Ваш IP адреc:
Браузер: CCBot/1.0 (+http://www.commoncrawl.org/bot.html)
Типы вредоносных программ.
По оценке воздействия вирусов на систему их можно разделить на полезные, на безвредные и наносящие ущерб.
Полезные вирусы для нашей работы интереса не представляют и рассматриваться не будут. Пример области их использования - игровые программы.
Безвредные вирусы не причиняют вреда, они созданы только для того, чтобы размножаться и уведомлять пользователя о своем присутствии различного рода видео- и аудиоэффектами. Но даже такие безобидные вирусы могут создать пользователю компьютера много проблем, т. к. занимают память ПЭВМ, используемую другими программами. В результате они приводят к некорректному поведению программ и могут вызвать повреждения в системе. Кроме того, многие безобидные вирусы написаны с ошибками, что также может привести к краху системы и потере данных.
Наносящие ущерб вирусы созданы для того, чтобы наносить повреждения компьютеру путем порчи программ, удаления файлов, форматирования жесткого диска, нарушения связности файла, искажения файлов с данными, искажения данных в CMOS-памяти и др.
По способу активизации вирусы бывают резидентными и нерезидентными.
Резидентные вирусы постоянно хранятся в оперативной памяти (целиком или частично) и оттуда воздействуют на объекты поражения. Большинство из них погибает после перезагрузки компьютера, но некоторые выдерживают "мягкую" перезагрузку (Ctrl-Alt-Del).
Нерезидентные вирусы активизируются только после запуска инфицированной программы.
По среде обитания вирусы делятся на загрузочные, файловые, файлово-загрузочные, макро-вирусы и сетевые.
Загрузочные вирусы (или бутовые) размещают свой код в загрузочных секторах диска, которые считывает системный загрузчик, находящийся в памяти ПЗУ.
Файловые вирусы размещают свой код в исполняемых файлах. Командные bat-файлы поражаются вирусами очень редко. COM-файлы, EXE-файлы часто поражаются вирусами. Системные драйверы, имеющие обычно расширение SYS или BIN, также поражаются вирусами, однако на диске их обычно не много (порядка нескольких десятков).
*.bat, *.com, *.exe, *.sys, *.bin, *.ovl, *.drv и др. - вот частичный список файлов, которые поражаются такими вирусами. Файловые вирусы размещают свой код либо в начале инфицируемого файла, получая таким способом управление при запуске файла, либо в любом другом месте, заменяя при этом начальные байты файла командой передачи управления на код вируса.
К файловым вирусам относятся также вирусы-компаньоны (вирусы-двойники), которые хранят свой код в другом файле. Зараженный файл передает управление при запуске файлу-компаньону.
Файловые черви (не сетевые черви) - некоторое подобие компаньон-вирусов. Однако они никаким образом не связаны с другими выполняемыми файлами. При размножении они создают новые копии в разные каталоги диска, давая им привлекательные названия типа Install.exe и т.п. Предполагается, что рано или поздно их кто-нибудь запустит.
Третья разновидность файловых вирусов - это link-вирусы. Эти вирусы не изменяют самих файлов, но в списке файлов (в каталоге) указывают в качестве точки запуска не начальные кластера файлов, а кластер, в котором записан сам вирус. Обычно это последний кластер логического диска. То есть на все зараженные файлы приходится на логическом диске только одна копия вируса.
Файлово-загрузочные вирусы представляют собой гибрид чисто файловых и чисто загрузочных вирусов. Когда пользователь запускает программу, зараженную таким вирусом, вирус поражает загрузочный сектор винчестера. Когда пользователь затем перезагружает компьютер, вирус вновь активируется и поражает каждую запускаемую программу.
Макро-вирусы создаются на макро-языках (Visual Basic), встроенных в системы обработки данных, например, в Microsoft Office. Они поражают текстовые редакторы, электронные таблицы и т.д.
Компьютерные черви (или репликаторы, часто их выделяют в отдельный класс). Они способны размножаться без внедрения в другие программы. Наиболее известный из компьютерных червей - так называемый "червь Морриса", который, используя некоторые особенности системы UNIX, сумел проникнуть (подбирая пароли) во множество компьютерных сетей США и заблокировать работу некоторых из них.
По способу маскировки вирусы делятся на немаскирующиеся вирусы, вирусы-невидимки, полиморфные вирусы, троянские кони.
Вирусы-невидимки (Stealth-вирусы) подменяют истинный размер зараженного файла его первоначальной длиной до заражения, перехватывая для этого код обращения к диску. Однако если загрузиться с защищенной системной дискеты, то будет показана истинная длина программы.
Полиморфные вирусы (Mte-вирусы, самошифрующиеся вирусы) шифруют код вируса с переменным ключом, например зависящим от длины заражаемого файла, делая все копии одного и того же вируса непохожими друг на друга (например, операция XOR; алгоритм шифровки). В результате этого вирус лишается сигнатуры; неизменяемого фрагмента для всех копий одного вируса. Чтобы шифровщик у каждого вируса тоже был свой, он тоже модифицируется путем добавления каких-либо незначащих команд в его тело (NOP и др.).
Выделяют шесть уровней полиморфизма вирусов.
Вирусы первого уровня полиморфизма можно обнаружить по некоторым постоянным участкам кода расшифровщика. Такие вирусы называют "не совсем полиморфными" или олигоморфными (oligomorphic).
Ко второму уровню полиморфизма относят вирусы, расшифровщик которых постоянно использует одну или несколько инструкций. Он может использовать различные регистры, некоторые альтернативные инструкции в расшифровщике. Такие вирусы также можно выявить по конкретной сигнатуре - по сочетанию определенных байт в расшифровщике.
К третьему уровню полиморфизма относят вирусы, использующие в расшифровщике команды, не участвующие в расшифровании вирусного кода, или "команды-мусора". Это такие команды ассемблера, как: NOP; MOV AX,AX; STI; CLD; CLI и т.д. Данные вирусы также можно детектировать с помощью некоторой сигнатуры, если произвести "отсеивание" всех "мусорных" команд.
Вирусы четвертого уровня используют в расшифровщике взаимозаменяемые инструкции и "перемешанные" между собой инструкции без изменения алгоритма расшифрования. Например, ассемблерная команда MOV AX,BX имеет взаимозаменяемые инструкции: PUSH BX - POP AX; XCHG AX,BX; MOV CX,BX - MOV AX,CX; и т.д. Выявление данных вирусов возможно с помощью некоторой перебираемой сигнатуры.
Пятый уровень полиморфизма включает в себя использование всех перечисленных выше уровней. Расшифровщик может использовать различные алгоритмы расшифрования вирусного кода. Возможно использование нескольких расшифровщиков, поочередно расшифровывающих друг друга и вирусный код. Как правило, детектирование вирусов данного уровня полиморфизма с помощью сигнатуры невозможно. Процесс детектирования и особенно лечения такого вируса - очень сложная и длительная задача. Лечение вирусов последнего уровня полиморфизма производят отечественные антивирусы AVP и DrWeb.
Шестой уровень полиморфизма. К нему относятся нешифрованные вирусы, - это вирусы, состоящие из программных единиц-частей, которые "перемешиваются" внутри тела вируса. Данные вирусы как "кубики" тасуют свои подпрограммы: инсталляции, заражения, обработчика прерывания, анализа файла и т.д. Такие вирусы еще называются пермутирующими (permutating).
В 1991 г. в Болгарии появился очень эффективный алгоритм порождения дешифровщиков вирусов, абсолютно непохожих друг на друга. Созданы детекторы таких вирусов, распознающие некоторые их особенности, однако детекторы уже надо применять ко всем программам подряд, а это требует много времени. Существует возможность создания более сложной процедуры порождения шифровщиков вирусов. По-видимому, эта гонка является бесконечной. Выход надо искать в создании систем, защищенных от возникновения и функционирования подобных программ.
Троянский конь - это программа, обязательно содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Эти вирусы маскируются под какие-либо полезные программы. Информация о полезности таких программ - не более чем трюк, призванный заставить пользователя запустить ее. В отличие от вирусов "троянские" программы не могут размножаться.
Троянцев можно подразделить на четыре подкласса:
-PSW-троянцы, предназначенные для кражи и пересылки информации по сети Интернет;
-Backdoor, предназначенные для удаленного администрирования через сеть (естественно без ведома жертвы);
-Логические бомбы, совершающие деструктивные действия на зараженном компьютере;
-Дропперы, маскирующие в себе другого троянца таким образом, что антивирусные программы не распознают его, и инсталлирующие его при соответствующих условиях.
Источник:Ipmy.info