Лекция: Классификация компьютерных вирусов
Среда обитания вирусов
Как в реальной жизни разные биологические вирусы поражают разные органы живого организма, так и компьютерные вирусы различных типов предназначены для повреждения совершенно определенных объектов файловой системы.
Файловые вирусы. Этот тип вирусов поражает исполнимые файлы, имплантируя в них опасный код. Заражение происходит в тот момент, когда файл находится в оперативной памяти, то есть в момент исполнения. Во времена MS-DOS к исполнимым (или программным) файлам относились файлы с расширениями.СОМ и .EXE. Сегодня на компьютерах, работающих под управлением Windows, программный код содержится и в файлах типов .SYS, .BIN, в динамических библиотеках (.DLL), в файлах драйверов (. DRV, .VXD) а также некоторых других. Поэтому при поиске вирусов в наши дни список файлов, относящихся к «программным», значительно расширен.
Загрузочные вирусы (Boot-вирусы). Такие вирусы располагаются в служебных секторах носителей данных и поступают в оперативную память только при загрузке компьютера с этого носителя. Например, загрузочный вирус может находиться в загрузочной записи (Boot Record) гибкого диска, но если вы никогда не загружаете операционную систему с этого диска, вирус никогда не перейдет на жесткий диск. Именно поэтому при настройке последовательности запуска компьютера средствами BIOS следует для защиты от Boot-вирусов установить загрузку только с жесткого диска С: и лишь при проведении ремонтно-восстановительных работ подключать загрузку с дисковода гибких дисков (А:) или с дисковода компакт-дисков (CD-ROM). Разумеется, при этом вставлять в эти дисководы можно только проверенные носители.
Сетевые вирусы. Эти вирусы обитают только в оперативной памяти компьютеров и не копируют себя на носители данных. На автономном компьютере такие вирусы существовать не могут, так как при выключении питания непременно погибнут. Компьютеры крупных сетей не выключаются, а если какой-то отдельный компьютер и выключится, то этот период вирус переждет на других компьютерах. Эта порода вирусов для индивидуальных пользователей не страшна, и мы ее рассматривать не будем.
Макровирусы. Это единственная (пока) порода вирусов, способная обитать в файлах документов. Чаще всего они поражают документы, подготовленные в текстовом процессоре Microsoft Word, что связано с огромной распространенностью данной программы, хотя в общем случае они могут поражать документы, подготовленные и в других приложениях, если эти приложения имеют свой язык макрокоманд и позволяют встраивать макрокоманды в документ. Для защиты от вирусов этого типа достаточно отключить в приложении возможность исполнения макрокоманд при просмотре документов, поступивших извне. Для документов, подготавливаемых самостоятельно («от нуля»), макрокоманды можно подключить снова. Следует иметь в виду, что если документ готовится на основе шаблона, то это уже не значит «от нуля». Шаблон, даже пустой, — точно такой же документ, и он тоже может быть заражен макро вирусом. Поэтому следует сразу настроить текстовый процессор таким образом, чтобы никто, кроме вас самих не мог перезаписывать ваши шаблоны.
Разрушающее воздействие вирусов
«Безвредные» вирусы». Множество вирусов не представляют прямой опасности (их механизм срабатывания не предполагает опасных действий) и занимаются только размножением. Цель их создателей — шалость, желание самоутвердиться, не беря греха на душу, и, конечно, проба сил. Мы берем слово «безвредность» в кавычки, потому что на самом деле вред от них не столь мал, как кажется. Во-первых, они перегружают ресурсы компьютерных систем и способны заметно понижать их производительность, а во-вторых, обнаружение такого вируса на компьютерах предприятия или организации резко роняет престиж этого предприятия в глазах клиентов и партнеров. Убытки от этого вполне реальны — их можно измерить как в условных, так и в безусловных единицах.
Малоопасные вирусы. Вирусы этой категории в момент активизации не производят разрушительных действий, но беспокоят пользователей неожиданными сообщениями, экранными и звуковыми эффектами. Вредность примерно та же, что и у «безвредных» вирусов, рассмотренных выше. Положительное свойство: они предупреждают владельца компьютерной системы о том, что в его системе безопасности не все в порядке и, как знать, может быть спасают его от больших неприятностей.
Разрушительные вирусы. Во время вирусной атаки вирусы этой породы наносят реальное поражение данным, имеющимся на компьютере. Если стирать данные по-настоящему, то на это уходит не меньше времени, чем на их запись. Вирусы не могут обрабатывать жесткий диск жертвы часами так, чтобы никто ничего не заметил. Поэтому они обычно уничтожают только служебные области — операция занимает доли секунды, а найти на этом диске нужную информацию рядовой пользователь уже не сможет. Восстановление диска потребует специальных знаний и специальных средств.
Современные разновидности вирусов-разрушителей способны повредить не только данные на жестком диске. Они умудряются добраться до данных, хранящихся в микросхеме CMOS-памяти, а в тех случаях, когда на компьютере использована перезаписываемая микросхема ПЗУ (флэш-память), то и до нее. Восстановление микросхемы ПЗУ часто приходится производить путем ее замены, и это несколько подрывает классическую аксиому о том, что вирусы не в состоянии повреждать оборудование. Но если эту микросхему перепрограммировать, не заменяя, старый принцип пока еще остается в силе. Радикальный метод защиты состоит в физическом отключении возможности перезаписи ПЗУ с помощью перемычек материнской платы. В некоторых моделях портативных компьютеров такой возможности может и не быть — в них BIOS представлен файлами на жестком диске. Тогда нужно, по крайней мере, отключить возможность перезаписи ПЗУ программным путем при настройке BIOS. В некоторых наиболее простых случаях это убережет от заражения.