Лекция: Вирусы и их классификация

Словосочетание «компьютерный вирус» часто используется в обиходе для обозначения причины нестандартного поведения компьютерной системы, которое не связано с возможными физическими неисправностями отдельных устройств (например, пониженное напряжение питания процессора может приводить к самопроизвольным перезагрузкам системы). Поскольку поведение компьютера однозначно определяется исполняемыми в данный момент программами, «отклонения поведения от стандарта» связаны либо с модификацией известных пользователю программ, либо с появлением неизвестной активной программы. Еще раз подчеркнем, что ничего мистического в самопроизвольном поведении компьютера нет. При условии корректной работы пользователя речь должна идти об активизации каких-то специальных программных кодов.

В настоящее время в информатике такие программные коды разделены на две группы: собственно компьютерные вирусы и троянские программы. Это разделение по проявлениям достаточно условно, хотя признаки кодов того или иного типа определены. Первой и основной отличительной чертой вирусных кодов является способность «производить свои копии, обладающие способностью к дальнейшему воспроизведению».

Основной отличительной чертой троянских программ является «сознательно заложенная в них деструктивная функция», т.е. возможность разрушения данных, нарушения функционирования операционной системы, блокирования свободного пространства на винчестере и т.д. В отличие от вирусов, троянские программы – это самостоятельные программные коды или программные модули.

Существующая классификация вирусов связана с типами возможных вирусоносителей. Так различают файловые вирусы, загрузочные вирусы, файлово-загрузочные вирусы, макровирусы и сетевые вирусы. Рассмотрим схематично действия вирусов каждого из указанных типов.

Файловый вирус. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину». Какие же действия выполняет вирус? Он ищет новый объект для заражения – подходящий (по типу) файл, который еще не заражен. Заражая файл, вирус внедряется в его код таким образом, чтобы, как и в случае с файлом-вирусоносителем, получить управление при запуске этого файла. Кроме своей основной функции – размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть и т.д.) – это уже зависит от фантазии автора вируса.

Действия по размножению и инфицированию другого файла файловые вирусы могут проводить либо находясь в составе файла-носителя, либо после инсталляции в оперативную память. Такие вирусы называются «резидентными». Они наиболее опасны, так как, в отличие от нерезидентных вирусов, которые создают лишь одну копию за сеанс активности, могут размножаться и инфицировать файлы, пока функционирует компьютер. Вирус может также создать файл-двойник для какого-либо исполняемого файла, который в соответствии с принятыми соглашениями будет получать управление вместо файла-оригинала при его инициализации. Такие коды получили название «компаньон-вирусы».

Загрузочные вирусы. В соответствии с названием они активизируются в процессе старта компьютера, поэтому необходимо сказать несколько слов о том, как это происходит. Как известно, на жестких и гибких дисках при форматировании создаются специальные системные области, в которые запрещена запись данных. В этих областях есть разделы, предназначенные для обеспечения загрузки операционной системы. На гибком диске такой раздел называется "загрузочный сектор" (boot sector). В нем располагается программа начальной загрузки (если диск системный), и на него передается управление при обращении к диску во время старта, компьютера. На винчестере загрузку операционной системы обеспечивают два раздела: главная загрузочная запись (Master Boot Record – MBR), содержащая информацию о том, где находится загрузочный сектор, и boot sector. Если загрузка проводится с винчестера, управление передается сначала на MBR, а затем на программу начальной загрузки. Именно в загрузочные разделы внедряется вирус данного типа, для того чтобы получить управление. Поскольку программа начальной загрузки очень маленькая, вирус не может работать как ее часть, поэтому все загрузочные вирусы инсталлируются в память, т.е. являются резидентными. Они, как правило, состоят из двух частей: головы и хвоста, который может быть пустым.

Если в дисковод инфицированного компьютера помещается дискета, находящийся в памяти, вирус ее заражает. Последовательность действий вируса по внедрению в загрузочный сектор такова. Сначала вирус выделяет на диске область и делает ее недоступной для операционной системы. Затем копирует в эту область свой хвост и содержимое загрузочного сектора. После этого вирус помещает свою голову в загрузочный сектор и организует передачу управления на свой хвост и далее на адрес, с которого записано оригинальное содержимое загрузочного сектора. Эти действия не зависят от того, системная дискета или нет, так что даже при случайной передаче управления на загрузочный сектор (дискета забыта в дисководе при перезагрузке) компьютер инфицируется.

Файлово-загрузочные вирусы сочетают в себе возможности первых двух классов. Это позволяет им повышать как выживаемость на инфицированном компьютере, так и скорость распространения.

Макровирусы. Макровирусы являются программами на языках (макроязыках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макроязыков привязки программы на макроязыке к конкретному файлу, копирования макропрограмм из одного файла в другой, получения управления макропрограммой без вмешательства пользователя (автоматические или стандартные макросы) и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макровирусы для Microsoft Office, поскольку эта система содержит обладающий указанными возможностями макроязык – Visual Basic for Applications. Можно сказать, что большинство макровирусов являются резидентными: они активны не только в момент открытия/закрытия файла, но до тех пор, пока активен сам редактор.

Сетевые вирусы. Сетевыми называются вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.

Сетевые вирусы прошлого распространялись в компьютерной сети и, как правило, так же, как и компаньон-вирусы, не изменяли файлы или секторы на дисках. Они проникали в память компьютера из компьютерной сети, вычисляли сетевые адреса других компьютеров и рассылали по этим адресам свои копии. Эти вирусы иногда также создавали рабочие файлы на дисках системы, но могли вообще не обращаться к ресурсам компьютера (за исключением оперативной памяти). Современные сетевые вирусы являются, по существу, макровирусами, так как используют возможности автоматизированной обработки информации, встроенные в клиентские программы, поддерживающие сетевые сервисы. Например, вирус «Macro.Word.ShareFun» использует возможности электронной почты Microsoft Mail – он создает новое письмо, содержащее зараженный файл-документ, затем выбирает из списка адресов MS-Mail три случайных адреса и рассылает по ним зараженное письмо. Поскольку многие пользователи устанавливают параметры MS-Mail таким образом, что при получении письма автоматически запускается MS Word, то вирус «автоматически» внедряется в компьютер адресата зараженного письма. Большое распространение получили вирусы с общим названием «IRC-черви», которые используют возможности программ, поддерживающих общение пользователей сети в режиме on-line (Internet Relay Chat).

Приведенное разделение вирусных программ соответствует первому (основному) классификационному уровню. Следующие уровни классификации связаны с технологиями создания (стелс-технология, полиморфик-технология), особенностями функционирования, деструктивными возможностями.

Не обольщайтесь встроенной в BIOS защитой от вирусов, многие вирусы «обходят» ее при помощи различных приемов.

То же верно для систем антивирусной защиты, встроенных в «офисных» программах. Они также могут быть отключены вирусом (или самим пользователем, поскольку эти системы могут сильно мешать в работе).