Классификация вирусов. 
Компьютерные вирусы. 
Принципы действия, способы защиты от компьютерных вирусов

В настоящее время не существует единой системы классификации и именования вирусов, однако, в различных источниках можно встретить разные классификации. Помимо вирусов существует различные вредоносные программы и шпионские программы не являющиеся по своей сути вирусами на приносящие вред пользователю. Классификация вирусов представлена на рисунке 1.

Рисунок 1 — Классификация компьютерных вирусов.

Характеристика компьютерных вирусов

По среде обитания

Под «средой обитания» понимаются системные области компьютера, операционные системы или приложения, в компоненты (файлы) которых внедряется код вируса.

Загрузочные — записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.

Рассмотрим схему функционирования очень простого загрузочного вируса, заражающего дискеты. При включении компьютера первым делом управление передается программе начальной загрузки, которая хранится в постоянно запоминающем устройстве (ПЗУ). Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А.

Всякая дискета размечена на секторы и дорожки. Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд. Среди служебных секторов содержится сектор начальной загрузки (boot-sector).

В секторе начальной загрузки хранится информация о дискете — количество поверхностей, количество дорожек, количество секторов и пр. Также там хранится небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление.

Таким образом, нормальная схема начальной загрузки следующая:

ПЗУ — ПНЗ (диск) — СИСТЕМА Рассмотрим вирус. В загрузочных вирусах выделяют две части — голову и хвост.

К примеру, имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась подходящая жертва — в нашем случае не защищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия: выделяет некоторую область диска и помечает ее как недоступную операционной системе, копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор, замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой и организует цепочку передачи управления согласно схеме.

Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке ПЗУ — ПНЗ (диск) — СИСТЕМА появляется новое звено:

ПЗУ — ВИРУС — ПНЗ (диск) — СИСТЕМА Это схема функционирования простого бутового вируса, живущего в загрузочных секторах дискет.

Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).

Рассмотрим схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину».

Вирус ищет новый объект для заражения — подходящий по типу файл, который еще не заражен (в том случае, если вирус «приличный», а то попадаются такие, что заражают сразу, ничего не проверяя). Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции — размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) — это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код — следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

он не обязан менять длину файла.

неиспользуемые участки кода.

не обязан менять начало файла Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код. Нельзя не признать, что появившись в 1991 г., вирусы Dir-II стали причиной настоящей эпидемии в России. Рассмотрим модель, на которой ясно видна основная идея вируса. Информация о файлах хранится в каталогах. Каждая запись каталога включает в себя имя файла, дату и время создания, некоторую дополнительную информацию, номер первого кластера файла и резервные байты (оставлены «про запас» и самой MS-DOS не используются).

При запуске исполняемых файлов система считывает из записи в каталоге первый кластер файла и далее все остальные кластеры. Вирусы семейства Dir-II производят следующую «реорганизацию» файловой системы: сам вирус записывается в некоторые свободные секторы диска, которые он помечает как сбойные. Кроме того, он сохраняет информацию о первых кластерах исполняемых файлов в резервных битах, а на место этой информации записывает ссылки на себя.

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.

Сетевые вирусы распространяются по компьютерной сети, используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.

Скрипт-вирусы, также как и макро-вирусы, являются подгруппой файловых вирусов. Данные вирусы, написаны на различных скрипт-языках (VBS, JS, BAT, PHP и т. д.). Они либо заражают другие скрипт-программы (командные и служебные файлы MS Windows или Linux), либо являются частями многокомпонентных вирусов. Также, данные вирусы могут заражать файлы других форматов (например, HTML), если в них возможно выполнение скриптов.

компьютерный вирус деструктивный программный.