Класифікація комп'ютерних вірусів
ПОНЯТТЯ Про ВИДАХ ВІРУСІВ
Вірус, як програма, складається з двох частин: механізм розмноження і начинка. Механізм розмноження визначає спосіб, яким копії вірусу створюються, поширюються і запускаються. Начинка є додаткове поведінку вірусу (крім розмноження) на зараженому комп'ютері.
Всі комп'ютерні віруси можуть бути класифіковані за такими ознаками:
1) по природному середовищі;
2) за способом зараження;
3) за ступенем небезпеки деструктивних (шкідницьких) впливів;
4) за алгоритмом функціонування.
За середовищі існування комп'ютерні віруси діляться на:
Середовищем існування мережевих вірусів є елементи комп'ютерних мереж. Файлові віруси розміщуються у виконуваних файлах. Завантажувальні віруси знаходяться в завантажувальних секторах (галузях) зовнішніх запам'ятовуючих пристроїв (boot # 8208; секторах). Іноді завантажувальні віруси називають бутовими. Комбіновані віруси розміщуються в декількох середовищах існування. Прикладом таких вірусів служать завантажувально # 8208; файлові віруси. Ці віруси можуть розміщуватися як в завантажувальних секторах накопичувачів на магнітних дисках, так і в тілі завантажувальних файлів.
За способом зараження довкілля комп'ютерні віруси діляться на:
Резидентні віруси після їх активізації повністю або частково переміщуються з місця існування (мережа, завантажувальний сектор, файл) в оперативну пам'ять ЕОМ. Ці віруси, використовуючи, як правило, привілейовані режими роботи, дозволені тільки операційній системі, заражають середовище проживання і при виконанні певних умов реалізують деструктивну функцію. На відміну від резидентних нерезидентні віруси потрапляють в оперативну пам'ять ЕОМ тільки на час їх активності, протягом якого виконують деструктивну функцію та функцію зараження. Потім віруси повністю залишають оперативну пам'ять, залишаючись в середовищі існування. Якщо вірус поміщає в оперативну пам'ять програму, яка заражає середовище проживання, то такий вірус вважається нерезидентом.
За ступенем небезпеки для інформаційних ресурсів користувача комп'ютерні віруси можна розділити на:
1) нешкідливі віруси;
2) небезпечні віруси;
3) дуже небезпечні віруси.
Однак при всій удаваній безневинність таких вірусів вони завдають певної шкоди КС. По-перше, такі віруси витрачають ресурси КС, в тій чи іншій мірі знижуючи її ефективність функціонування. По-друге, комп'ютерні віруси можуть містити помилки, що викликають небезпечні наслідки для інформаційних ресурсів КС.
Крім того, при модернізації операційної системи або апаратних засобів КС віруси, створені раніше, можуть призводити до порушень штатного алгоритму роботи системи.
До небезпечних відносяться віруси, які викликають суттєве зниження ефективності КС, але не призводять до порушення цілісності та конфіденційності інформації, що зберігається в запам'ятовуючих пристроях. Наслідки таких вірусів можуть бути ліквідовані без особливих витрат матеріальних і часових ресурсів. Прикладами таких вірусів є віруси, що займають пам'ять ЕОМ і канали зв'язку, але не блокують роботу мережі; віруси, що викликають необхідність повторного виконання програм, перезавантаження операційної системи або повторної передачі даних по каналах зв'язку і т.п.
Дуже небезпечними слід вважати віруси, що викликають порушення конфіденційності, знищення, необоротну модифікацію (у тому числі і шифрування) інформації, а також віруси, які блокують доступ до інформації, що призводять до відмови апаратних засобів і завдають шкоди здоров'ю користувачам. Такі віруси стирають окремі файли, системні області пам'яті, форматують диски, отримують несанкціонований доступ до інформації, шифрують дані і т.п.
Деякі віруси, викликають несправності апаратних засобів. На резонансній частоті рухомі частини електромеханічних пристроїв, наприклад в системі позиціонування накопичувача на магнітних дисках, можуть бути зруйновані. Саме такий режим і може бути створений за допомогою програми # 8208; вірусу. Можливо завдання режимів інтенсивного використання окремих електронних схем (наприклад, великих інтегральних схем), при яких настає їх перегрів і вихід з ладу.
Використання в сучасних ПЕОМ постійної пам'яті з можливістю перезапису призвело до появи вірусів, які змінюють програми BIOS, що призводить до необхідності заміни постійних запам'ятовуючих пристроїв.
Відповідно до особливостей алгоритму функціонування віруси можна розділити на два класи:
1) віруси, що не змінюють середовище проживання (файли і сектори) при поширенні;
2) віруси, що змінюють місце існування для розповсюдження.
У свою чергу, віруси, що не змінюють середовище проживання. можуть бути розділені на дві групи:
1) віруси - «супутники» (сотраniоп);
2) віруси - «черв'яки» (worm).
Віруси - «супутники» не змінюють файли. Механізм їх дії полягає в створенні копій файлів, що виконуються. Наприклад, в MS # 8208; DOS такі віруси створюють копії для файлів, що мають розширення ЕХЕ.
Копії присвоюється той же ім'я, що і виконуваного файлу, але розширення змінюється на СОМ. При запуску файлу з загальним ім'ям операційна система першим завантажує на виконання файл з розширенням СОМ, який є програмою # 8208; вірусом. Файл # 8208; вірус запускає потім і файл з розширенням ЕХЕ.
За складністю, ступеня досконалості і особливостям маскування алгоритмів віруси, що змінюють місце існування. поділяються на:
2) «стелс» -віруси (віруси-невидимки);
До студентських відносять віруси, творці яких мають низьку кваліфікацію. Такі віруси, як правило, є нерезидентними, часто містять помилки, досить просто виявляються і видаляються.
«Стелc» -віруси і поліморфні віруси створюються кваліфікованими фахівцями, які добре знають принцип роботи апаратних засобів і операційної системи, а також володіють навичками роботи з машиноорієнтованої системами програмування.
Поліморфні віруси не мають постійних розпізнавальних груп - сигнатур. Звичайні віруси для розпізнавання факту зараження довкілля розміщують в зараженому об'єкті спеціальну розпізнавальну двійкову послідовність або послідовність символів (сигнатуру), яка однозначно ідентифікує зараженість файлу або сектора. Сигнатури використовуються на етапі поширення вірусів для того, щоб уникнути багаторазового зараження одних і тих же об'єктів, так як при багаторазовому зараженні об'єкта значно зростає ймовірність виявлення вірусу. Для усунення демаскирующих ознак поліморфні віруси використовують шифрування тіла вірусу і модифікацію програми шифрування. За рахунок такого перетворення поліморфні віруси не мають збігів кодів.
Будь-вірус, незалежно від приналежності до певних класів, повинен мати три функціональних блоки: блок зараження (поширення), блок маскування і блок виконання деструктивних дій. Поділ на функціональні блоки означає, що до певного блоку відносяться команди програми вірусу, що виконують одну з трьох функцій, незалежно від місця знаходження команд в тілі вірусу.
Після передачі управління вірусу, як правило, виконуються певні функції блоку маскування. Наприклад, здійснюється розшифрування тіла вірусу. Потім вірус здійснює функцію впровадження в незараженную середовище проживання. Якщо вірусом повинні виконуватися деструктивні дії, то вони виконуються або безумовно, або при виконанні певних умов.
Завершує роботу вірусу завжди блок маскування. При цьому виконуються, наприклад, такі дії: шифрування вірусу (якщо функція шифрування реалізована), відновлення старої дати зміни файлу, відновлення атрибутів файлу, коригування таблиць ОС і ін.
Останньою командою вірусу виконується команда переходу на виконання заражених файлів або на виконання програм ОС.
Для зручності роботи з відомими вірусами використовуються каталоги вірусів. В каталог поміщаються такі відомості про стандартні властивості вірусу: ім'я, довжина, заражає файли, місце впровадження в файл, метод зараження, спосіб впровадження в ОП для резидентних вірусів, що викликаються ефекти, наявність (відсутність) деструктивної функції і помилки. Наявність каталогів дозволяє при описі вірусів вказувати тільки особливі властивості, опускаючи стандартні властивості і дії.