Множество КВ, существующих на современном этапе можно разделить на несколько групп.
· По среде обитания
Средой обитания вируса не может быть любой файл или компонент системной области диска - вирус является программой и поэтому имеется смысл его внедрения только в программу. Программы могут содержаться в файлах или в некоторых компонентах системной области диска, участвующих в процессе загрузки DOS.
В соответствии с этим различают:
Сетевые вирусы распространяются по сетям, то есть при передачи информации с одного компьютера, на другой, соединенные между собой сетью.
Файловые вирусы, инфицирующие программные файлы, т.е. файлы с программами. Загружаются после запуска той программы, в которой он находится. Такие вирусы могут внедряться и в другие файлы, но записанные в таких файлах, они не получают управление и теряют способность к размножению.
Файловые вирусы могут внедряться в: файлы с компонентами DOS; машинные программы, размещенные в ЕХЕ- и СОМ-файлах; внешние драйверы устройств (SYS- и BIN-файлы); командные файлы (ВАТ-файлы); файлы с программами на языках программирования (в расчете на компиляцию этих программ); и др. Наиболее часто файловые вирусы способны внедряться в СОМ и/или ЕХЕ-файлы.
Загрузочные вирусы, заражающие компоненты системной области, используемой при загрузке DOS.
Загрузочные файлы могут заражать: системный загрузчик на дискетах; системный загрузчик системного логического диска, созданного на винчестере; главную загрузочную запись на жестком диске. Загрузочные вирусы распространяются на дискетах в расчете на то, что с них будет (возможно, случайно), осуществлена попытка загрузиться.
Файлово-загрузочные вирусы, заражают одновременно файлы и загрузочные сектора диска.
Конечно, у файловых вирусов инфицирующая способность выше.
Файлово-загрузочные вирусы обладают еще большей инфицирующей способностью, так как могут распространяться как в программных файлах, так и на дискетах с данными.
Макро – вирусы заражают файлы – документы и электронные таблицы нескольких популярных редакторов.
· По способу активизации различают нерезидентные вирусы; резидентные вирусы.
Для нерезидентного вируса активизация эквивалентна получению им управления после запуска инфицированной программы. Тело вируса исполняется однократно в случае выполнения зараженной программы. Резидентный вирус сначала размещает резидентный модуль вируса в ОЗУ и выполняет операций, необходимые для того, чтобы последний хранился в ней постоянно и чтобы резидентный модуль мог получать управление при возникновении определенных событий (например, в случае открытия или считывания файла). Резидентный модуль остается в памяти до перезагрузки. Однако некоторые вирусы "выдерживают" "теплую" перезагрузку, распознавая нажатие этой комбинации клавиш. Выявив такую ситуацию; вирус активизируется, и сам загружает DOS выгодным для себя образом, оставаясь в памяти. Получив управление, резидентный модуль вируса выполняет следующие действия: возможно, отыскивает и инфицирует очередную жертву; вероятно, выполняет несанкционированные действия. В частности, резидентный вирус может заразить считываемый, открываемый или просто найденный программный файл. По сравнению с нерезидентными резидентные вирусы являются более изощренными и опасными.
Загрузочные вирусы, как правило, создаются резидентными, так как иначе они практически не будут обладать инфицирующей способностью. Проявлениями вирусов могут быть: влияние на работу ПЭВМ; искажение программных файлов; искажение файлов с данными; форматирование диска или его части; замена информации на диске или его части; искажение системного загрузчика диска; разрушение связности файлов; искажение данных в СМОS-памяти.
· По способу маскировки различают:
• не маскирующиеся вирусы;
• самошифрующиеся или полиморфичные вирусы;
• стелс-вирусы;
• нестандартные приемы.
Авторы первых вирусов особое внимание уделяли механизму размножения. Антивирусных средств практически не было, поэтому маскировка вирусов не осуществлялась. В связи с появлением антивирусных средств разработчики вирусов сосредоточили усилия на обеспечении маскировки своих изделий.
Сначала была реализована идея самошифрования вируса, которую используют практически все виды вирусов. Полиморфик - вирусы – это труднообнаруживаемые вирусы., так как не содержат ни одного постоянного участка кода. В большинстве случаев два образца одного и того же вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы – шифровщика.
В последнее время появились стелс-вирусы, названные по аналогии с проектом SТЕАLТН по созданию самолетов-невидимок. Они полностью или частично скрывают себя в системе. Наиболее распространенные стелс – вирусы перехватывают запросы ОС на чтение\запись зараженных объектов. При этом такие вирусы либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро – вирусов, наиболее популярный способ – запрет вызовов меню просмотра макросов. Один из первых стелс-вирусов – вирус «Frodo».
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре ОС, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса.
· По деструктивным (разрушительным) возможностям
Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.
Неопасные вирусы, так же уменьшают объем памяти, не мешают работе компьютера, такие вирусы порождают графические, звуковые и другие эффекты.
Опасные вирусы, могут привести к различным нарушениям в работе компьютера, например, к зависанию или непрерывной печати документа.
Очень опасные вирусы, их действие может привести к потери программ, данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущих частей жесткого диска при вводе в резонанс.
· По особенностям алгоритма
Паразитические –это одни из самых простых вирусов. Они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
Вирусы – репликаторы (черви) распространяются по компьютерным сетям, вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.