по среде обитания компьютерные вирусы можно классифицировать следующим образом
Классификация компьютерных вирусов по среде обитания
Доброго времени суток, дорогие читатели. Если вы читали нашу предыдущую статью, в которой мы рассказывали вам о вирусах, то наверняка вы уже знаете, что как таковой классификации вирусов не существуют, и разные программисты классифицируют из по-разному. И в сегодняшней статье мы расскажем вам о том, на какие группы делятся вирусы, в зависимости от среды обитания.
Итак, изначально вы должны понимать, что среда обитания – это, если можно так сказать, жаргонное выражение компьютерщиков. Говоря терминами, это файловые области вашего компьютеры, на которые вирусы копируются и распространяются.
На сегодняшний день можно выделить 4 таких группы. Это:
Файловые вирусы
Название этой категории вирусов говорит само за себя. Мы же можем несколько дополнить его. Файловыми, называются вирусы, которые так или иначе используют файловую систему операционной системы. Такие вирусы способны как заражать файлы, так и размножаться. Именно поэтому программисты выделяют несколько типов работы таких вирусов:
Как мы уже сказали ранее, такие вирусы, на сегодняшний день, являются малоэффективными и непопулярными, ибо их способны поймать практически все существующие антивирусы. Статистика показывает, что вирусы подобного типа, на сегодняшний день используются менее, чем в 1% атак.
Загрузочные вирусы
Такие вирусы были популярны в 90-х – начале нулевых, но сейчас, как и файловые, они практически «вышли из моды». Говоря простыми словами, данные вирусы записывались в загрузочный сектор диска (boot), либо в системный загрузчик жесткого диска. Однако прогресс попросту «убил» ценность таковых вирусов, ибо переход на 32 и 64 битные системы в значительной степени повлиял на их уход.
Кроме того, такие вирусы часто передавались через дискеты, которые на сегодняшний день уже никто не используют. В теории данный вирус может появиться на дисках и внешних носителях информации (флешки или внешние жесткие диски), но пока такие вирусы не были замечены, по крайней мере в массовом проявлении.
Макро-вирусы
А к этой категории вирусов относятся программы, которые располагаются в макропрограммах. К последним относятся практически все табличные и графические редакторы, текстовые процессоры, системы проектирование и многие другие. Говоря простыми словами, даже сегодня такие вирусы вполне часто замечаются на компьютерах пользователей.
Собственно говоря, главным отличием макропрограмм является их сложная структура. Именно в этой структуре и может прятаться вирус, который также написан на макро-языке. Обычно – это тоже достаточно сложные вирусы, которые вполне могут переписать свой код и переместиться из одного файла в другой.
В принципе, макро-вирусы можно отнести к категории, а точнее к подкатегории файловых вирусов, с тем только отличием, что их коды позволяют им находиться и на современных ПК.
Скрипт-вирусы
По сути, данные вирусы также можно назвать подкатегорией файловых вирусов, измененных и улучшенных под современные реалии. Дело в том, что такие вирусы используют скрипт-программы, к которым относится практически все. Например, скрипт-компоненты есть в операционных системах и большинстве современных программ.
Примечательно, что в некоторых случаях такой вирус может располагаться компонентно, т.е. по частям в разных скрипт-файлах, от чего обнаружить его становится практически невозможно. При этом, вреда он приносит очень много, т.к. обладает возможностью копировать себя на файлы с другими разрешениями и форматами. Ограничением служит лишь то, что эти файлы должны использовать систему скриптов.
Сетевые вирусы
На сегодняшний, такие вирусы представляют собой 90% от общего количества. Дело в том, что располагаются такие вирусы в сети, на различных подозрительных сайтах или в социальных сетях, где, собственно, и распространяются.
Ранее мы уже успели сказать, что некогда использовались сочетания групп вирусов (например, файлово-загрузочные). Но если в наши дни такая комбинация малоэффективна, то существует другая, намного более опасная группа. Это сетевой макровирус. Именно к этой категории относится вирус, который поражает какие-то макро-файлы, а впоследствии рассылает свои копии по той же электронной почте.
Стоит отметить, что вирусы не всемогущи. Каждый из них ориентирован на работу в той или иной операционной системе или категории файлов. Так, например, файловые и сетевые вирусы поражают, в основном, операционные системы. Некоторые в большей степени (как Windows), некоторые – меньше (Linux). Это зависит не от системы, а от количества пользователей, которое, по сути, несоизмеримо.
Что касается макро-вирусов, то им подвластны все программы Office (Word, Exel и т.д.), а также подобные им макро-программы. Ну а загрузочные вирусы ориентированы на работу с данными на определенных участков дисков.
На этом мы хотим закончить нашу статью. Надеемся, что она оказалась полезной и интересной для вас. Мы же прощаемся с вами и желаем вам меньше сталкиваться с проблемами вирусов.
По среде обитания компьютерные вирусы можно классифицировать следующим образом
Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми. Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.
Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию. В отличие от резидентных нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным.
Арсенал деструктивных или вредительских возможностей компьютерных вирусов весьма обширен. Деструктивные возможности вирусов зависят от целей и квалификации их создателя, а также от особенностей компьютерных систем.
Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая ее эффективность функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.
К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п.
Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п.
Известны публикации, в которых упоминаются вирусы, вызывающие неисправности аппаратных средств. Предполагается, что на резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.
Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.
К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
«Стелc»-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.
«Стелс»-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. «Стелс»-вирусы обладают способностью противодействовать резидентным антивирусным средствам.
Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскирования и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.
Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.
По среде обитания компьютерные вирусы можно классифицировать следующим образом
В настоящее время в мире насчитывается более 40 тысяч только зарегистрированных компьютерных вирусов. Так как подавляющее большинство современных вредительских программ обладают способностью к саморазмножению, то часто их относят к компьютерным вирусам. Все компьютерные вирусы могут быть классифицированы по следующим признакам:
По способу заражения среды обитания компьютерные вирусы делятся на:
Резидентные вирусы после их активизации полностью или частично перемещаются из среды обитания (сеть, загрузочный сектор, файл) в оперативную память ЭВМ. Эти вирусы, используя, как правило, привилегированные режимы работы, разрешенные только операционной системе, заражают среду обитания и при выполнении определенных условий реализуют деструктивную функцию. В отличие от резидентных нерезидентные вирусы попадают в оперативную память ЭВМ только на время их активности, в течение которого выполняют деструктивную функцию и функцию заражения. Затем вирусы полностью покидают оперативную память, оставаясь в среде обитания. Если вирус помещает в оперативную память программу, которая не заражает среду обитания, то такой вирус считается нерезидентным.
Арсенал деструктивных или вредительских возможностей компьютерных вирусов весьма обширен. Деструктивные возможности вирусов зависят от целей и квалификации их создателя, а также от особенностей компьютерных систем.
По среде обитания компьютерные вирусы делятся на:
Средой обитания сетевых вирусов являются элементы компьютерных сетей. Файловые вирусы размещаются в исполняемых файлах. Загрузочные вирусы находятся в загрузочных секторах (областях) внешних запоминающих устройств (boot-секторах). Иногда загрузочные вирусы называют бутовыми. Комбинированные вирусы размещаются в нескольких средах обитания. Примером таких вирусов служат загрузочно-файловые вирусы. Эти вирусы могут размещаться как в загрузочных секторах накопителей на магнитных дисках, так и в теле загрузочных файлов.
По степени опасности для информационных ресурсов пользователя компьютерные вирусы можно разделить на:
Однако при всей кажущейся безобидности таких вирусов они наносят определенный ущерб КС. Во-первых, такие вирусы расходуют ресурсы КС, в той или иной мере снижая ее эффективность функционирования. Во-вторых, компьютерные вирусы могут содержать ошибки, вызывающие опасные последствия для информационных ресурсов КС. Кроме того, при модернизации операционной системы или аппаратных средств КС вирусы, созданные ранее, могут приводить к нарушениям штатного алгоритма работы системы.
К опасным относятся вирусы, которые вызывают существенное снижение эффективности КС, но не приводящие к нарушению целостности и конфиденциальности информации, хранящейся в запоминающих устройствах. Последствия таких вирусов могут быть ликвидированы без особых затрат материальных и временных ресурсов. Примерами таких вирусов являются вирусы, занимающие память ЭВМ и каналы связи, но не блокирующие работу сети; вирусы, вызывающие необходимость повторного выполнения программ, перезагрузки операционной системы или повторной передачи данных по каналам связи и т. п.
Очень опасными следует считать вирусы, вызывающие нарушение конфиденциальности, уничтожение, необратимую модификацию (в том числе и шифрование) информации, а также вирусы, блокирующие доступ к информации, приводящие к отказу аппаратных средств и наносящие ущерб здоровью пользователям. Такие вирусы стирают отдельные файлы, системные области памяти, форматируют диски, получают несанкционированный доступ к информации, шифруют данные и т. п.
Известны публикации, в которых упоминаются вирусы, вызывающие неисправности аппаратных средств. Предполагается, что на резонансной частоте движущиеся части электромеханических устройств, например в системе позиционирования накопителя на магнитных дисках, могут быть разрушены. Именно такой режим и может быть создан с помощью программы-вируса. Другие авторы утверждают, что возможно задание режимов интенсивного использования отдельных электронных схем (например, больших интегральных схем), при которых наступает их перегрев и выход из строя.
Использование в современных ПЭВМ постоянной памяти с возможностью перезаписи привело к появлению вирусов, изменяющих программы BIOS, что приводит к необходимости замены постоянных запоминающих устройств.
В соответствии с особенностями алгоритма функционирования вирусы можно разделить на два класса:
В свою очередь, вирусы, не изменяющие среду обитания, могут быть разделены на две группы:
По сложности, степени совершенства и особенностям маскировки алгоритмов вирусы, изменяющие среду обитания, делятся на:
К студенческим относят вирусы, создатели которых имеют низкую квалификацию. Такие вирусы, как правило, являются нерезидентными, часто содержат ошибки, довольно просто обнаруживаются и удаляются.
«Стелc»-вирусы и полиморфные вирусы создаются квалифицированными специалистами, хорошо знающими принцип работы аппаратных средств и операционной системы, а также владеющими навыками работы с машиноориентированными системами программирования.
«Стелс»-вирусы маскируют свое присутствие в среде обитания путем перехвата обращений операционной системы к пораженным файлам, секторам и переадресуют ОС к незараженным участкам информации. Вирус является резидентным, маскируется под программы ОС, может перемещаться в памяти. Такие вирусы активизируются при возникновении прерываний, выполняют определенные действия, в том числе и по маскировке, и только затем управление передается на программы ОС, обрабатывающие эти прерывания. «Стелс»-вирусы обладают способностью противодействовать резидентным антивирусным средствам.
Любой вирус, независимо от принадлежности к определенным классам, должен иметь три функциональных блока: блок заражения (распространения), блок маскирования и блок выполнения деструктивных действий. Разделение на функциональные блоки означает, что к определенному блоку относятся команды программы вируса, выполняющие одну из трех функций, независимо от места нахождения команд в теле вируса.
После передачи управления вирусу, как правило, выполняются определенные функции блока маскировки. Например, осуществляется расшифрование тела вируса. Затем вирус осуществляет функцию внедрения в незараженную среду обитания. Если вирусом должны выполняться деструктивные воздействия, то они выполняются либо безусловно, либо при выполнении определенных условий.
Завершает работу вируса всегда блок маскирования. При этом выполняются, например, следующие действия: шифрование вируса (если функция шифрования реализована), восстановление старой даты изменения файла, восстановление атрибутов файла, корректировка таблиц ОС и др.
Последней командой вируса выполняется команда перехода на выполнение зараженных файлов или на выполнение программ ОС.
Для удобства работы с известными вирусами используются каталоги вирусов. В каталог помещаются следующие сведения о стандартных свойствах вируса: имя, длина, заражаемые файлы, место внедрения в файл, метод заражения, способ внедрения в ОП для резидентных вирусов, вызываемые эффекты, наличие (отсутствие) деструктивной функции и ошибки. Наличие каталогов позволяет при описании вирусов указывать только особые свойства, опуская стандартные свойства и действия.
Конспект по дисциплине ИБ на тему «Классификация компьютерных вирусов»
Ищем педагогов в команду «Инфоурок»
Классификация компьютерных вирусов
2.2.1. Введение
Цели изучения темы
изучить классы компьютерных вирусов и их характеристику.
Требования к знаниям и умениям
Студент должен знать:
классы компьютерных вирусов;
характеристику различных компьютерных вирусов.
Студент должен уметь:
классифицировать компьютерные вирусы.
Ключевой термин: класс компьютерного вируса.
Класс компьютерного вируса определяется средой «обитания», особенностью алгоритма его работы, а также деструктивными действиями.
среда «обитания» вируса;
самошифрование и полиморфичность.
Структурная схема терминов
2.2.2. Классификация компьютерных вирусов по среде обитания
По среде «обитания» вирусы делятся на:
Файловые вирусы внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы).
Загрузочные вирусы записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик жесткого диска (Master Boot Record), либо меняют указатель на активный boot-сектор.
Макровирусы заражают файлы-документы и электронные таблицы популярных офисных приложений.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
Существует большое количество сочетаний – например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс- и полиморфик-технологии. Другой пример такого сочетания – сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Заражаемая операционная система является вторым уровнем деления вирусов на классы. Каждый файловый или сетевой вирус заражает файлы какой-либо одной или нескольких OS – DOS, Windows, и т. д. Макровирусы заражают файлы форматов Word, Excel, пакета Office. Загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков.
2.2.3. Классификация компьютерных вирусов по особенностям алгоритма работы
По особенностям алгоритма работы вирусы делятся на:
вирусы, использующие нестандартные приемы.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. К резидентным относятся макровирусы, поскольку они постоянно присутствуют в памяти компьютера на все время работы зараженного редактора. При этом роль операционной системы берет на себя редактор, а понятие «перезагрузка операционной системы» трактуется как выход из редактора.
В многозадачных операционных системах время «жизни» резидентного DOS-вируса также может быть ограничено моментом закрытия зараженного DOS-окна, а активность загрузочных вирусов в некоторых операционных системах ограничивается моментом инсталляции дисковых драйверов OC.
Использование стелс-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов операционной системы на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макровирусов наиболее популярный способ – запрет вызовов меню просмотра макросов.
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса. Полиморфик-вирусы (polymorphic) – это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.
Различные нестандартные приемы часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре операционной системы, защитить от обнаружения свою резидентную копию, затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т. д.
2.2.4. Классифиация компьютерных вирусов по деструктивные возможностям
По деструктивным возможностям вирусы можно разделить на:
безвредные, т. е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);
неопасные, влияние которых ограничивается уменьшением свободной памяти на диске;
опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера;
очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти, и даже повредить аппаратные средства компьютера.
Но даже если в алгоритме вируса не найдено ветвей, наносящих ущерб системе, этот вирус нельзя с полной уверенностью назвать безвредным, так как проникновение его в компьютер может вызвать непредсказуемые и порой катастрофические последствия, поскольку вирус, ка
2.2.5. Выводы по теме
По среде «обитания» вирусы делятся на файловые, загрузочные, макровирусы, сетевые.
Файловые вирусы внедряются в выполняемые файлы, либо создают файлы-двойники, либо используют особенности организации файловой системы.
Загрузочные вирусы записывают себя либо в загрузочный сектор диска, либо в сектор, содержащий системный загрузчик жесткого диска.
Макровирусы заражают файлы-документы и электронные таблицы офисных приложений.
Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты.
По особенностям алгоритма работы вирусы делятся на резидентные, стелс-вирусы, полиморфик-вирусы и вирусы, использующие нестандартные приемы.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них.
Стелс-вирусы скрывают свое присутствие в «среде обитания».
Самошифрование и полиморфичность используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования (обнаружения) вируса.
По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные вирусы.
2.2.6. Вопросы для самоконтроля
Перечислите классификационные признаки компьютерных вирусов.
Охарактеризуйте файловый и загрузочный вирусы.
В чем особенности резидентных вирусов?
Сформулируйте признаки стелс-вирусов.
Перечислите деструктивные возможности компьютерных вирусов.
Поясните самошифрование и полиморфичность как свойства компьютерных вирусов.
2.2.7. Ссылки на дополнительные материалы (печатные и электронные ресурсы)
Касперский Е. Компьютерные вирусы в MS-DOS. – М.: Эдель, 1992.
Касперский Е. Компьютерные вирусы, 2003. – Электронная энциклопедия. – Режим доступа к энциклопедии: www.viruslist.com/viruslistbooks.html.
Щербаков А. Ю. Введение в теорию и практику компьютерной безопасности. – М.: Издательство Молгачева С. В., 2001.
Фролов А. В., Фролов Г. В. Осторожно: компьютерные вирусы. – М.: ДИАЛОГ-МИФИ, 1996.
Галатенко В. А. Основы информационной безопасности. – М: Интернет-Университет Информационных Технологий – ИНТУИТ. РУ, 2003