Класифікація комп'ютерних вірусів

.В теперішній час в світі налічується більше 40 тисяч тільки зареєстрованих комп'ютерних вірусів. Оскільки переважна більшість сучасних шкідницьких програм володіють здібністю до саморазмножению, то часто їх відносять до комп'ютерних вірусів. Всі комп'ютерні віруси можуть бути класифіковані по наступних ознаках [4,20]:

♦ по місцю існування;

♦ за способом зараження;

♦ по ступеню небезпеки деструктивних (шкідницьких)

дій;

| по алгоритму функціонування.

По місцю існування комп'ютерні віруси діляться на:

♦ мережеві;

♦ файлові;

♦ завантажувальні;

♦ комбіновані.

Місцем існування мережевих вірусів є елементи комп'ютерних мереж. Файлові віруси розміщуються у виконуваних файлах. Завантажувальні віруси знаходяться в завантажувальних секторах (областях) зовнішніх пристроїв, що запам'ятовують (boot-секторах). Іноді завантажувальні віруси називають бутовими. Комбіновані віруси розміщуються в декількох місцях існування. Прикладом таких вірусів служать завантажувально-файлові віруси. Ці віруси можуть розміщуватися як в завантажувальних секторах накопичувачів на магнітних дисках, так і в тілі завантажувальних файлів.

За способом зараження місця існуваннякомп'ютерні віруси діляться на:

♦ резидентні;

♦ нерезидентні.

Резидентні віруси після їх активізації повністю або частково переміщаються з місця існування (мережа, завантажувальний сектор, файл) в оперативну пам'ять ЕОМ. Ці віруси, використовуючи, як правило, привілейовані режими роботи, дозволені тільки операційній системі, заражають місце існування і при виконанні певних умов реалізують деструктивну функцію. На відміну від резидентних нерезидентні віруси потрапляють в оперативну пам'ять ЕОМ тільки на час їх активності, протягом якого виконують деструктивну функцію і функцію зараження. Потім віруси повністю покидають оперативну пам'ять, залишаючись в місці існування. Якщо вірус поміщає в оперативну пам'ять програму, яка не заражає місце існування, то такий вірус вважається нерезидентним.

Арсенал деструктивних або шкідницьких можливостей комп'ютерних вірусів вельми обширний. Деструктивні можливості вірусів залежать від цілей і кваліфікації їх творця, а також від особливостей комп'ютерних систем.

По ступеню небезпеки для інформаційних ресурсівкористувача комп'ютерні віруси можна розділити на:

♦ нешкідливі віруси;

♦ небезпечні віруси;

♦ дуже небезпечні віруси.

Нешкідливі комп'ютерні віруси створюються авторами, які не ставлять собі мети завдати якого-небудь збитку ресурсам КС. Ними, як правило, рухає бажання показати свої можливості програміста. Іншими словами, створення комп'ютерних вірусів для таких людей - своєрідна спроба самоствердження. Деструктивна дія таких вірусів зводиться до виводу на екран монітора безневинних текстів і картинок, виконання музичних фрагментів і тому подібне

Проте при всій нешкідливості таких вірусів, що здається, вони завдають певного збитку КС. По-перше, такі віруси витрачають ресурси КС, в тій чи іншій мірі знижуючи її ефективність функціонування. По-друге, комп'ютерні віруси можуть містити помилки, що викликають небезпечні наслідки для інформаційних ресурсів КС. Крім того, при модернізації операційної системи або апаратних засобів КС віруси, створені раніше, можуть приводити до порушень штатного алгоритму роботи системи.

До небезпечних відносяться віруси, які викликають істотне зниження ефективності КС, але що не приводять до порушення цілісності і конфіденційності інформації, що зберігається в пристроях, що запам'ятовують. Наслідки таких вірусів можуть бути ліквідовані без особливих витрат матеріальних і тимчасових ресурсів. Прикладами таких вірусів є віруси, що займають пам'ять ЕОМ і канали зв'язку, але не блокуючі роботу мережі; віруси, що викликають необхідність повторного виконання програм, перезавантаження операційної системи або повторної передачі даних по каналах зв'язку і тому подібне

Дуже небезпечними слід рахувати віруси, що викликають порушення конфіденційності, знищення, необоротну модифікацію (у тому числі і шифрування) інформації, а також віруси, блокуючі доступ до інформації, приводять до відмови апаратних засобів і завдають збитку здоров'ю користувачам. Такі віруси стирають окремі файли, системні області пам'яті, форматують диски, дістають несанкціонований доступ до інформації, шифрують дані і тому подібне

Відомі публікації, в яких згадуються віруси, що викликають несправності апаратних засобів. Передбачається, що на резонансній частоті рухомі частини електромеханічних пристроїв, наприклад в системі позиціонування накопичувача на магнітних дисках, можуть бути зруйновані. Саме такий режим і може бути створений за допомогою програми-вірусу. Інші автори стверджують, що можливе завдання режимів інтенсивного використання окремих електронних схем (наприклад, великих інтегральних схем), при яких наступає їх перегрів і вихід з ладу.

Використання в сучасних ПЕВМ постійної пам'яті з можливістю перезапису привело до появи вірусів, що змінюють програми BIOS, що приводить до необхідності заміни постійних пристроїв, що запам'ятовують.

Можливі також дії на психіку людини - оператора ЕОМ за допомогою підбору відеозображення, що видається на екран монітора з певною частотою (кожен двадцять п'ятий кадр). Вбудовані кадри цієї відеоінформації сприймаються людиною на підсвідомому рівні. В результаті такої дії можливе нанесення серйозного збитку психіці людини. У 1997 році 700 японців потрапили до лікарні з ознаками епілепсії після проглядання комп'ютерного мультфільму по телебаченню. Припускають, що саме таким чином була випробувана можливість дії на людину за допомогою вбудовування 25-го кадру .

Відповідно до особливостей алгоритму функціонуваннявіруси можна розділити на два класи:

♦ віруси, що не змінюють місце існування (файли і сектори) при розповсюдженні;

♦ віруси, що змінюють місце існування при розповсюдженні.

У свою чергу, віруси, що не змінюють місце існування, можуть бути розділені на дві групи:

♦ вирусы-«спутники» (companion);

♦ вирусы-«черви» (worm).

Віруси-«спутникі» не змінюють файли. Механізм їх дії полягає в створенні копій виконуваних файлів. Наприклад, в MS DOS такі віруси створюють копії для файлів, що мають розширення .ЕХЕ. Копії привласнюється те ж ім'я, що і виконуваному файлу, але розширення змінюється на .СОМ. При запуску файлу із загальним ім'ям операційна система першим завантажує на виконання файл з розширенням .СОМ, який є програмою-вірусом. Файл-вірус запускає потім і файл з розширенням .ЕХЕ.

Віруси-«черві» потрапляють в робочу станцію з мережі, обчислюють адреси розсилки вірусу по інших абонентах мережі і здійснюють передачу вірусу. Вірус не змінює файлів і не записується в завантажувальні сектори дисків. Деякі вирусы-«черви» створюють робочі копії вірусу на диску, інші - розміщуються тільки в оперативній пам'яті ЕОМ.

По складності, ступеню досконалості і особливостям маскування алгоритмів віруси, що змінюють місце існування, діляться на:

♦ студентські;

♦ «стелс» - віруси (віруси-невидимки);

♦ поліморфні.

До студентських відносять віруси, творці яких мають низьку кваліфікацію. Такі віруси, як правило, є нерезидентними, часто містять помилки, досить просто виявляються і віддаляються. «Стелс»- віруси і поліморфні віруси створюються кваліфікованими фахівцями, обізнаними принцип роботи апаратних засобів і операційної системи, а також навиками роботи, що володіють, з машиноориентированными системами програмування.

«Стелс»-віруси маскують свою присутність в місці існування шляхом перехоплення звернень операційної системи до уражених файлів, секторам і переадресують ОС до незаражених ділянок інформації. Вірус є резидентним, маскується під програми ОС, може переміщатися в пам'яті. Такі віруси активізуються при виникненні переривань, виконують певні дії, у тому числі і по маскуванню, і тільки тоді управління передається на програми ОС, оброблювальні ці переривання. «Стеле»- віруси володіють здатністю протидіяти резидентним антивірусним засобам.

Поліморфні віруси не мають постійних пізнавальних груп - сигнатур. Звичайні віруси для розпізнавання факту зараження місця існування розміщують в зараженому об'єкті спеціальну пізнавальну двійкову послідовність або послідовність символів (сигнатуру), яка однозначно ідентифікує зараженість файлу або сектора. Сигнатури використовуються на етапі розповсюдження вірусів для того, щоб уникнути багатократного зараження одних і тих же об'єктів, оскільки при багатократному зараженні об'єкту значно зростає вірогідність виявлення вірусу. Для усунення демаскуючих ознак поліморфні віруси використовують шифрування тіла вірусу і модифікацію програми шифрування. За рахунок такого перетворення поліморфні віруси не мають збігів код.

Будь-який вірус, незалежно від приналежності до певних класів, повинен мати три функціональні блоки: блок зараження (розповсюдження), блок маскування і блок виконання деструктивних дій. Розділення на функціональні блоки означає, що до певного блоку відносяться команди програми вірусу, що виконують одну з трьох функцій, незалежно від місця знаходження команд в тілі вірусу.

Після передачі управління вірусу, як правило, виконуються певні функції блоку маскування. Наприклад, здійснюється расшифрование тіла вірусу. Потім вірус здійснює функцію впровадження в незаражене місце існування. Якщо вірусом повинні виконуватися деструктивні дії, то вони виконуються або безумовно, або при виконанні певних умов.

Завершує роботу вірусу завжди блок маскування. При цьому виконуються, наприклад, наступні дії: шифрування вірусу (якщо функція шифрування реалізована), відновлення старої дати зміни файлу, відновлення атрибутів файлу, коректування таблиць ОС і ін.

Останньою командою вірусу виконується команда переходу на виконання заражених файлів або на виконання програм ОС.

Для зручності роботи з відомими вірусами використовуються каталоги вірусів. У каталог поміщаються наступні відомості про стандартні властивості вірусу: ім'я, довжина, файли, що заражаються, місце впровадження у файл, метод зараження, спосіб впровадження в ОП для резидентних вірусів, ефекти, що викликаються, наявність (відсутність) деструктивної функції і помилки. Наявність каталогів дозволяє при описі вірусів указувати тільки особливі властивості, опускаючи стандартні властивості і дії.