2015-06-10
813
Выделяют резидентные вирусы, стелс-вирусы (stealth – англ. Невидимка), полиморфные и другие вирусы.
Резидентные вирусы способны оставлять свои копии (или части) в операционной памяти, перехватывать обработку событий)например, обращения к файлам или дискам) и вызывать при этом процедуры заражения объектов (файлов и секторов). Эти вирусы активны в памяти не только в момент работы заражённой программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки операционной системы, даже если на диске уничтожены все заражённые файлы. От таких вирусов сложно избавиться простым восстановлением копий файлов с дистрибутивных или резервных дисков. Это объясняется тем, что резидентная копия вируса остаётся активной в оперативной памяти и заражает вновь создаваемые файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке операционной системы, то даже форматирование диска при наличии в памяти этого вируса его не удаляет. Это объясняется тем, что многие резидентные вирусы заражают диск повторно после того, как он отформатирован.
|
|
|
Нерезидентные вирусы, напротив, активны довольно непродолжительное время – только в момент запуска заражённой программы. Для своего распространения они выбирают на диске незаражённые файлы и записываются в них. После окончания работы заражённой программы вирус становится неактивным вплоть до очередного запуска какой-либо заражённой программы файлы восстанавливаются значительно проще.
К разновидностям резидентных вирусов следует отнести и макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы заражённого редактора.
Стелс-алгоритмы позволяют вирусам полностью или частично скрыть своё присутствие. Наиболее распространённым стелс-алгоритмом является пе-рехват запросов операционной системы на чтение/запись заражённых объектов. Стелс-вирусы при этом либо временно «лечат» эти объекты, либо подставляют вместо себя незаражённые участки информации. Наиболее распространённым способом реализации стелс-алгоритмов в макровирусах является запрет выполнения ряда команд, например Сервис-Макрос. Частично к стелс-вирусам относят небольшую группу макровирусов, хранящих свой основной код не в макросах, а других областях документа – в его переменных или в Auto-text.
Полиморфность (самошифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы – это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Так, например, некоторые макровирусы при создании своих новых копий случайным образом меняют имена своих переменных, вставляют пустые строки или модифицируют свой код иным способом.
При создании вирусов часто используются нестандартные приёмы. Их применение должно максимально затруднить, обнаружение и удаление вируса.
