2015-06-10
2131
Классификация компьютерных вирусов
Имеется несколько признаков классификации существующих компьютерных вирусов:
§ по среде обитания;
§ по области поражения;
§ по особенностям алгоритма;
§ по способу заражения;
§ по деструктивным возможностям.
Рассмотрим приведённую классификацию более детально.
Классификация по среде обитания.
Различают файловые, загрузочные, макро- и сетевые вирусы.
Файловые вирусы – наиболее распространённый тип вирусов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (companion-виру-сы) или используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя в загрузочный сектор диска (boot-сектор) или в сектор системного загрузчика жесткого диска (Master Boot Record). Начинают работу при загрузке компьютера и обычно становятся рези-дентными (постоянно хранящимися во время работы в оперативной памяти). Как правило, эти вирусы состоят из двух частей, поскольку загрузочная запись имеет небольшой размер и в ней трудно разместить целиком программу вируса.
|
|
|
Макровирусы заражают файлы широко используемых пакетов обработки данных. Эти вирусы представляют собой программы, написанные на встроен-ных в эти пакеты языках программирования. Наибольшее распространение получили макровирусы для приложений Microsoft Office. Для своего размно-жения такие вирусы используют возможности встроенного языка Visual Basic for Applications (VBA). Вирусы находятся среди макросов, при помощи которых переносят себя из одного заражённого файла (документа или таблицы) в другие. Этот перенос, как правило, осуществляется при выполнении пользователем стандартных операций (открытие документа, сохранение, печать, закрытие и др).
Опишем один из наиболее простых и часто используемых принципов активизации микровирусов редактора Microsoft Word. Существует жёсткая зависимость между событиями, возникаемыми в этом редакторе, и именами автоматически запускаемых микрокоманд. Так, при запуске редактора автоматически выполняется макрос с именем AutoExec, при завершении работы - макрос AutoExit, а при создании нового документа - AutoNew. В случае, если пользователь выбрал в редакторе Word команду открытия документа, осуществляется поиск и запуск макроса AutoOpen, при закрытии документа - макроса AutoClose. При работе с документом редактор MSWord выполняет встроенные макросы: при сохранении файла по команде Файл-Сохранить как вызывается макрос FileSaveAs, при печати - FilePrint и пр. Полный перечень таких макросов пользователь имеет возможность самостоятельно просмотреть, выполнив в редакторе MS Word команду Сервис-Настройка и нажав в появившемся диалоговом окне Настройка пиктограмму Клавиатура.
|
|
|
Первоначальное заражение осуществляется следующим образом. Пользователь, редактируя заражённый документ, заражает сам редактор. Действительно, при выборе пользователем обычной команды меню (Файл-Открыть, Файл-Закрыть, Файл-Сохранить как и пр.) редактор Word автома-тически активизирует содержащийся в соответствующем макросе код вируса.
Большинство вирусов редактора MS Word при запуске переносят свой код (макросы) в область глобальных макросов документа. При выходе из редактора глобальные макросы (включая макросы вируса) автоматически записываются в файл шаблона NORMAL.DOT. Таким образом, редактор Word оказывается заражённым. Затем этот редактор заражает все редактируемые файлы. Так, при последующем запуске редактора MS Word вирус активизируется автоматически. Затем вирус переопределяет один или несколько стандартных макросов (например, FileOpen, FileSaveAs, FilePrint), впоследствии перехватывает команды работы с файлами. При вызове этих команд вирус заражает файл, к которому идёт обращение. Если вирус перехватывает макрос FileSaveAs, то заражается каждый сохраняемый DOS-файл. Если перехвачен макрос FileOpen, то вирус записывает в файл свои макросы при его считывании с диска.
Похожие механизмы используются и в других приложениях MS Offise. Так, алгоритм работы макровирусов для MS Excel во многом аналогичен методам работы вирусов для MS Word. Различия заключаются в командах копирования макросов (например, Sheets.Copy), в отсутствии файла NORMAL.DOT- вирусы сохраняются в файлах, находящихся в каталоге STARTUP.
Отметим, что существует простой способ блокировки действия авто-матических макросов, которые содержатся в документе и активизируются в мо-мент его открытия, - удержание нажатой клавиши <Shift> при открытии файла.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удалённый сервер или рабочую станцию. Полноценные сетевые вирусы при этом должны обладать возможностью запустить на удалённом компьютере свой код на выполнение.
Наибольшую известность сетевые вирусы приобрели в конце 1990-х годов. Так, например, макровирус Macro. Word, ShareFun, используя возможности электронной почты Microsoft Mail, создаёт новое письмо, содержащее заражённый документ, затем выбирает из списка адресов MS Mail несколько случайных адресов и рассылает по ним заражённые письма. Поскольку многие пользователи устанавливают параметры MS Mail таким образом, чтобы при получении письма он автоматически запускал MS Word, то вирус внедряется в компьютер адресата.
На практике существуют разнообразные сочетания вирусов – например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков, или сетевые макровирусы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.
