Далее вирус может выполнить какую-нибудь диверсию, не слишком серьезную, чтобы не привлечь внимания. И, наконец, после выполнения всех команд вируса возвращает управление той программе, из которой был запущен.
Крайне редко заражаются текстовые файлы.
При заражении компьютера вирусом важно его обнаружить. Для этого следует знать об основных признаках проявления вирусов. К ним можно отнести:
- прекращение работы или неправильная работа ранее успешно функционирующих программ,
- медленная работа компьютера,
- невозможность загрузки операционной системы,
- исчезновение файлов и каталогов или искажение их содержимого,
- изменение даты и времени модификации файлов,
- изменение размеров файлов,
- неожиданное значительное увеличение количества файлов на диске,
- существенное уменьшение размера свободной оперативной памяти,
- вывод на экран непредусмотренных сообщений или изображений,
- подача непредусмотренных звуковых сигналов,
- частые зависания и сбои в работе компьютера.
Следует отметить, что вышеперечисленные явления необязательно вызываются присутствием вируса, а могут быть следствием других причин. Поэтому всегда затруднена правильная диагностика состояния компьютера.
Вирусы можно классифицировать по следующим признакам:
- среде обитания,
- способу заражения,
- степени воздействия,
- особенностям алгоритма.
3.1. Способ заражения
Вирусы делятся на резидентные и нерезидентные.
Резидентный вирус при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая потом перехватывает обращение операционной системы к объектам заражения (файлам, загрузочным секторам дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти компьютера и являются активными вплоть до выключения компьютера.
Нерезидентные вирусы не заражают память компьютера и являются активными ограниченное время.
3.2. Среда обитания
В зависимости от среды обитания вирусы можно разделить на сетевые, файловые, загрузочные и файлово-загрузочные.
Сетевые вирусыраспространяются по различным компьютерным сетям.
Файловые вирусы внедряются, главным образом, в исполняемые модули, т.е. в файлы, имеющие расширения .СОМ и .ЕХЕ. Файловые вирусы могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и теряют способность к размножению. В отличие от загрузочных вирусов, которые практически всегда резидентные, файловые вирусы совсем не обязательно резидентные. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код, следовательно, заражение исполняемого файла всегда можно обнаружить.
Загрузочные вирусы внедряются в загрузочный сектор диска (Boot - cектор) или в сектор, содержащий программу загрузки системного диска (MasterBootRecord).
Схема функционирования загрузочных вирусов
При включении компьютера управление передается программе начальной загрузки, которая хранится в постоянном запоминающем устройстве (ПЗУ), т.е. ПНЗ ПЗУ. Эта программа тестирует оборудование и при успешном завершении проверок пытается найти дискету в дисководе А: Всякая дискета размечена на секторы и дорожки. Секторы объединяются в кластеры. Среди секторов есть несколько служебных, используемых операционной системой для собственных нужд (в этих секторах не могут размещаться ваши данные). Среди служебных нас пока интересует один – сектор начальной загрузки (boot-sector).
В секторе начальной загрузки хранится информация о дискете - количество поверхностей, количество дорожек, количество секторов и пр. Но нас сейчас интересует не эта информация, а небольшая программа начальной загрузки (ПНЗ), которая должна загрузить саму операционную систему и передать ей управление. Таким образом, нормальная схема начальной загрузки следующая: ПНЗ (ПЗУ) – ПНЗ (диск) - СИСТЕМА
Теперь рассмотрим вирус. В загрузочных вирусах выделяют две части: голову и хвост. Хвост может быть пустым.
Пусть у вас имеются чистая дискета и зараженный компьютер, под которым мы понимаем компьютер с активным резидентным вирусом. Как только этот вирус обнаружит, что в дисководе появилась незащищенная от записи и еще не зараженная дискета, он приступает к заражению. Заражая дискету, вирус производит следующие действия:
- выделяет некоторую область диска и помечает ее как недоступную операционной системе, это можно сделать по-разному, в простейшем случае занятые вирусом секторы помечаются как сбойные (bad);
- копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор;
- замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой;
Таким образом, голова вируса теперь первой получает управление, вирус устанавливается в память и передает управление оригинальному загрузочному сектору. В цепочке ПНЗ (ПЗУ) – ПНЗ (диск) – СИСТЕМА появляется новое звено ПНЗ (ПЗУ) – ВИРУС – ПНЗ (диск) – СИСТЕМА.
Поэтому никогда не оставляйте (случайно) дискет в дисководе.
Как правило, вирусы способны заражать не только загрузочные секторы дискет, но и загрузочные секторы винчестеров.
Файлово-загрузочные вирусы заражают как файлы, так и загрузочные сектора дисков.
3.3. Степень воздействия
По степени воздействия вирусы можно разделить на следующие виды:
- безвредные - практически не влияют на работу, уменьшают свободную память на диске;
- неопасные - не мешают работе компьютера, но уменьшают объем свободной оперативной памяти и памяти на дисках. Действие таких вирусов проявляется в каких-либо графических или звуковых эффектах.
- опасные – это вирусы, которые могут привести к различным нарушениям в работе компьютера;
- очень опасные - воздействие их может привести к потере программ, уничтожению данных, стиранию информации в системных областях диска.
3.4. Особенности алгоритма
По особенностям алгоритма вирусы трудно классифицировать из-за большого разнообразия.
Паразитические – простейшие вирусы, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены.
Вирусы-“спутники” не изменяют файлы, создают для ЕХЕ - файлов файлы-спутники с расширением .СОМ.
“Черви” - вирусы-репликаторы распространяются по сети, рассылают свои копии, вычисляя сетевые адреса.
“Стелс” - вирусы (невидимки) перехватывают обращения DOS к пораженным файлам или секторам и подставляют вместо себя незараженные участки.
Вирусы-мутанты - наиболее трудно обнаружить. Содержат алгоритмы шифровки-расшифровки, благодаря которым копии одного и того же вируса не имеют ни одной повторяющейся цепочки байтов.
Квазивирусные или “троянские” программы - не способны к самораспространению, но очень опасны, так как, маскируясь под полезную программу, разрушают загрузочный сектор и файловую систему дисков.
Вирусы-“призраки” - не имеют ни одного постоянного участка кода, трудно обнаруживаются. Основное тело вируса зашифровано.
Макровирусы пишутся не в машинных кодах, а на WordBasic, живут в документах Word, переписывают себя в Normal.doc.
Полиморфные вирусы.
Этот вид компьютерных вирусов представляется наиболее опасным. Полиморфные вирусы – вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.
Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов. Полиморфные вирусы – это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.
Для обнаружения, удаления и защиты от компьютерных вирусов разработано несколько видов специальных программ, которые позволяют обнаруживать и уничтожать вирусы. Такие программы называются антивирусными.
Различают следующие виды антивирусных программ:
- программы-детекторы,
- программы-доктора или фаги,
- программы-ревизоры,
- программы-фильтры,
- программы-вакцины или иммунизаторы.
Программы-детекторыосуществляют поиск характерной для конкретного вируса сигнатуры в оперативной памяти и в файлах и при обнаружении выдают соответствующее сообщение. Недостатком таких антивирусных программ является то, что они могут находить только те вирусы, которые известны разработчикам таких программ.
Программы-доктора или фаги, а также программы-вакцины не только находят зараженные вирусами файлы, но и “лечат” их, т.е. удаляют из файла тело программы-вируса, возвращая файлы в исходное состояние. В начале своей работы фаги ищут вирусы в оперативной памяти, уничтожая их, и только затем переходят к “лечению” файлов. Среди фагов выделяют полифаги, т.е. программы-доктора, предназначенные для поиска и уничтожения большого количества вирусов. Наиболее известны из них: Aids test, Scan, Norton Antivirus, Doctor Web.