу действия или сигнатуре. Создание новой версии дает возможность злоумышленнику заражать новые жертвы, пока создатели антивирусных программ не включат сигнатуру этой версии в свои базы данных. Авторы некоторых вирусов пошли в этом направлении еще дальше и создали полиморфные вирусы, которые постоянно зашифровывают и расшифровывают свою сигнатуру. За счет постоянного видоизменения такие вирусы сложнее обнаружить.

Макро-вирусы - вирусы этого семейства используют возможности макроязыков, встроенных в системы обработки данных (текстовые редакторы, электронные таблицы и т.д.) и в оболочки информационных каналов (Internet Explorer, Outlook Express,).

Макро-вирусы содержат скрытые команды для данных оболочек, которые нежелательны для рядового пользователя. И этот код уже не является кодом для компьютера, то есть это уже не программа, а текст программы, выполняемый оболочкой. Таким образом, он может быть записан в любом необходимом формате:.html,.htm - для Internet Explorer,.doc,.xls,.xlw,.txt,.prt, или любой другой - для Microsoft Office и т. д.. Такие вирусы наносят вред только определенного характера, ведь оболочка не имеет команд, к примеру, для форматирования жесткого диска. Но с помощью скрытых гиперссылок он способен самостоятельно загрузить из Интернета на локальный компьютер тело вируса, а некоторые вирусы способны обновляться и загружаться по частям через Интернет с определенных серверов.

 

Вирусы-трояны.

В античной мифологии Троянский конь – это деревянная модель коня, внутри которой греки проникли в Трою и таким образом смогли покорить и разрушить город.

Вирусы – трояны внешне представляются, как обычные файлы, при чтении имени которых с первого взгляда по якобы типу файла может показаться, что это файл, содержащий картинку.

При заходе на какой-то сайт или при просмотре почтового ящика пользователь видит файл с именем Собачка.jpg. На самом деле в имени файла имеются 50-60 символов «пробел» перед типом файла, на что человек может не обратить внимание. Вследствие привлекательности имени файла человек хочет посмотреть на приятную картинку, но на самом деле человек запускает программу, которая демонстрирует рисунок собачки и дополнительно помещает вредоносную программу в памяти компьютера.

Троянец (троян): программа, которая внешне выглядит как легальный программный продукт, но при запуске совершает вредоносные действия.

Троянские программы не могут распространяться сами по себе, и этим они отличаются от вирусов и червей.

Троян - тип вредоносных программ, основной целью которых является вредоносное воздействие по отношению к компьютерной системе. В данную категорию входят программы, осуществляющие различные несанкционированные пользователем действия: сбор информации и ее передачу злоумышленнику, ее разрушение или злонамеренную модификацию, нарушение работоспособности компьютера, использование ресурсов компьютера в неблаговидных целях.

Трояны пишутся специально для выполнения конкретной зловредной функции. Чаще всего встречаются backdoor-троянцы (утилиты удаленного администрирования, клавиатурные шпионы), трояны-шпионы, трояны для кражи паролей и трояны-прокси, превращающие компьютер в машину для рассылки спама.

Троянские программы могут:

- собирать информа­цию об именах и паролях и передавать ее злоумышленникам для использования ресурсов компьютера в неблаговидных целях,

- нарушать работоспособность компьютера и его файловую систему,

- обновлять свои версии, получать инструкции с заранее подготовленных сайтов или каналов, рассылать спам, осуществлять вирусные атаки.

Логические бомбы — это вирусы, которые активизируются в определенное время или по удаленной команде злоумышленника. После наступления определённого события программа «логическая бомба» реализует своё вредоносное действие

 

Ботнеты (или так называемые зомби-сети) создаются троянцами или другими специальными вредоносными программами и централизованно управляются хозяином, который получает доступ к ресурсам всех зараженных компьютеров и использует их в своих интересах.

Спам: анонимная массовая незапрошенная получателем рассылка сообщений по электронной почте, т.е. электронный эквивалент бумажной рекламной корреспонденции, засоряющей обычные почтовые ящики. Спам чаще всего используется для рекламы товаров и услуг. Спамеры рассылают большое количество рекламных сообщений и наживаются на тех, кто на них отвечает. Кроме того, злоумышленники используют спам для проведения фишинговых атак и распространения вредоносных программ..

Анонимная корреспонденция и реклама забивают каналы связи и почтовые ящики. Ущерб от спама возрастает с каждым годом, так как с непрошеной корреспонденцией часто рассылаются вирусы, троянские программы и сетевые черви.