Знакомимся с компьютерными вирусами

Определенная группа программных средств, ориентированная на выполнение на вычислительных устройствах действий, нежелательных для их пользователей, называется компьютерными вирусами (КВ). Негативные последствия их функционирования выражаются в порче данных на информационных носителях, нарушении нормальной работы устройств и установленных на них приложений, а также нейтрализации средств защиты конфиденциальных сведений.

Все КВ имеют небольшой размер и обычно прикрепляются к какой-либо программе, которая после этого становится зараженной. В результате ее запуск приводит к активизации вируса, после выполнения действий которого начинается обычное функционирование запущенной программы. Таким образом распознать наличие в системе КВ на начальной стадии заражения довольно проблематично. Именно поэтому крупнейшие разработчики антивирусных программ рекомендуют, как можно чаще обновлять базы сигнатур, что является залогом «здоровья» Вашего компьютера и уверенности в его стабильной работе…

Классификация компьютерных вирусов

Для классификации КВ, поражающих компьютерные системы, используются следующие их характерные признаки:

• среда обитания,
• способ заражения,
• степень воздействия,
• особенности алгоритма.

В соответствии со средой обитания КВ могут быть:

• сетевыми,
• файловыми,
• загрузочными.

Сетевые КВ распространяются посредством протоколов, использующихся в локальных и глобальных компьютерных сетях. Таким образом они способны самостоятельно передавать свой программный код между серверами и, в некоторых случаях, запускать себя. Примером может служить КВ Homer, распространяющийся посредством протокола FTP. Homer копирует себя в подкаталог Incoming, расположенный на удаленном FTP-сервере.

Файловые КВ внедряются в структуру исполняемых файлов (например, типа exe, com, sys, bat, dll и др.). В результате, при каждом запуске такого зараженного файла происходит сначала выполнение программного кода вируса, а затем уже собственно программы. Примером могут служить вирусы Dir_II, копирующие свой код в последний кластер на логическом диске и изменяющие при заражении файла номер его первого кластера. В результате одна копия вируса может «заразить» на одном логическом диске несколько файлов.

Загрузочные КВ располагаются в загрузочных секторах различных носителей информации. Активизация таких вирусов происходит при запуске или перезагрузке ОС. Примером может служить КВ AntiEXE, действие которого проявляется в ненормальном запуске зараженного компьютера. Также он может повреждать exe-файлы, приводя к их неработоспособности.

В соответствии со способом заражения КВ могут быть:

• резидентными,
• нерезидентными.

Резидентные КВ постоянно находятся в оперативной памяти, что позволяет им контролировать все процессы, выполняемые системой: открытие/закрытие программ, копирование/переименование файлов и т. д. Примером может служить КВ Meve, удаляющий из файла system.ini несколько строк, нарушая правильную работу программ и драйверов. Также он открывает доступ к портам компьютера, снижая его безопасность. Чаще всего распространяется через рассылку по электронной почте.

Нерезидентные КВ входят в структуру зараженных приложений, поэтому их функционирование возможно лишь при работе этих приложений.

В соответствии со степенью воздействия КВ могут быть:

• безвредными,
• неопасными,
• опасными,
• чрезвычайно опасными.

Безвредные и неопасные КВ оказывают на работу системы минимальное воздействие без каких-либо серьезных последствий (например, уменьшая объем свободной памяти или создавая звуковые или видеоэффекты). Примером может служить КВ Hoax.HTML.Fraud.fr, предлагающий пользователю обновлять различные приложения.

Опасные КВ способны вызвать серьезные сбои в работе системы, которые, однако, могут быть впоследствии устранены. Примером может служить червь Морриса, который при поражении компьютера начинает бесконтрольно размножаться, приводя к блокировке работы сетевых функций.

Чрезвычайно опасные КВ приводят к потере системных данных или уничтожению программ, с невозможностью или большой трудоемкостью их последующего восстановления. Примером может служить КВ Чернобыль, который при заражении компьютера уничтожает содержимое жесткого диска и выводит из строя аппаратную часть.

В соответствии с особенностями алгоритма КВ могут быть:

• червями,
• паразитами,
• невидимками (стелс-вирусы),
• мутантами и т. д.

Черви способны на самовоспроизведение без участия других программных средств. Примером может служить вирус Mapson, распространяющийся по электронной почте и после заражения рассылающий свои копии по другим адресам из списка контактов.

Вирусы-паразиты прикрепляются к исполняемым файлам, приводя к их неработоспособности.

Вирусы-невидимки подменяют на безопасный свой вредоносный код при сканировании системы антивирусами. Поэтому они наиболее сложны для обнаружения.

Вирусы-мутанты не обладают постоянной сигнатурой, поскольку регулярно изменяют цепочки в своем программном коде. Это делает их защищенными от антивирусов. Для их идентификации наиболее эффективен эвристический анализ.

Примечание!   Стоит отметить, что существует множество КВ, при создании которых использовались различные алгоритмы, что делает их еще более неуязвимыми для обнаружения и, соответственно, более опасными.

Примерная схема классификации компьютерных вирусов:

Вместо послесловия время защититься…

Ну что же общее понятие о компьютерных вирусах мы получили, теперь зная о таящейся опасности, как можно эффективнее подойдите к защите персонального компьютера! А начать Вы можете с выбора антивирусного продукта от лучших разработчиков нашего времени…