Вирусом называется специально написанная программа, способная самопроизвольно присоединяться к другим программам, создавать свои копии и внедрять их в файлы, системные области компьютера и в вычислительные сети с целью нарушения работы программ, порчи файлов и каталогов, создания всевозможных помех в работе на компьютере. КОМПЬЮТЕРНЫЕ ВИРУСЫ. Основные источники вирусов: Информационный носитель, на котором находятся заражённые вирусом файлы. Компьютерная сеть (локальная или глобальная), в том числе электронная почта. Винчестер, на который попал вирус в результате работы с заражёнными программами. Вирус, оставшийся в оперативной памяти.
Основные признаки проявления компьютерных вирусов: прекращение работы или неправильная работа ранее успешно функционировавших программ; медленная работа компьютера; невозможность загрузки операционной системы; исчезновение файлов и каталогов или искажение их содержимого; изменение даты времени модификации файлов; изменение размеров файлов; неожиданное значительное увеличение количества файлов на диске; существенное уменьшение размера свободной оперативной памяти; вывод на экран непредусмотренных сообщений или изображений; подача непредусмотренных звуковых сигналов; частые зависания и сбои в работе компьютера
По ДЕСТРУКТИВНЫМ ВОЗМОЖНОСТЯМ вирусы можно разделить на: безвредные, т.е. никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения); неопасные, влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами; опасные вирусы, которые могут привести к серьезным сбоям в работе компьютера; очень опасные, в алгоритм работы которых заведомо заложены процедуры, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т.д.
Компьютерные вирусы по среде обитания подразделяются на: Файловые вирусы - либо различными способами внедряются в выполняемые файлы (наиболее распространенный тип вирусов), либо создают файлы-двойники (компаньон-вирусы), либо используют особенности организации файловой системы (link-вирусы). Загрузочные вирусы - записывают себя либо в загрузочный сектор диска (boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record), либо меняют указатель на активный boot-сектор. Макро-вирусы - заражают файлы-документы и электронные таблицы нескольких популярных редакторов. Сетевые вирусы - используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Существует большое количество сочетаний - например, файлово- загрузочные вирусы, заражающие как файлы, так и загрузочные сектора дисков. Такие вирусы, как правило, имеют довольно сложный алгоритм работы, часто применяют оригинальные методы проникновения в систему, используют стелс и полиморфик-технологии. Другой пример такого сочетания - сетевой макро-вирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Внедрение загрузочного вируса Как только вирус обнаружит, что появилась подходящая жертва (незаражённый диск), он производит следующие действия: выделяет некоторую область диска и помечает ее как недоступную операционной системе копирует в выделенную область диска свой хвост и оригинальный (здоровый) загрузочный сектор замещает программу начальной загрузки в загрузочном секторе (настоящем) своей головой организует цепочку передачи управления согласно схеме: первой получает управление голова вируса, вирус устанавливается в память и передает управление оригинальному загрузочному сектору.
Внедрение файлового вируса Внедрение в начало файла. Основной способ внедрения вирусов в начало файла: вирус переписывает начало заражаемого файла в конец, а сам копируется на освободившееся место. Чтобы сохранить работоспособность программы, вирусы либо лечат зараженный файл, повторно запускают его, ждут окончания его работы и снова записываются в его начало, либо восстанавливают код программы в памяти компьютера и настраивают необходимые адреса в ее теле (т.е. дублируют работу операционной системы). Внедрение в середину файла. Существует несколько возможностей внедрения вируса в середину файла. В наиболее простом из них вирус переносит часть файла в его конец или раздвигает файл и записывает свой код в освободившееся пространство. Отдельные вирусы при этом сжимают переносимый блок файла так, что длина файла при заражении не изменяется. Внедрение в конец файла. При внедрении в конец файла вирус изменяет начало файла так, что первыми выполняемыми командами программы является команды вируса. «Компаньон-вирусы». К категории компаньон-вирусов относятся вирусы, не изменяющие заражаемых файлов. Алгоритм работы этих вирусов состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно файл-двойник, т.е. вирус.
Среди ОСОБЕННОСТЕЙ АЛГОРИТМА РАБОТЫ вирусов выделяются следующие пункты: резидентность; использование стелс-алгоритмов; самошифрование и полиморфичность; использование нестандартных приемов. РЕЗИДЕНТНЫЙ вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки операционной системы. Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Использование СТЕЛС-алгоритмов позволяет вирусам полностью или частично скрыть себя в системе. Наиболее распространенным стелс-алгоритмом является перехват запросов OC на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат их, либо «подставляют» вместо себя незараженные участки информации. В случае макро-вирусов наиболее популярный способ запрет вызовов меню просмотра макросов. Один из первых файловых стелс- вирусов вирус «Frodo», первый загрузочный стелс-вирус «Brain». САМОШИФРОВАНИЕ и ПОЛИМОРФИЧНОСТЬ используются практически всеми типами вирусов для того, чтобы максимально усложнить процедуру детектирования вируса. Полиморфик-вирусы (polymorphic) - это достаточно труднообнаружимые вирусы, не имеющие сигнатур, т.е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. Различные НЕСТАНДАРТНЫЕ ПРИЕМЫ часто используются в вирусах для того, чтобы как можно глубже спрятать себя в ядре OC (как это делает вирус «3APA3A»), защитить от обнаружения свою резидентную копию (вирусы «TPVO», «Trout2»), затруднить лечение от вируса (например, поместив свою копию в Flash-BIOS) и т.д.
Антивирусные программы.