Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Классификация компьютерных вирусов. ⇐ ПредыдущаяСтр 2 из 2
В настоящее время насчитывается более 40 тыс. только зарегистрированных компьютерных вирусов. Так как подавляющее большинство вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам: - по среде обитания; - по способу заражения; - по степени опасности деструктивных (вредительских) воздействий; - по алгоритму функционирования. По среде обитания компьютерные вирусы делятся на: - сетевые (средой обитания являются элементы компьютерных сетей); - файловые (размещаются в исполняемых файлах); - загрузочные (находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах); - комбинированные (размещаются в нескольких средах обитания). Пример - загрузочно-файловые вирусы. По способу заражения среды обитания компьютерные вирусы делятся на: - резидентные (после их активации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ). Эти вирусы используют, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию; - нерезидентные (попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным). По степени опасности для информационных ресурсов пользователя компьютерные вирусы подразделяются на: - безвредные вирусы (их авторы не преследуют деструктивных целей, а руководствуются попыткой самоутверждения и, как правило, ограничиваются выводом на экран монитора невинных картинок и текстов, исполнению музыкальных фрагментов и пр. Однако такие вирусы расходуют ресурсы КС, могут содержать ошибки, вызывающие серьезные последствия для информационных ресурсов КС, могут приводить к нарушениям штатного алгоритма работы системы); - опасные вирусы (вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых материальных и временных ресурсов. Пример – вирусы, занимающие оперативную память и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т.п.); - очень опасные вирусы (вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т.п. Известны публикации, по которым вирусы вызывали неисправности аппаратных средств, например, на резонансной частоте движущиеся части электромеханических устройств могут быть разрушены; интенсивное использование отдельных электронных схем (БИС) может вызвать их перегрев и выход из строя; некоторые вирусы изменяют программы BIOS, что приводит к необходимости замены ПЗУ; возможны воздействия на психику человека – 25-й кадр, воспринимаемого на подсознательном уровне: в 1997 г. 700 японцев попали в больницу с признаками эпилепсии после просмотра компьютерного мультфильма по телевидению). В соответствии с особенностями алгоритма функционирования вирусы могут быть разделены на: - вирусы, не изменяющие среду обитания (файлы и секторы) при распространении: * вирусы-«спутники» (companion) – не изменяют файлы, а создают копии исполняемых файлов с расширением.EXE, присваивая им расширение.COM, которые запускаются первыми, но затем запускают и файл с расширением.EXE; * вирусы-«черви» (worm) – попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие размещаются только в оперативной памяти ЭВМ и, делятся в геометрической прогрессии с коэффициентом 2 забивают оперативную память; - вирусы, изменяющие среду обитания при распространении делятся на: * студенческие (их создатели имеют низкую квалификацию, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются); * «стелс»-вирусы (вирусы-невидимки) – маскируют свое присутствие в среде обитания путем перехвата обращений операционной среды к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в т.ч. и по маскировке, и толь ко затем управление передается на программы ОС, обрабатывающие эти прерывания. Обладают способностью противодействовать резидентным антивирусным средствам; * полиморфные – не имеют постоянных опознавательных групп – сигнатур (сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса). Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования, за счет чего они не имеют совпадений кодов. После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Затем вирус осуществляет функцию внедрения в незараженную среду обитания и, если выполняет деструктивную функцию, то делает это либо безусловно, либо при выполнении определенных условий. Файловые вирусы. Файловые вирусы могут внедряться только в исполняемые файлы: командные файлы (файлы, состоящие из команд операционной системы), саморазархивирующиеся файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды (макросы). Для IBM – совместимых ПЭВМ вирус может внедряться в файлы следующих типов: командные файлы (BAT), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (EXE, COM), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS). Макровирусы могут внедряться и в другие файлы, содержащие макрокоманды. Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла. Независимо от места расположения вируса в теле зараженного файла после передачи управления файлу первыми выполняются команды вируса. В начало файла вирус внедряется одним из трех способов: первый – заключается в переписывании файла в его конец, а на освободившееся место записывается вирус; второй – предполагает считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла; третий – вирус записывается в начало файла без сохранения содержимого (в этом случае зараженный файл становится неработоспособным). В середину файла вирус также может быть записан различными способами: первый – файл может «раздвигаться», а в освободившееся место может быть записан вирус; второй – вирус может внедряться в середину файла без сохранения участка файла, на место которого помещается вирус; третий – (вирус «Mutant») применяет метод сжатия отдельных участков файла, при этом длина файла после внедрения вируса может не измениться. Чаще всего вирус внедряется в конец файла, при этом первые команды файла заменяются командами перехода на тело вируса. Алгоритм работы файлового вируса может быть следующим: 1) резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их; 2) выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т.д.); 3) осуществляется деструктивная функция вируса, если выполняются соответствующие условия; 4) передается управление программе, в файле которой находится вирус. Для существования макровирусов (вирусы, написанные на макроязыках, встроенные в текстовые редакторы, электронные таблицы и др.) в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел следующие возможности: - привязку программы на макроязыке к конкретному файлу; - копирование макропрограмм из одного файла в другой; - получение управления макропрограммой без вмешательства пользователя. Таким условиям отвечают редакторы MS Word, MS Office, Ami Pro, табличный процессор MS Excel (в этих системах используются макроязыки Word Basic и Visual Basic). При выполнении определенных действий над файлами, содержащими макропрограммы (открытие, сохранение, закрытие и т.д.) автоматически выполняются макропрограммы файлов. При этом управление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). Поэтому при работе с другим файлом в «зараженном редакторе (процессоре)» он также заражается. Загрузочные вирусы. Загрузочные вирусы заражают загрузочные (Boot) сектора гибких дисков и Boot-сектора или Master Boot Record (MBR) жестких дисков. Загрузочные вирусы являются резидентными. Заражение происходит при загрузке операционной системы с дисков. После включения ЭВМ осуществляется контроль ее работоспособности с помощью программы, записанной в ПЗУ. Если проверка успешно завершилась, то осуществляется считывание первого сектора с гибкого или жесткого диска (порядок использования дисководов для загрузки задается пользователем при помощи программы Setup). Если диск, с которого производится загрузка ОС, заражен загрузочным вирусом, то обычно выполняются следующие шаги: 1) считанный из 1-го сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной памяти ОП и считывает с диска тело вируса; 2) вирус переписывает сам себя в другую область ОП, чаще всего – в старшие адреса памяти; 3) устанавливаются необходимые вектора прерываний (вирус резидентный); 4) при выполнении определенных условий производятся деструктивные действия; 5) копируется Boot-сектор в ОП и передается ему управление. Если вирус был активизирован с гибкого диска, то он записывается в загрузочный сектор жесткого диска. Активный вирус, постоянно находясь в ОП, заражает загрузочные сектора всех гибких дисков, а не только системные диски. Популярное:
|
Последнее изменение этой страницы: 2016-03-17; Просмотров: 2320; Нарушение авторского права страницы