2015-06-10
886
Классификация вирусов должна позволять однозначно охарактеризовать не только известные вирусы, но новые их разновидности по ограниченному числу сравнительно простых и непротиворечивых признаков.
Здесь предлагается классификация, в которой имя вируса состоит из буквенного префикса, цифрового корня и факультативного буквенного суффикса.
Буквенный префикс характеризует среду размножения вируса.
В зависимости от среды размножения:
1. тип B - располагающиеся в BOOT секторе и в сбойных секторах – бутовые вирусы,
2. типы C и E - в COM и EXE – файлах – файловые вирусы
3. тип N - передающиеся по сети – сетевые вирусы
В некоторых случаях возможно сочетание префиксов, например, C и E (тип CE).
Цифровой корень характеризует длину вируса. Поскольку точное определение этой величины затруднительно, используется ее приближенное значение, получаемое по следующим правилам.
1. Для вирусов типа C и CE он принимается равным приращению длины файла COMMAND.COM при заражении.
2. Для типа E в качестве аппроксимации длины принимается минимальное приращение длины при заражении файлов типа EXE.
3. Для вирусов типа B в качестве аппроксимации длины принимается используемых секторов, умноженное на 512 (длину сектора).
Такой подход повышает прогностическую ценность классификации, поскольку во многих случаях позволяет сразу по длине зараженного COMMAND.COM (а файловые вирусы поражают этот файл в числе первых) определить тип вируса. Для бутовых вирусов было бы более наглядным указывать наглядное количество занимаемых кластеров, однако нет никакой гарантии, что не появятся два или более вируса с одним и тем же количеством занимаемых кластеров.
Поскольку резидентность является очень важной характеристикой вируса, для классификации резидентных вирусов используется суффикс R, например C1701R.
По степени разрушительности можно условно различать два типа вирусов,
- иллюзионистами (C1701R, CE1805R, B1024R)
- убийцами (C648, CE800R, B3072R, C346R).
Основным приоритетом при конструировании вирусов – иллюзионистов является демонстрация какого–нибудь экзотического звукового (СE1805R) или визуального эффекта типа бегающего шарика (B1024R), падающих букв (C1701R). В качестве основного приоритета вирусов – убийц является как можно более скрытое размножение, с тем, чтобы в фазе разрушения (детонации), уничтожающей и данный экземпляр вируса (при разрушении FAT, форматизации и других подобных действиях), предшествовало определенное количество незамеченных размножений.
При этом наблюдается интересная взаимосвязь, на которую впервые обратил внимание автора Л. И Обухов: «если вирус демонстрирует изощренный визуальный или звуковой эффект, то, скорее всего он не выполняет массированного разрушения данных». Действительно, это правило подтверждается на примере приведенных вирусов. Только CE1813R несколько выпадает из этого ряда. Однако создаваемые им визуальные эффекты (черное окно в левом нижнем углу и замедление работы ЭВМ) довольно примитивны.
Вирусы можно разделить на классы по следующим основным признакам:
1. среда обитания;
По СРЕДЕ ОБИТАНИЯ вирусы можно разделить на:
1. файловые Файловые вирусы либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).;
2. загрузочные; Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор.
3. макро; Макро-вирусы заражают файлы-документы и электронные таблицы нескольких популярных редакторов.
4. сетевые. Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты
5. драйверные вирусы заражают драйверы устройств компьютера или запускают себя путем включения в файл конфигурации дополнительной строки.
Существует большое количество сочетаний - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
2. операционная система (OC);
Заражаемая ОПЕРАЦИОННАЯ СИСТЕМА (вернее, ОС, объекты которой подвержены заражению) является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS - DOS, Windows, Win95/NT, OS/2 и т.д. Макро-вирусы заражают файлы форматов Word, Excel, Office97. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
3. особенности алгоритма работы;
Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты:
1. резидентность; РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентными можно считать макро-вирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора.
2. использование стелс-алгоритмов; позволяет вирусам полностью или частично скрыть себя в системе. Вирусы-невидимки, называемые стелс-вирусами, которые очень трудно обнаружить и обезвредить, так как они перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо своего тела незараженные участки диска. Наиболее трудно обнаружить вирусы-мутанты, содержащие алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
3. самошифрование и полиморфичность; САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.
Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
4. использование нестандартных приемов. часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус "3APA3A"), защитить от обнаружения свою резидентную копию (вирусы "TPVO", "Trout2"), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS)
