до десятка) драйверів сидить під стандартної Windows95 ? Потай сидить, між іншим.
Деструктивні властивості:
Необразливі віруси, типу «Yankee», що прекрасно живуть у DOS, Windows 3.x, Win95, NT і нічого нікуди не гадять.
Старі версії Norton Disk Dосtоr'а на диску з довгими іменами файлів. Запуск NDD у цьому випадку перетворює Disk Dосtоr'а в Disk Dеstrоуеr'а.
Тому тема «нормального» визначення комп'ютерного вірусу залишається відкритої. Є тільки кілька точних віх: наприклад, файл COMMAND.COM вірусом не є, а сумно відома програма з текстом «Dis is one half» є стовідсотковим вірусом (»OneHalf»). Усе, що лежить між ними, може як виявитися вірусом, так і немає.
Класифікація комп'ютерних вірусів
Віруси можна розділити на класи по наступним основних ознаках:
середовище існування;
операційна система (OC);
особливості алгоритму роботи;
деструктивні можливості.
По СЕРЕДОВИЩУ ІСНУВАННЯ віруси можна розділити на:
файлові;
завантажувальні;
макро;
мережні.
Файлові віруси або різні способи впроваджуються у виконувані файли (найбільш розповсюджений тип вірусів), або створюють файли-двійники (компаньйони-віруси), або використовують особливості організації файлової системи (link-віруси).
Завантажувальні віруси записують себе або в завантажувальний сектор диска (boot-сектор), або в сектор, що містить системний завантажник вінчестера (Master Boot Record), або змінюють покажчик на активний boot-сектор.
Макро-віруси заражають файли-документи й електронні таблиці декількох популярних редакторів.
Мережні віруси використовують для свого поширення чи протоколи команди комп'ютерних мереж і електронної пошти.
Існує велика кількість сполучень - наприклад, файлово-загрузочні віруси, що заражають як файли, так і завантажувальні сектори дисків. Такі віруси, як правило, мають досить складний алгоритм роботи, часто застосовують оригінальні методи проникнення в систему, використовують стелс і поліморфік-технології. Інший приклад такого сполучення - мережний макро-вірус, що не тільки заражає документи, що редагуються, але і розсилає свої копії по електронній пошті.
Операційна СИСТЕМА, що заражається, (вірніше, ОС, об'єкти якої піддані зараженню) є другим рівнем розподілу вірусів на класи. Кожен файловий чи мережний вірус заражає файли який-небудь однієї чи декількох OS - DOS, Windows, Win95/NT, OS/2 і т.д. Макро-віруси заражають файли форматів Word, Excel, Office97. Завантажувальні віруси також орієнтовані на конкретні формати розташування системних даних у завантажувальних секторах дисків.
Серед ОСОБЛИВОСТЕЙ АЛГОРИТМУ РОБОТИ вірусів виділяються наступні пункти:
резидентність;
використання стелс-алгоритмів;
самошифрування і поліморфічность;
використання нестандартних прийомів.
РЕЗИДЕНТНИЙ вірус при інфікуванні комп'ютера залишає в оперативній пам'яті свою резидентну частину, що потім перехоплює звертання операційної системи до об'єктів зараження і впроваджується в них. віруси знаходяться в пам'яті і є активними аж до вимикання чи комп'ютера перезавантаження операційної системи. Нерезидентные віруси не заражають пам'ять комп'ютера і зберігають активність обмежений час. Деякі віруси залишають в оперативній пам'яті невеликі резидентні програми, що не поширюють вірус. Такі віруси вважаються нерезидентними.
Резидентними можна вважати макро-віруси, оскільки вони постійно присутні в пам'яті комп'ютера на увесь час роботи зараженого редактора. При цьому роль операційної системи бере на себе редактор, а поняття «перезавантаження операційної системи» трактується як вихід з редактора.
У багатозадачних операційних системах час «життя» резидентного DOS-вірусу також може бути обмежено моментом закриття зараженого DOS-вікна, а активність завантажувальних вірусів у деяких операційних системах обмежується моментом інсталяції дискових драйверів OC.
Використання Стелс-алгоритмів дозволяє вірусам чи цілком частково сховати себе в системі. Найбільш розповсюдженим стелс-алгоритмом є перехоплення запитів OC на читання/запис заражених об'єктів. Стелс-віруси при цьому або тимчасово лікують їх, або «підставляють» замість себе незаражені ділянки інформації. У випадку макро-вірусов найбільш популярний спосіб — заборона викликів меню перегляду макросів. Один з перших файлових стелс-вірусов — вірус «Frodo», перший завантажувальний стелс-вірус — «Brain».
САМОШИФРУВАННЯ і ПОЛіМОРФіЧНіСТЬ використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру виявлення вірусу. Полиморфик-віруси (polymorphic) - це досить важковиявлені віруси, що не мають сигнатур, тобто не утримуючі жодного постійної ділянки коду. У більшості випадків два зразки того самого поліморфік-віруса не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача.
Різні НЕСТАНДАРТНІ ПРИЙОМИ часто використовуються у вірусах для того, щоб якнайглибше сховати себе в ядрі OC (як це робить вірус «3APA3A»), захистити від виявлення свою резидентну копію (віруси «TPVO», «Trout2»), утруднити лікування від вірусу (наприклад, помістивши свою копію в Flash-BIOS) і т.д.
По ДЕСТРУКТИВНИХ МОЖЛИВОСТЯХ віруси можна розділити на:
нешкідливі, тобто ніяк що не впливають на роботу комп'ютера (крім зменшення вільної пам'яті на диску в результаті свого поширення);
безпечні, вплив яких обмежується зменшенням вільної пам'яті на диску і графічними, звуковими й ін. ефектами;
небезпечні віруси, що можуть привести до серйозних збоїв у роботі комп'ютера;
дуже небезпечні, в алгоритм роботи яких свідомо закладені процедури, що можуть привести до втрати програм, знищити дані, стерти необхідну для роботи комп'ютера інформацію, записану в системних областях пам'яті, і навіть, як говорить одна з неперевірених комп'ютерних легенд, сприяти швидкому зносу частин механізмів, що рухаються - вводити в резонанс і руйнувати голівки деяких типів вінчестерів.
Але навіть якщо в алгоритмі вірусу не знайдено галузей, що наносять збиток системі, цей вірус не можна з повною впевненістю назвати нешкідливим, тому що проникнення його в комп'ютер може викликати непередбачені і часом катастрофічні наслідки. Адже вірус, як і всяка програма, має помилки, у результаті яких можуть бути зіпсовані як файли, так і сектора дисків (наприклад, цілком необразливий на перший погляд вірус «DenZuk» досить коректно працює з 360K дискетами, але може знищити інформацію на дискетах більшого обсягу). Дотепер потрапляються віруси, що визначають «COM чи EXE» не по внутрішньому форматі файлу, а по його розширенню. Природно, що при розбіжності формату і розширення імені файл після зараження виявляється непрацездатним. Можливо також «заклинювання»
