Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология
Образование Политология Производство Психология Стандартизация Технологии


Классификация компьютерных вирусов.

⇐ ПредыдущаяСтр 2 из 2


В настоящее время насчитывается более 40 тыс. только зарегистрированных компьютерных вирусов. Так как подавляющее большинство вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам.

Все компьютерные вирусы могут быть классифицированы по следующим признакам:

- по среде обитания;

- по способу заражения;

- по степени опасности деструктивных (вредительских) воздействий;

- по алгоритму функционирования.

По среде обитания компьютерные вирусы делятся на:

- сетевые (средой обитания являются элементы компьютерных сетей);

- файловые (размещаются в исполняемых файлах);

- загрузочные (находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах);

- комбинированные (размещаются в нескольких средах обитания). Пример - загрузочно-файловые вирусы.

По способу заражения среды обитания компьютерные вирусы делятся на:

- резидентные (после их активации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ). Эти вирусы используют, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию;

- нерезидентные (попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным).

По степени опасности для информационных ресурсов пользователя компьютерные вирусы подразделяются на:

- безвредные вирусы (их авторы не преследуют деструктивных целей, а руководствуются попыткой самоутверждения и, как правило, ограничиваются выводом на экран монитора невинных картинок и текстов, исполнению музыкальных фрагментов и пр. Однако такие вирусы расходуют ресурсы КС, могут содержать ошибки, вызывающие серьезные последствия для информационных ресурсов КС, могут приводить к нарушениям штатного алгоритма работы системы);

- опасные вирусы (вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых материальных и временных ресурсов. Пример – вирусы, занимающие оперативную память и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т.п.);

- очень опасные вирусы (вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т.п. Известны публикации, по которым вирусы вызывали неисправности аппаратных средств, например, на резонансной частоте движущиеся части электромеханических устройств могут быть разрушены; интенсивное использование отдельных электронных схем (БИС) может вызвать их перегрев и выход из строя; некоторые вирусы изменяют программы BIOS, что приводит к необходимости замены ПЗУ; возможны воздействия на психику человека – 25-й кадр, воспринимаемого на подсознательном уровне: в 1997 г. 700 японцев попали в больницу с признаками эпилепсии после просмотра компьютерного мультфильма по телевидению).

В соответствии с особенностями алгоритма функционирования вирусы могут быть разделены на:

- вирусы, не изменяющие среду обитания (файлы и секторы) при распространении:

* вирусы-«спутники» (companion) – не изменяют файлы, а создают копии исполняемых файлов с расширением.EXE, присваивая им расширение.COM, которые запускаются первыми, но затем запускают и файл с расширением.EXE;

* вирусы-«черви» (worm) – попадают в рабочую станцию из сети, вычисляют адреса рассылки вируса по другим абонентам сети и осуществляют передачу вируса. Вирус не изменяет файлов и не записывается в загрузочные секторы дисков. Некоторые вирусы-«черви» создают рабочие копии вируса на диске, другие размещаются только в оперативной памяти ЭВМ и, делятся в геометрической прогрессии с коэффициентом 2 забивают оперативную память;

- вирусы, изменяющие среду обитания при распространении делятся на:

* студенческие (их создатели имеют низкую квалификацию, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются);

* «стелс»-вирусы (вирусы-невидимки) – маскируют свое присутствие в среде обитания путем перехвата обращений операционной среды к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в т.ч. и по маскировке, и толь ко затем управление передается на программы ОС, обрабатывающие эти прерывания. Обладают способностью противодействовать резидентным антивирусным средствам;

* полиморфные – не имеют постоянных опознавательных групп – сигнатур (сигнатуры используются на этапе распространения вирусов для того, чтобы избежать многократного заражения одних и тех же объектов, так как при многократном заражении объекта значительно возрастает вероятность обнаружения вируса). Для устранения демаскирующих признаков полиморфные вирусы используют шифрование тела вируса и модификацию программы шифрования, за счет чего они не имеют совпадений кодов. После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Затем вирус осуществляет функцию внедрения в незараженную среду обитания и, если выполняет деструктивную функцию, то делает это либо безусловно, либо при выполнении определенных условий.

Файловые вирусы.

Файловые вирусы могут внедряться только в исполняемые файлы: командные файлы (файлы, состоящие из команд операционной системы), саморазархивирующиеся файлы, пользовательские и системные программы в машинных кодах, а также в документы (таблицы), имеющие макрокоманды (макросы).

Для IBM – совместимых ПЭВМ вирус может внедряться в файлы следующих типов: командные файлы (BAT), загружаемые драйверы (SYS), программы в машинных (двоичных) кодах (EXE, COM), документы Word (DOC) с версии 6.0 и выше, таблицы EXCEL (XLS). Макровирусы могут внедряться и в другие файлы, содержащие макрокоманды.

Файловые вирусы могут размещаться в начале, середине и конце заражаемого файла.

Независимо от места расположения вируса в теле зараженного файла после передачи управления файлу первыми выполняются команды вируса.

В начало файла вирус внедряется одним из трех способов:

первый – заключается в переписывании файла в его конец, а на освободившееся место записывается вирус;

второй – предполагает считывание вируса и зараженного файла в оперативную память, объединение их в один файл и запись его на место файла;

третий – вирус записывается в начало файла без сохранения содержимого (в этом случае зараженный файл становится неработоспособным).

В середину файла вирус также может быть записан различными способами:

первый – файл может «раздвигаться», а в освободившееся место может быть записан вирус;

второй – вирус может внедряться в середину файла без сохранения участка файла, на место которого помещается вирус;

третий – (вирус «Mutant») применяет метод сжатия отдельных участков файла, при этом длина файла после внедрения вируса может не измениться.

Чаще всего вирус внедряется в конец файла, при этом первые команды файла заменяются командами перехода на тело вируса.

Алгоритм работы файлового вируса может быть следующим:

1) резидентный вирус проверяет, заражена ли оперативная память, и при необходимости заражает ее. Нерезидентный вирус ищет незараженные файлы и заражает их;

2) выполняются действия по сохранению работоспособности программы, в файл которой внедряется вирус (восстановление первых байт программы, настройка адресов программ и т.д.);

3) осуществляется деструктивная функция вируса, если выполняются соответствующие условия;

4) передается управление программе, в файле которой находится вирус.

Для существования макровирусов (вирусы, написанные на макроязыках, встроенные в текстовые редакторы, электронные таблицы и др.) в конкретной системе (редакторе) необходимо, чтобы встроенный в нее макроязык имел следующие возможности:

- привязку программы на макроязыке к конкретному файлу;

- копирование макропрограмм из одного файла в другой;

- получение управления макропрограммой без вмешательства пользователя.

Таким условиям отвечают редакторы MS Word, MS Office, Ami Pro, табличный процессор MS Excel (в этих системах используются макроязыки Word Basic и Visual Basic).

При выполнении определенных действий над файлами, содержащими макропрограммы (открытие, сохранение, закрытие и т.д.) автоматически выполняются макропрограммы файлов. При этом управление получают макровирусы, которые сохраняют активность до тех пор, пока активен соответствующий редактор (процессор). Поэтому при работе с другим файлом в «зараженном редакторе (процессоре)» он также заражается.

Загрузочные вирусы.

Загрузочные вирусы заражают загрузочные (Boot) сектора гибких дисков и Boot-сектора или Master Boot Record (MBR) жестких дисков.

Загрузочные вирусы являются резидентными. Заражение происходит при загрузке операционной системы с дисков.

После включения ЭВМ осуществляется контроль ее работоспособности с помощью программы, записанной в ПЗУ. Если проверка успешно завершилась, то осуществляется считывание первого сектора с гибкого или жесткого диска (порядок использования дисководов для загрузки задается пользователем при помощи программы Setup). Если диск, с которого производится загрузка ОС, заражен загрузочным вирусом, то обычно выполняются следующие шаги:

1) считанный из 1-го сектора диска загрузочный вирус (часть вируса) получает управление, уменьшает объем свободной памяти ОП и считывает с диска тело вируса;

2) вирус переписывает сам себя в другую область ОП, чаще всего – в старшие адреса памяти;

3) устанавливаются необходимые вектора прерываний (вирус резидентный);

4) при выполнении определенных условий производятся деструктивные действия;

5) копируется Boot-сектор в ОП и передается ему управление.

Если вирус был активизирован с гибкого диска, то он записывается в загрузочный сектор жесткого диска. Активный вирус, постоянно находясь в ОП, заражает загрузочные сектора всех гибких дисков, а не только системные диски.


⇐ Предыдущая12
Поделиться:



Популярное:

  1. F. МЕЖДУНАРОДНАЯ ПАТЕНТНАЯ КЛАССИФИКАЦИЯ (МПК)
  2. I. Классификация активов по составу и размещению
  3. VII.1. Классификация неформальных подростковых групп.
  4. АНТРОПОЛОГИЧЕСКАЯ КЛАССИФИКАЦИЯ
  5. Ареальная классификация языков
  6. Артикуляторная классификация звуков речи (гласных и согласных)
  7. Аюрведическая классификация болезней
  8. Биологические функции и пищевая ценность углеводов. Классификация углеводов, нормы потребления
  9. Возрастная периодизация, классификация периодизаций психического развития по Л.С. Выготскому.
  10. ВОПРОС 13. Классификация сталей по структуре и назначению.
  11. Вопрос 18 Антропологическая классификация
  12. ВОПРОС 19. Классификация средств социально-культурной деятельности

Последнее изменение этой страницы: 2016-03-17; Просмотров: 2254; Нарушение авторского права страницы


lektsia.com 2007 - 2024 год. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав! (0.018 с.)
Главная | Случайная страница | Обратная связь