Имеет ли она общее с классификацией биологических вирусов?

Принято разделять вирусы по следующим параметрам:

- поражаемым объектам (файловые вирусы, загрузочные

вирусы и др.);

- поражаемым операционным системам и платформам (DOS,

Microsoft Windows, Unix, Linux, Java и др.);

- технологиям заражения (полиморфные вирусы, стелс-вирусы);

- языку программирования, на котором написан вирус (C++,

VisualBasic и др.);

- последствиям функционирования вируса.

Рассмотрим более подробно данную классификацию.

По поражаемым объектам (среде обитания) вирусы разделят на файловые, загрузочные, макро-вирусы, сетевые вирусы, скриптовые вирусы, файло-загрузочные и другие сочетания.

По способу заражения файловые вирусы (вирусы, внедряющие свой код в исполняемые файлы: командные, программы, драйверы, исходный код программ и др.) разделяют на типы:

- перезаписывающие (overwriting);

- паразитические (parasitic);

- вирусы-компаньоны (companion);

- вирусы-ссылки (link);

- вирусы, заражающие объектные модули (OBJ);

- вирусы, заражающие библиотеки компиляторов (LIB);

- вирусы, заражающие исходные тексты программ;

- сетевые вирусы.

Перезаписывающие вирусы записывают свое тело вместо кода программы (не меняя названия исполняемого файла). При этом файл перестает работать и не восстанавливается. Такие вирусы очень быстро обнаруживают себя, так как операционная система и приложения довольно быстро выходят из строя.

Компаньон-вирусы, в отличие от перезаписывающих, не уничтожают оригинальный файл, а только переименовывают или перемещают его. В следствие подобной деятельности при запуске программы вначале выполняется код вируса, и только затем осуществляется выполнение оригинальной программы. Например, файл NOTEPAD.EXE переименовывается в NOTEPAD.EXD, а вирус записывается под именем NOTEPAD.EXE. При запуске управление получает код вируса, который затем запускает оригинальный NOTEPAD.

Существуют вирусы, которые не связывают свое присутствие с каким-либо выполняемым файлом. При размножении они всего лишь копируют свой код в какие-либо каталоги дисков в надежде, что эти новые копии будут когда-либо запущены пользователем. Иногда эти вирусы дают своим копиям «специальные» имена, чтобы подтолкнуть пользователя на запуск своей копии - например, INSTALL.EXE или WINSTART.BAT.

Некоторые вирусы записывают свои копии в архивы (ARJ, ZIP, RAR). Другие записывают команду запуска зараженного файла в BAT-файлы.

Link-вирусы также не изменяют физического содержимого файлов, однако при запуске зараженного файла «заставляют» ОС выполнить свой код.

Файловые черви создают собственные копии с привлекательными для пользователя названиями (например Game.exe, install.exe и др.) в надежде на то, что пользователь их запустит.

В 1988 г. Робертом Моррисом-младшим был создан первый массовый сетевой червь, рассчитанный на поражение операционных систем UNIX Berkeley 4.3, SUN. Вирус изначально разрабатывался как безвредный и имел целью лишь скрытно проникнуть в вычислительные системы, связанные сетью ARPANET и остаться там необнаруженным. Вирусная программа включала компоненты, позволяющие раскрывать пароли,

существующие в инфицируемой системе, что, в свою очередь, позволяло программе маскироваться под задачу легальных пользователей системы, на самом деле занимаясь размножением и рассылкой копий. Вирус не остался полностью безопасным, а из-за недочетов программиста привел к неуправляемому

саморазмножению. По самым скромным оценкам, инцидент с червём Морриса стоил свыше 8 миллионов часов потери доступа и свыше миллиона часов прямых потерь на восстановление работоспособности систем.

Сетевой червь Lovesan, появившийся в августе 2003 года, использовал для своего распространения критическую уязвимость в операционной системе Windows. За считанные дни ему удалось заразить миллионы компьютеров по всему миру. Использованный им принцип размножения через глобальную сеть Интернет с непосредственной атакой заражаемого компьютера был впервые реализован еще в 1988 году в первом в истории сетевом черве Морриса.

Деятельность паразитических вирусов приводит к изменению содержимого файла за счет добавления в него вирусного кода (в начало, середину или конец программы). При этом сами файлы остаются полностью или частично работоспособными.

Следует отметить довольно незначительную группу вирусов, не имеющих «точки входа» (EPO-вирусы - Entry Point Obscuring viruses). К ним относятся вирусы, не изменяющие адрес точки старта в заголовке EXE-файлов.

Известные на текущий момент загрузочные вирусы заражают загрузочный (boot) сектор гибкого диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера - после необходимых тестов установленного оборудования (памяти, дисков и т.д.) программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.

При заражении дисков загрузочные вирусы «подставляют» свой код вместо какой-либо программы, получающей управление при загрузке системы. Принцип заражения, таким образом, одинаков во всех описанных выше способах: вирус «заставляет» систему при ее перезапуске считать в память и отдать управление не оригинальному коду загрузчика, но коду вируса.

Заражение дискет производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты.

Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Наибольшее распространение получили макро-вирусы для Microsoft Office (Word, Excel и PowerPoint).

Физическое расположение вируса внутри файла MS Office зависит от его формата, который в случае продуктов Microsoft чрезвычайно сложен — каждый файл-документ Word, Office97 или таблица Excel представляют собой последовательность блоков данных (каждый из которых также имеет свой формат), объединенных между собой при помощи большого количества служебных данных.

При работе с документами и таблицами MS Office выполняет различные действия: открывает документ, сохраняет, печатает, закрывает и т.д. При этом MS Word, например, ищет и выполняет соответствующие «встроенные макросы» — при сохранении файла по команде File/Save вызывается макрос FileSave, при сохранении по команде File/SaveAs — FileSaveAs, при печати документов — FilePrint и т.д., если, конечно, таковые макросы определены.

Существует также несколько «автомакросов», автоматически вызываемых при различных условиях. Например, при открытии документа MS Word проверяет его на наличие макроса AutoOpen. Если такой макрос присутствует, то Word выполняет его.

Макро-вирусы, поражающие файлы MS Office, как правило, пользуются одним из перечисленных выше приемов — в вирусе либо присутствует авто-макрос (авто-функция), либо переопределен один из стандартных системных макросов (ассоциированный с каким-либо пунктом меню), либо макрос вируса вызывается автоматически при нажатии на какую-либо клавишу или комбинацию клавиш. Получив управление, макровирус переносит свой код в другие файлы, обычно в файлы, которые редактируются в данный момент. Реже макро- вирусы самостоятельно ищут другие файлы на диске.

Скрипт-вирусы написаны на различных скрипт-языках (VBS, JS, BAT, и т.д.) и заражают либо другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Компьютерные вирусы, черви, троянские программы

существуют для десятков операционных систем. В то же время имеется немало операционных систем и приложений, в которых вирусы не имеют успеха. Что является причиной существования вредных программ в одних системах и отсутствия их в других?

Причиной появления подобных программ в конкретной операционной системе или приложении является одновременное выполнение следующих условий:

- популярность, широкое распространение данной системы;

- наличие разнообразной и достаточно полной документации

по системе;

- незащищенность системы или существование известных

уязвимостей в системе безопасности.

Каждое перечисленное условие является необходимым, а выполнение всех трех условий одновременно является достаточным для появления разнообразных вирусов и вредоносных программ.

Рассмотрим некоторые примеры истории вирусов,

распространяемых в различных типах операционных систем.

В 1995 году, когда официально вышла новая версия Windows95, Билл Гейтс официально заявил, что с вирусной угрозой теперь покончено - на момент выхода Windows была полностью устойчива к имеющимся DOS вирусам. Однако уже в августе того года появляется первый вирус для Microsoft Word (Concept), который за несколько недель распространился по всему миру. В 1996 году появился первый вирус для Windows95 - Win95.Boza. В декабре 1996 г. появился Win95.Punch - первый резидентный вирус для Win95. Февраль 1997 г. отмечен появлением первых макровирусов для Office97. В апреле 1997 года появляется и первый сетевой червь, использующий для своего распространения File Transfer Protocol (ftp). А в декабре 1997 года появилась новая форма сетевых вирусов - черви mIRC. Начало 1998 года отмечено эпидемией целого семейства вирусов Win32.HLLP.DeTroie, не только заражавших выполняемые файлы Windows32, но и способных передать своему «хозяину» информацию о зараженном компьютере.

В июне 1996 г. появился «OS2.AEP» - первый вирус для OS/2, заражающий EXE-файлы этой операционной системы. Первые Unix-подобные вирусы были написаны Ф. Коэном в ходе проведения его экспериментов.

Первый вирус для Linux (Bliss) появился в конце сентября 1996 года.

По технологии заражения (алгоритму работы) вирусы подразделяются на резидентные, стелс-вирусы, полиморфичные

вирусы.

Технология заражения резидентным вирусом основана на сохранении в оперативной памяти его резидентной части. Она позволяет перехватывать обращения операционной системы к объектам заражения.

Стелс-вирус (англ. stealth virus - вирус-невидимка) - вирус, который полностью или частично скрывает свое присутствие в операционной системе. Это возможно лишь за счет перехвата им таких обращений к системе, как чтение, запись и другой дополнительной информации о зараженных объектах (загрузочных секторах, элементах файловой системы, памяти и т.д.).

Полиморфные вирусы (берут свое название от греч. сл. «полиморфизм»). Полиморфизм заключается в формировании кода вируса «на лету» - уже во время его исполнения. (Сравните с постоянно мутирующими штаммами вируса гриппа!). При этом сама процедура, формирующая код, видоизменяется при каждом новом заражении. Первый известный полиморфный вирус (назывался 1260) был написан Марком Вашбёрном в 1990 году.

По деструктивным возможностям вирусы можно разделить следующим образом:

- безвредные (не влияют на работу ПК (кроме уменьшения свободной памяти на диске в результате своего распространения);

- относительно неопасные (их деятельность вызывает различные звуковые, графические эффекты);

- опасные вирусы (их деятельность вызывает серьезные повреждения и сбои в работе компьютера;

- особо опасные (могут привести к потере программ и уничтожению данных).

Что является причиной массового инфицирования ПК и позволяет говорить об эпидемии? Ответ очевиден - массовое производство ПК, а также их объединение посредством

компьютерных сетей!

Приведем только один пример. На компьютерную систему организационного комитета Чемпионата мира по футболу 2006 года обрушилось несколько миллионов электронных писем с червями Sober, которые спровоцировали спонтанные перезагрузки системы, сообщает Associated Press. Экспертами по безопасности установлено, что копии вируса содержались во вложенном файле к письмам, рассылавшихся с электронных адресов ticket@fifa.de и gewinn@fifa.de. Информация, содержащаяся в электронных посланиях, сообщала получателю о том, что он стал счастливым обладателем билетов на Чемпионат мира по футболу 2006 года в Германии.

Эксперты компании Sophos подтвердили, что причиной всему стал именно червь Sober, который активируется только после открытия вложенного файла, в котором и находится сам вирус. После этого червь самостоятельно организует массовую рассылку самого себя по всем электронным адресам, которые он обнаружил в недрах компьютера пользователя.