Общая характеристика и классификация компьютерных вирусов


 

Под компьютерным вирусом (или просто вирусом) понимается автономно функционирующая программа, обладающая способно­стью к самостоятельному внедрению в тела других программ и по­следующему самовоспроизведению и самораспространению в ин­формационно-вычислительных сетях и отдельных ЭВМ.

Предшественниками вирусов принято считать так называемые троянские программы, тела которых содержат скрытые последо­вательности команд (модули), выполняющие действия, наносящие вред пользователям. Наиболее распространенной разновидностью троянских программ являются широко известные программы мас­сового применения (редакторы, игры, трансляторы и т. д.), в кото­рые встроены так называемые «логические бомбы», срабатываю­щие по наступлении некоторого события. Следует отметить, что троянские программы не являются саморазмножающимися.

Принципиальное отличие вируса от троянской программы со­стоит в том, что вирус после его активизации существует само­стоятельно (автономно) и в процессе своего функционирования за­ражает (инфицирует) программы путем включения (имплантации) в них своего текста. Таким образом, компьютерный вирус можно рассматривать как своеобразный «генератор троянских программ». Программы, зараженные вирусом, называются вирусоносителями.

Заражение программы, как правило, выполняется таким обра­зом, чтобы вирус получил управление раньше самой программы. Для этого он либо встраивается в начало программы, либо имплан­тируется в ее тело так, что первой командой зараженной програм­мы является безусловный переход на компьютерный вирус, текст которого заканчивается аналогичной командой безусловного пере­хода на команду вирусоносителя, бывшую первой до заражения. Получив управление, вирус выбирает следующий файл, заражает его, возможно, выполняет какие-либо другие действия, после чего отдает управление вирусоносителю.

«Первичное» заражение происходит в процессе поступления инфицированных программ из памяти одной машины в память другой, причем в качестве средства перемещения этих программ могут использоваться как носители информации (дискеты, опти­ческие диски, флэш-память и т. п.), так и каналы вычислительных сетей. Вирусы, использующие для размножения сетевые средства, принято называть сетевыми.

Цикл жизни вируса обычно включает следующие периоды: вне­дрение, инкубационный, репликации (саморазмножения) и прояв­ления. В течение инкубационного периода вирус пассивен, что усложняет задачу его поиска и нейтрализации. На этапе проявле­ния вирус выполняет свойственные ему целевые функции, напри­мер необратимую коррекцию информации в компьютере или на магнитных носителях.

Физическая "структура компьютерного вируса достаточно про­ста. Он состоит из головы и, возможно, хвоста. Под головой вируса понимается его компонента, получающая управление первой. Хвост — это часть вируса, расположенная в тексте зараженной программы отдельно от головы. Вирусы, состоящие из одной голо­вы, называют несегментированными, тогда как вирусы, содержа­щие голову и хвост, — сегментированными.

Наиболее существенные признаки компьютерных вирусов по­зволяют провести следующую их классификацию (рис. 8.1).

 

Критерии классификации вирусов
По режиму функционирования По режиму внедрения По степени и способу маскировки

           
     

 

 

По режиму функционирования:

— резидентные вирусы (вирусы, которые после активизации постоянно находятся в оперативной памяти компьютера и контро­лируют доступ к его ресурсам);

— транзитные вирусы (вирусы, которые выполняются только в момент запуска зараженной программы).

По объекту внедрения:

— файловые вирусы (вирусы, заражающие файлы с програм­мами);

— загрузочные вирусы (вирусы, заражающие программы, хра­нящиеся в системных областях дисков).

В свою очередь, файловые вирусы подразделяются на вирусы, заражающие:

— исполняемые файлы;

— командные файлы и файлы конфигурации;

— составляемые на макроязыках программирования, или фай­лы, содержащие макросы (макровирусы);

— файлы с драйверами устройств;

файлы с библиотеками исходных, объектных, загрузочных и оверлейных модулей, библиотеками динамической компоновки и т. п.

Загрузочные вирусы подразделяются на вирусы, заражающие:

— системный загрузчик, расположенный в загрузочном секторе дискет и логических дисков;

— внесистемный загрузчик, расположенный в загрузочном секторе жестких дисков.

По степени и способу маскировки:'

— вирусы, не использующие средств маскировки;

— stealth-вирусы (вирусы, пытающиеся быть невидимыми на основе контроля доступа к зараженным элементам данных);

— вирусы-мутанты (MtE-вирусы, содержащие в себе алгорит­мы шифрования, обеспечивающие различие разных копий вируса).

В свою очередь, MtE-вирусы делятся:

— на обычные вирусы-мутанты, в разных копиях которых раз­личаются только зашифрованные тела, а дешифрованные тела ви­русов совпадают;

— полиморфные вирусы, в разных копиях которых различают­ся не только зашифрованные тела, но и их дешифрованные тела.

Наиболее распространенные типы вирусов характеризуются следующими основными особенностями.

Файловый транзитный вирус целиком размещается в исполня­емом файле -, в связи с чем он активизируется только в случае акти­визации вирусоносителя, а по выполнении необходимых действий возвращает управление самой программе. При этом выбор очеред­ного файла для заражения осуществляется вирусом посредством поиска по каталогу.

Файловый резидентный вирус отличается от нерезидентного логической структурой и общим алгоритмом функционирования. Резидентный вирус состоит из так называемого инсталлятора и программ обработки прерываний. Инсталлятор получает управле­ние при активизации вирусоносителя и инфицирует оперативную память путем размещения в ней управляющей части вируса и за­мены адресов в элементах вектора прерываний на адреса своих программ, обрабатывающих эти прерывания. На так называемой фазе слежения, следующей за описанной фазой инсталляции, при возникновении какого-либо прерывания управление получает со­ответствующая подпрограмма вируса. В связи с существенно более универсальной по сравнению с нерезидентными вирусами общей схемой функционирования резидентные вирусы могут реализовывать самые разные способы инфицирования.

Наиболее распространенными способами являются инфициро­вание запускаемых программ, а также файлов при их открытии или чтении. Отличительной особенностью последних является ин­фицирование загрузочного сектора магнитного носителя. Голова загрузочного вируса всегда находится в загрузочном секторе (единственном для гибких дисков и одном из двух — для жестких), а хвост — в любой другой области носителя. Наиболее безопасным для вируса способом считается размещение хвоста в так называе­мых псевдосбойных кластерах, логически исключенных из числа доступных для использования. Существенно, что хвост загрузоч­ного вируса всегда содержит копию оригинального (исходного) за­грузочного сектора.

Stealth-вирусы пользуются слабой защищенностью некоторых операционных систем и заменяют некоторые их компоненты (драйверы дисков, прерывания) таким образом, что вирус становится невидимым (прозрачным) для других программ.

Полиморфные вирусы содержат алгоритм порождения дешиф­рованных тел вирусов, непохожих друг на друга. При этом в алго­ритмах дешифрования могут встречаться обращения практически ко всем командам процессора Intel и даже использоваться некото­рые специфические особенности его реального режима функцио­нирования.

Макровирусы распространяются под управлением прикладных программ, что делает их независимыми от операционной системы. Подавляющее число макровирусов функционирует под управле­нием текстового процессора Microsoft Word. В то же время извест­ны макровирусы, работающие под управлением таких приложе­ний, как Microsoft Excel, Lotus Ami Pro, Lotus 1-2-3, Lotus Notes, в операционных системах фирм Microsoft и Apple.

Сетевые вирусы, называемые также автономными реплика- тивными программами, или, для краткости, репликаторами, ис­пользуют для размножения средства сетевых операционных сис­тем. Наиболее просто реализуется размножение в тех случаях, когда сетевыми протоколами предусмотрен обмен программами. Однако размножение возможно и в тех случаях, когда указанные протоколы ориентированы только на обмен сообщениями. Класси­ческим примером реализации процесса размножения с использо­ванием только стандартных средств электронной почты является репликатор Морриса. Текст репликатора передается от одной ЭВМ к другой как обычное сообщение, постепенно заполняющее буфер, выделенный в оперативной памяти ЭВМ-адресата. В результате переполнения буфера, инициированного передачей, адрес возвра­та в программу, вызвавшую программу приема сообщения, заме­щается на адрес самого буфера, где к моменту возврата уже нахо­дится текст вируса.

Тем самым вирус получает управление и начинает функциони­ровать на ЭВМ-адресате.

«Лазейки», подобные описанной выше и обусловленные особен­ностями реализации тех или иных функций в программном обеспе­чении, являются объективной предпосылкой для создания и вне­дрения репликаторов злоумышленниками. Эффекты, вызываемые вирусами в процессе реализации ими целевых функций, принято делить на следующие группы:

— искажение информации в файлах либо в таблице размеще­ния файлов (FAT-таблице), которое может привести к разруше­нию файловой системы в целом;

— имитация сбоев аппаратных средств;

— создание звуковых и визуальных эффектов, включая, напри­мер, отображение сообщений, вводящих оператора в заблуждение или затрудняющих его работу;

— инициирование ошибок в программах пользователей или операционной системе.



Дата добавления: 2016-09-06; просмотров: 5217;


Поиск по сайту:

Воспользовавшись поиском можно найти нужную информацию на сайте.

Поделитесь с друзьями:

Считаете данную информацию полезной, тогда расскажите друзьям в соц. сетях.
Poznayka.org - Познайка.Орг - 2016-2024 год. Материал предоставляется для ознакомительных и учебных целей.
Генерация страницы за: 0.011 сек.