Классификация компьютерных вирусов

Вирусы можно разделить на классы по следующим основным признакам:

- среда обитания;
- операционная система (OC);
- особенности алгоритма работы;
- деструктивные возможности.

По среде обитания вирусы можно разделить на: файловые, загрузочные, макро и сетевые.

Файловые - внедряются в выполняемые файлы или процессы (наверное, одни из самых распространенных типов вирусов) или создают своих "двойников".

Загрузочные - записывают себя либо в загрузочный сектор диска (т.е. boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record).

Макро - заражают файлы-документы популярных редакторов (Word, Excel).

Среди алгоритма работы вирусов выделяются следующие виды:

- резидентность;
- использование стелс-алгоритмов;
- самошифрование и полиморфичность;
- использование нестандартных приемов.

Поскольку компьютерный прогресс не стоит на месте и, к сожалению, вместе с ним не стоит на месте и фантазия людей, которые занимаются написанием вирусов, то на момент чтения этой статьи уже могут существовать и другие алгоритмы работы вирусов. Иногда авторы антивирусных программ не успевают отреагировать на появление нового вируса.

В таком случае антивирусная программа будет бессильна и помочь сможет только специалист в сфере компьютерной безопасности, который имеет большой опыт в борьбе против компьютерных вирусов. Найти такого специалиста вы можете на одном из сайтов в интернете, например, перейдя по следующей ссылке.

Резидентный - при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них.

Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время.

Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора.

При этом роль операционной системы берет на себя редактор, а понятие "перезагрузка операционной системы" трактуется как выход из редактора. Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе.

Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо подставляют вместо себя незараженные участки информации.

В случае макро-вирусов наиболее популярный способ - запрет вызовов меню просмотра макросов. Один из первых файловых стелс-вирусов - вирус Frodo, первый загрузочный стелс-вирус - "Brain".

Самошифрование и полиморфичность - используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (уничтожения) вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не содержащие ни одного постоянного участка кода.

В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

Различные нестандартные приёмы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус "3apaзa"), защитить от обнаружения свою резидентную копию (вирус "Trout2"), затруднить лечение вируса (например, поместив свою копию в Flash-BIOS) и т.д.

По деструктивным возможностям вирусы можно разделить на:

- безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения путём клонирования самих себя);
- неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами (появление логических ошибок);
- опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
- очень опасные, в алгоритм работы, которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже, как гласит одна из непроверенных компьютерных легенд, способствовать быстрому износу движущихся частей механизмов - вводить в резонанс и разрушать головки некоторых типов винчестеров.