'Информационная безопасность' Безопасность вашего компьютера в ваших руках | ||||
![]() | Классификация вирусов  
   
Ныне существует немало разновидностей вирусов, различающихся по основному способу распространения и функциональности. Если изначально вирусы распространялись на дискетах и других носителях, то сейчас доминируют вирусы, распространяющиеся через Интернет. Растёт и функциональность вирусов, которую они перенимают от других видов программ.
    по поражаемым операционным системам и платформам (DOS, Microsoft Windows, Unix, Linux);    В настоящее время не существует единой системы классификации и именования вирусов (хотя попытка создать стандарт была предпринята на встрече CARO в 1991 году). Принято разделять вирусы:     по технологиям, используемым вирусом (полиморфные вирусы, стелс-вирусы, руткиты);     по языку, на котором написан вирус (ассемблер, высокоуровневый язык программирования, скриптовый язык и др.);     по дополнительной вредоносной функциональности (бэкдоры, кейлоггеры, шпионы, ботнеты и др.).     Вирус может внедрится в файлы трех типов:     командные файлы (файлы с расширением ВАТ),     загружаемые драйверы (файлы с расширением SYS или BIN)     выполняемые двоичные файлы (файлы с расширениями ЕХЕ, СОМ).     Возможно внедрение вируса в файлы данных, но эти случаи возникают либо в результате ошибки вируса, либо при проявлении вируса своих агрессивных свойств.
        Вирусы невидимки (Stealth) представляют собой весьма совершенные программы, которые перехватывают обращения DOS к зараженным файлам или секторам и подставляют вместо себя незараженные участки информации. Такие вирусы, использующие приемы маскировки, нельзя увидеть средствами операционной системы. Например, если просмотреть зараженный файл, нажав клавишу F3 в системе Norton Commander, то на экране будет показан файл, не содержащий вируса. Это происходит потому, что вирус, активно работающий вместе с операционной системой, при открытии файла на чтение немедленно удалил свое тело из зараженного файла, а при закрытии файла заразил его опять.     Полиморфные вирусы или вирусы-"призраки". Достаточно трудно обнаруживаемые вирусы, не имеющие постоянных сигнатур (масок), т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса-призрака не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.     Действия против вируса в заражённом компьютере. Если AVP выдал сообщение о подозрении на заражение какого-либо объекта вирусом, то сделайте следующее: " скопируйте подозрительные файлы на дискету обычным способом, если подозрение выдано на какие-либо файлы; " скопируйте системные сектора, содержащие Boot-сектор (загрузочный сектор), Master Boot Record (главную загрузочную запись), Partition Table (таблицу разбиения диска), с помощью специальных программ (например Norton Disk Edit), если подозрение выдано на системные сектора; " каким-либо образом доставьте подозрительные объекты дистрибьютерам (дилерам), у которых Вы приобрели AVP, или непосредственно в Лабораторию Касперского.     Резидентный вирус при заражении компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение системы к объектам заражения (файлы и загрузочные сектора) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера (в прочем некоторые вирусы могут "пережить" перезагрузку).     Нерезидентные вирусы не заражают оперативную память компьютера и являются активными ограниченное время. Некоторые вирусы оставляют в памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. По особенностям алгоритма можно выделить следующие группы вирусов:
   
" Вирусы-спутники - это вирусы, не изменяющие файлы. Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ файлов файлы-спутники, имеющие такое же имя, но с расширением СОМ. Вирус записывается в СОМ файл и никак не изменяет ЕХЕ файл. При запуске такого файла DOS первым обнаружит и выполнит СОМ файл то есть вирус, который затем запустит и ЕХЕ файл.     " Студенческиe - крайне примитивные, часто не резидентные и содержащие большое число ошибок.
   
Основные симптомы вирусного поражения следующие: " Замедление работы некоторых программ. " Увеличение размеров файлов (особенно выполняемых). " Появление не существовавших ранее странных файлов. " Уменьшение объема доступной оперативной памяти (по сравнению с обычным режимом работы). " Внезапно возникающие разнообразные видео и звуковые эффекты.
При всех перечисленных выше симптомах, а также при других странных проявлениях в работе системы (неустойчивая работа, частые самостоятельные перезагрузки и прочее) мы настоятельно рекомендуем Вам, немедленно произвести проверку Вашей системы на наличие вирусов с помощью AVP. При этом лучше, если программа будет иметь самую последнюю версию и самые свежие обновления антивирусных баз.    " Стелс-вирусы (вирусы-невидимки), представляющие собой весьма совершенные программы, которые перехватывают обращения ДОС к зараженным файлам или к секторам и подставляют вместо себя не зараженные участки информации.     " Вирусы-призраки (полиморфные) достаточно трудно обнаруживаемые вирусы, не имеющие постоянных сигнатур (масок), т.е. не содержащие ни одного постоянного участка кода. ![]() |
Ссылки на сайты основных разработчиков антивирусного ПО: ![]() ![]() ![]() | ||
![]() |