Типы вирусов

1) Файловые (File) вирусы инфицируют выполняемые (aka исполняемые) файлы. В интерпретируемом файле (например, *.JPG) тело вируса также может быть записано, но оно не будет запущено на выполнение и не причинит вреда. Однако нет препятствий для создания модульных вирусных гибридов: когда части вируса хранятся в файлах различных типов, а потом "собираются" непосредственно на ПК жертвы после запуска выполняемого модуля. Последний может не содержать вирус-специфических команд и не обнаруживаться методами эвристики.

2) Загрузочные (Boot) вирусы инфицируют главную загрузочную запись (MBR) и/или загрузочный сектор (BS) носителя информации.

3) Файлово-загрузочные вирусы способны инфицировать как исполняемые файлы, так и MBR/BS.

4) Макро (Macro) вирусы являются по своей природе макросами - программными сценариями, используемыми, например, в офисных приложениях пакета MS Office (MS Word и MS Excel). В случае последних макро-вирусы написаны на языке Visual Basic for Applications (VBA). Они инфицируют шаблоны документов этих программ и все документы, создаваемые с использованием инфицированных шаблонов. Следует отметить, что макро-вирусы могут распространять свои действия за пределы среды приложений, из которых были запущены. Таким образом, возможности макро-вирусов вовсе не исчерпываются порчей документов и порой бывают ничуть не менее разрушительными, чем у файловых.

5) Скрипт (Script) вирусы написаны на каком-либо скрипт-языке программирования. Чаще всего используются Visual Basic Script (VBS) и Java-script, которые широко применяются для создания web-страниц. Примером VBS-вируса может служить Интернет-червь "Peach", использующий для своего распространения файлы формата PDF (Adobe Acrobat). Скрипт не выполняется сам по себе, он передаётся для выполнения системному обработчику. В случае ОС Windows это Windows Scripting Host. Если расположить между скриптом и его обработчиком модуль AV-проверки, то он с высокой вероятностью предотвратит запуск скрипт-вируса (подробнее см. в разделе "Дополнительные типы антивирусных программ"

6) Полиморфные (Polymorphic) вирусы отличаются тем, что до какого-то предела копии одного вируса различаются между собой, и все они не имеют постоянных участков кода. Это усложняет поиск полиморфных вирусов AV-программами, т.к. создание сигнатур (и добавление их в AV-базы) для таких вирусов становится практически невозможным.

7) Стелс (Stealth) вирусы предпринимают ряд действий, позволяющих скрыть своё присутствие в системе (в том числе и во время осуществления антивирусной проверки). Естественно, речь идёт о случаях, когда вирус активируется до запуска AV-программы и перехватывает управление. При загрузке компьютера с заведомо чистого носителя и запуска с него антивирусного сканера, процедура обнаружения стелс-вирусов ничем не отличается от таковой для не-стелс представителей.

8) Самошифрующиеся (Self-encrypted) вирусы осуществляют динамическое шифрование/расшифрование своего тела, что также затрудняет их определение AV-программами.

9) Резидентные (Resident) вирусы находятся в оперативной памяти ПК (полностью, или только оставляя в ней свою часть) до перезагрузки компьютера (в многозадачных ОС - иногда до завершения родительского процесса). Они перехватывают обращения ОС к тем объектам (файлам, секторам) которые могут заразить и внедряют в них свои копии. Макро-вирусы условно можно считать резидентыми.

10) Черви. Этот тип вирусов во многом уникален и, в свою очередь, состоит из нескольких подтипов. В последнее время с ростом сферы коммуникаций, черви стали наиболее актуальной проблемой и давно возглавляют TOP-10 самых вредоносных вирусов. Под словом «вредоносный» здесь понимаются экономические убытки, а не деструктивные свойства, которые порой отсутствуют вовсе.

Первым червём принято считать творение Роберта Таппана Морриса, который инфицировал ещё юную сеть Интернет 2 ноября 1988 года.

За прошедшие годы последователи Роберта породили целых 6 классов (выделяемых по способу распространения), которые в порядке уменьшения частоты встречаемости располагаются следующим образом:

10.1 Почтовые черви. Изначально для рассылки своих копий они использовали установленную на инфицированном компьютере почтовую программу по умолчанию и адресную книгу. Например, MS Outlook + её адресная книга. Для запуска присланной копии требовались действия пользователя: запуск аттачмента на выполнение, либо клик на ссылку в теле письма (ведущую на веб-страницу, HTML код которой был составлен с использованием ошибок в системе безопасности браузера, позволяющих скрыто осуществить передачу/запуск червя). Однако в последнее время производители ПО стали активно сопротивляться этому безобразию, интегрируя в почтовые программы антивирусы и вводя ограничения, делающие несанкционированную отправку писем затруднительной. Ответом вирусописателей стало внедрение в тела червей отдельных модулей, выполняющих прямое соединение с SMTP-сервером, независимо от почтовых программ. Также черви научились использовать уязвимости непосредственно в популярных почтовых программах, или их общих с браузером компонентах (не будем тыкать пальцем в MS Outlook). Черви такого типа запускаются автоматически, как только пользователь откроет HTML письмо. Подкласс почтовых червей самый многочисленный. На его долю по данным «Лаборатории Касперского» приходится более 95%.

10.2 LAN-черви. Распространяются через общие ресурсы локальных сетей. Примером может служить Worm.Win32.Datom (по классификации Е. Касперского). Он является многокомпонентным. Кроме того, он ищет и пытается закрыть запущенные копии брандмауэра ZoneAlarm, что иллюстрирует наличие у некоторых червей функции противодействия защитному ПО.

10.3 P2P-черви. Используют для своего распространения так называемые Peer-to-Peer (P2P) сети. Последние также называют файлообменными. Ярким представителем когорты P2P червей является Worm.P2P.Relmony. Распространяется через общедоступные каталоги пользователей этих сетей, создавая файлы с "привлекательными" (порнографическими) названиями.

10.4 IRC-черви пока обладают наименьшей численностью, однако существующие экземпляры лишний раз доказывают возможность подцепить заразу где угодно. Сервис IRC (Internet Relay Chat - передача текстовых сообщений в реальном времени по сети Интернет) был придуман Джарко Ойкариненом (Jarkko Oikarinen) в год буйства червя Морриса – 1988 и, по идее, должен был стать одной из наиболее защищённых от вирусных угроз технологий коммуникации. Однако система команд IRC-клиентов позволяет на основе их скриптов создавать червей. Представителем для DOS платформы является семикилобайтный малютка IRC-Worm.Kazimas. Из Windows-ориентированных наибольший интерес представляет IRC-Worm.Adrenaline.

10.5 Черви со смешанным механизмом проникновения. За примером далеко ходить не надо – тот же червь Морриса, а из современных – Fizzer, распространяющийся через электронную почту и сеть файлообменную сеть KaZaA.

10.6 Exploit-черви. Есть тип сетевых червей, которые вирусологи выделяют в отдельный класс, но при этом до сих пор не дали ему чёткого названия. Предлагаю исправить ситуацию, приняв термин «Exploit-червь». В этот класс следует отнести тех представителей, которые используют для проникновения на инфицируемый хост исключительно эксплоиты общего характера, непосредственно не связанные с сервисами e-mail, P2P, IRC и т.п. К ним относятся такие черви как IIS-Worm.CodeRed, Worm.SQL.Helkern и Worm.Win32.Lovesan.

Залогом успеха сетевых червей является скорость распространения (подробнее см. статью "Классификация гадов"). Она максимальна у Exploit-червей в силу абсолютной независимости от действий пользователей. Nicholas C. Weaver в статье «Warhol Worms: The Potential for Very Fast Internet Plagues» утверждает, что при использовании специальных методик оптимизации для инфицирования 1 млн. уязвимых хостов понадобиться всего около 8 минут (sic!). Соответственно, в среднем в секунду можно инфицировать более двух тысяч хостов.

11) Существуют программные закладки, позволяющие, к примеру, научить безобидный медиаплеер воровать пароли доступа и передавать их автору. Подобные скрытые функции, которые выполняются втайне от пользователя, стали называть "троянскими конями". Зачастую (но не всегда) основная программа оказывается неработоспособной, если из неё удалить код трояна. Такие объекты не подлежат «лечению», т.к. полезные функции программы служат лишь прикрытием для действий программной закладки. «Троянских коней» традиционно причисляют к вирусам, хотя терминологически это неверно. Большинство из них не способно к саморазмножению и относится к самостоятельному классу вредоносных программ. Однако, большинство антивирусов их находит и предлагает удалить. Такое положение вещей связано с тем, что антивирусные программы со временем стали приспосабливать для поиска не только вирусов, но и другого программного кода, присутствие которого на проверяемом компьютере по разным причинам нежелательно. Под раздачу попали:

11.1 эксплоиты – программы, эксплуатирующие бреши в системе безопасности или иные уязвимости;

11.2 бэкдоры – самостоятельный класс программ, представителей которых называют «задней дверью», поскольку они способны обеспечить скрытое подключение к компьютеру, на котором находятся, и передать управление в руки своего хозяина;

11.3 крэки – программы, позволяющие тем или иным способом обеспечить «альтернативную регистрацию» платного ПО, не покупая серийный номер у автора полюбившейся программы;

11.4 клавиатурные шпионы (aka "keylogers"), ведущие лог нажатий клавиш и способные таким образом следить за действиями пользователя, перехватывать вводимую информацию.

11.5 шуточные программы, которые используются для розыгрышей и не представляют реальной опасности.

11.6 генераторы вирусов (вирусные конструкторы), позволяющие создавать вирусы определённых типов по заданным шаблонам в (полу)автоматическом режиме и не владея навыками программирования.

11.7 другие программы, которые я забыл здесь упомянуть.

Все эти программы не являются вирусами, но при их обнаружении порой срабатывают антивирусы, что сбивает с толку непросвещённых пользователей.

Обращаю ваше внимание, что приведённая классификация является смешанной. Один вирус может одновременно принадлежать к разным типам. Например, Anarchy.6093 является резидентным полиморфным cтелc-вируcом.

Дата добавления: 2015-06-30; просмотров: 357; Нарушение авторских прав

Мы поможем в написании ваших работ!