>
Время шло, вирусы плодились. Все они были чем-то похожи друг на друга,
лезли в память, цеплялись к файлам и секторам, периодически убивали файлы,
дискеты и винчестеры. Одним из первых «откровений» стал вирус «Frodo.4096»
- один из первых из известных файловых вирусов-невидимок (стелс). Этот
вирус перехватывал INT 21h и, при обращении через DOS к зараженным файлам,
изменял информацию таким образом, что файл появлялся перед пользователем в
незараженном виде. Но это была только надстройка вируса над MS-DOS. Не
прошло и года, как электронные тараканы полезли внутрь ядра DOS (вирус-
невидимка «Beast.512»). Идея невидимости продолжала приносить свой плоды и
далее: летом 1991 года пронесся, кося компьютеры как бубонная чума, вирус
«Dir_П».
Но бороться с невидимками было довольно просто: почистил RAM - и будь
спокоен, ищи гада и лечи его на здоровье. Но больше хлопот доставляли
самошифрующиеся вирусы, которые иногда встречались в очередных поступлениях
в коллекции. Ведь для их идентификации и удаления приходилось писать
специальные подпрограммы, отлаживать их. Но на это никто тогда не обращал
внимания, пока... Пока не появились вирусы нового поколения, те, которые
носят название полиморфик-вирусы. Эти вирусы используют другой подход к
невидимости: они шифруются (в большинстве случаев), а в расшифровщике
используют команды, которые могут не повторяться при заражении различных
файлов.
Классификация вирусов
В настоящее время известно более 5000 программных вирусов, их можно
классифицировать по следующим признакам:
. среде обитания
. способу заражения среды обитания
. воздействию
. особенностям алгоритма
В зависимости от среды обитания вирусы можно разделить на сетевые,
файловые, загрузочные и файлово-загрузочные. Сетевые вирусы
распространяются по различным компьютерным сетям. Файловые вирусы
внедряются главным образом в исполняемые модули, т. е. В файлы, имеющие
расширения COM и EXE. Файловые вирусы могут внедряться и в другие типы
файлов, но, как правило, записанные в таких файлах, они никогда не получают
управление и, следовательно, теряют способность к размножению. Загрузочные
вирусы внедряются в загрузочный сектор диска (Boot-сектор) или в сектор,
содержащий программу загрузки системного диска (Master Boot Re-cord).
Файлово-загрузочные вирусы заражают как файлы, так и
загрузочные сектора дисков.
По способу заражения вирусы делятся на резидентные и нерезидентные.
Резидентный вирус при заражении (инфицировании) компьютера оставляет в
оперативной памяти свою резидентную часть, которая потом перехватывает
обращение операционной системы к объектам заражения (файлам, загрузочным
секторам дисков и т. п.) и внедряется в них. Резидентные вирусы находятся в
памяти и являются активными вплоть до выключения или перезагрузки
компьютера. Нерезидентные вирусы не заражают память компьютера и являются
активными ограниченное время.
По степени воздействия вирусы можно разделить на следующие виды:
. неопасные, не мешающие работе компьютера, но уменьшающие объем
свободной оперативной памяти и памяти на дисках, действия таких
вирусов проявляются в каких-либо графических или звуковых эффектах
. опасные вирусы, которые могут привести к различным нарушениям в работе
компьютера
. очень опасные, воздействие которых может привести к потере программ,
уничтожению данных, стиранию информации в системных областях диска.
По особенностям алгоритмов выделяют следующие группы вирусов:
1. "Компаньоны - спутники" - вирусы, не изменяющие файлы. Алгоритм работы
этих вирусов состоит в том, что они создают для EXE файлов файлы
спутники, имеющие то же самое имя, но с расширением .Com или Bat.
Вирус записывается в Com или Bat-файл и никак не изменяет EXE-файл.
При активации такого файла операционная система первым обнаружит и
выполнит Bat-файл или COM-файл, т.е. вирус, который затем уже запустит
и EXE-файл.
2. "Черви - репликаторы" - вирусы, которые распространяются в
компьютерной сети и, так же как и компаньон вирусы, не изменяют файлы
или сектора на дисках. Они проникают в память компьютера из сети,
вычисляют сетевые адреса других компьютеров и рассылают по этим
адресам свои копии. Такие вирусы иногда создают файлы, но могут вообще
не обращаться к ресурсам компьютеров (кроме оперативной памяти).
3. "Паразитические" - все вирусы, которые при распространении своих копий
изменяют содержимое дисковых секторов или файлов. В эту группу
относятся вирусы, которые не являются "червями" и "спутниками".
4. "Студенческие" - крайне примитивные вирусы, часто нерезидентные и
содержащие большое число ошибок, именно по этой причине они могут быть
любой степени опасности, если их быстро не удалить из компьютера.
5. "Стелс невидимки" вирусы, представляющие собой совершенные программы,
которые перехватывают обращения операционной системы к пораженным
файлам или секторам дисков и "подставляют" вместо себя незараженные
участки информации. Такие вирусы используют оригинальные алгоритмы,
позволяющие "обманывать" резидентные АВП.
6. "Полиморфик - призраки - мутанты" вирусы (само шифрующиеся)
достаточно трудно обнаруживаемые вирусы, не имеющие ни одного
постоянного участка кода. В большинстве случаев два образца одного и
того же полиморфик вируса не имеют ни одного совпадения.
7. "Троянские кони" - вирусы, которые могут маскироваться под полезную
программу и выполнять разрушительные действия при каждой активации.
Они могут размножаться без внедрения в другие файлы, а более
совершенные из них, активируются при определенных ситуациях или
событиях в ЭВМ или сети.
8. "Макро" вирусы этого семейства используют возможности макроязыков в
системах обработки данных (текстовые редакторы, электронные таблицы и
т.д.). В настоящее время наиболее распространены макро вирусы
заражающие документы редакторов Microsoft Word, Excel, Access.
&nb
