Компютърни вируси - 2/3
5. Видове компютърни вируси.
Вирусите биват разделяни на множество видове, но често те представляват няколко от тези видове, събрани в един вирус.
а) Според начина на запис на кода:
- Преписващи – записват своя код върху части от заразената програма и я разрушават;
- Дописващи – “прикачат” се към оригиналната програма, като увеличават обема на заеманата от нея памет.
б) Според областта на поразяване на вируса:
- Файлови. Поражения търпят програмните файлове, т. е. вирусът се присъединява към файлове с разширения COM или EXE, въпреки че в отделни случаи могат да се заразят и файлове с разширения SYS, DRV,BIN,DLL, SRC, SCR, OVL или OVY. (Потребителите на Macintosh обаче могат да получат вирус от всеки файл, защото файловата им система включва разклонения на ресурсите, където вирусите могат да се скрият.) След като се стартира заразената програма, вирусът се зарежда в паметта и заразява други изпълними файлове. Така на практика, за кратко време и без знанието на потребителя може да се зарази целия наличен софтуер. Някои от тях са полиморфни – произвеждат променящо се (но работоспособно!) копие на себе си. На теория това ги прави по-трудно откриваеми за антивирусния софтуер, но на практика се оказва, че не са чак толкова добре написани, за да успеят да се променят достатъчно.
- Boot-секторни. Boot-секторът (зареждащият сектор) е място на твърдия диск на компютъра, към което компютърът се обръща при стартирането си. Там е записана най-важната информация, която системата трябва да знае при стартирането си – за формата на устройството, за записаните на него данни, както и малка програмка, зареждаща системните файлове. Именно тази програмка е целта на вирусите. Те преместват системните файлове, така че да не могат да се използват. При поразяване от такъв вирус компютърът изобщо не може да се стартира и по тази причина вирусът не може своевременно да бъде открит и блокиран. Съществуват и т. нар. вируси FAT Scrabmlers - тези вируси така разбъркват двете копия на FAT, че всичко записано на диска става негодно за каквито и да е манипулации. Двете копия на FAT се разбъркват всяко по различен начин с цел максимални щети. Няма друг изход освен Форматиране от BIOS и след това предформатна подготовка с FDISK и повторно форматиране с Format /u /c /s.
- BIOS-вируси. Те поразяват входно-изходната система на компютъра, като променят неговата конфигурация, което прави някои устройства или цялата система неизползваема. Най-честите промени са свързани с флопитата, често се обявява че флопитата не са инсталирани и компютъра не може да ги използва. Разбира се и често пъти вирусите така разбъркват данните от BIOS-а, че компютърът не може да се стартира. Вирусите причинили всякакви промени по BIOS-a не позволяват нормалното преконфигуриране. Трети вируси се самозаписват в BIOS-a и се самостартират от там още преди ОС да е заредена. Борбата с тези вируси е много сложна, защото те контролират целият хардуер и софтуер.
- Макровируси. Те заразяват файлове с данни на текстообработващи програми и електронни таблици (най-вече файлове създадени с приложенията от пакета Microsoft Office - Word и Excel). Те нападат най-напред файла Normal.dot (за Word) и Normal.xls (за Excel). Разпространението им се дължи главно на приложенията, в които са вградени програмни езици за писане на макроси, т. е. минипрограми, написани от потребителя, автоматизиращи изпълнението на рутинни задачи. Макровирусът също е макрос. Причиняват правописни и стилистични грешки (напр. разместване на думи в документите), променят данните или ги унищожават (напр. суматорните вируси са предвидени да събират и закръглят стойности предизвиквайки много големи бъркотии – започвайки от най-ниските нива на Excel и стигат до най-високите нива на счетоводни и ведомствени и подбанкови и банкови нива и функции)., изпращат документи по e-mail без уведомяване на потребителя, и много, много други, включително до форматиране на твърдия диск. Тези вируси са най-масово разпространени – около 75% от всички вируси, бродещи из мрежата и дисковите носители. Разпространяват се бързо поради големия обмен на такива документи, поради лекотата, с която се пишат (в сравнение с трудното кодиране при останалите вируси) и поради факта, че се прикрепят към файлове, използвани от широк кръг потребители, често не толкова бдителни и трудно разпознаващи вирусите когато ги получат.
- Многостранно действащи вируси – инфектират и boot-секторите, и файловете. Това е сложна ситуация, която най-често означава дълъг цикъл от самозаразяване на компютъра. Понякога от този вид цикли е много трудно да се излезе, без да се пожертва цялата информация, записана на твърдия диск.
в) Според присъствието на вируса в паметта:
- Резидентни. Вирусът се разполага в паметта на компютъра и пречи на нормалното функциониране на операционната система, което се проявява в нетипични действия при работа с програмите. Резидентните вируси остават активни до изключване на компютъра от захранването (както например някои драйвери).
- Нерезидентни. Те се разполагат в програмния код на програмата.
г) Според характера на действието си:
- “Безвредни” (всъщност такива вируси няма) – за безвредни се считат вирусите, които нанасят пренебрежимо малки щети – заемат част от дисковото пространство, нарушават видеоизображението, предизвикват неочаквани звукови ефекти и др.
- Разрушителни – спектърът на действие обхваща всевъзможни щети (от промяна в съдържанието на определен сектор до форматиране на диска);
Съществуват и вируси-убийци – по непотвърдени данни тази категория вируси не поврежда данни или каквото и да било друго, но убива оператора (работещия с компютъра). Такъв вирус са използвали в КГБ като крайна мярка на защита на компютрите им през студената война. Вируса се е казвал 666 (но няма нищо общо с разпространения файлов 666 вирус, носещ същото име за заблуда) и е обърквал до такава степен мозъчните вълни, че е причинявял невероятно главоболие и смърт. Много любопитни хакери, кракери, експерти и програмисти са се опитвали да откраднат вируса но никой още не е успял...
д) Според начина на заразяване:
- Файлови – те се прикрепват към програма и пренаписват част от програмния й код, което нарушава нейния нормален начин на работа.
- Системни – разполагат се директно в оперативната памет на компютъра и модифицират действието на всички програми, които се зареждат за изпълнение. Те поразяват boot-сектора и командния интерпретатор, който анализира въведените команди, стартира съответните функции и съдържа всички вътрешни команди (при MS DOS това е файлът command.com).
- Стелт вируси (Stealth). Тези вируси се настаняват както във файлове, така и оставят свои модули в оперативната памет. Те прикриват симптомите на вирусната инфекция и взаимодействат с различни антивирусни програми, като принуждават програмата да каже, че няма вируси. Тези вируси не показават промени по размерите на файла, който са инфектирали, което ги прави трудни за засичане и обезвреждане! Самият вирус лесно се укрива и трудно се премахва. Единият от начините на самозащита на тези вируси е секторите от харддиска и (или) дискетата, където е записан оригинала на вируса да се маркират като лоши (механично повредени), въпреки че не са повредени по никакъв начин. Bсички антивирусни програми които проверяват твърдия диск или дискетите "виждат" маркираното - "лош сектор" и го прескачат и не засичат вируса. А другият начин за самосъхранение на този вид вируси е да притежават самопроменящ се код, което прави тяхното откриване трудно. Ако модулът, оставен в паметта, забележи, че някое приложение се опитва да чете заразен файл, той сменя в движение данните, все едно, че файлът е чист. Ето защо тези вируси не могат да бъдат уловени от антивирусните програми.
е) Вирусоподобни програми:
- “Терористи” (Droppers) – програми, създадени да прокарат вируса, без той да бъде засечен от антивирусна програма. За целта се използва кодиране, което блокира възможността антивирусната програма да разпознае вируса. След като го транспортират успешно, “терористите” изчакват указано събитие или време и го активират;
- “Троянски коне” (Trojan Horse) – това са програми, представящи се за легално съществуващ полезен софтуер (приложни програми, игри, драйвери и др.). Често това са обемисти програми и дори за по-голяма достоверност понякога наистина изпълняват част от официално обявените си функции. Те не инфектират други файлове, но могат да причинят сери-озни неприятности, например като изпращат на определен адрес в Интер-нет файла с паролите на заразения компютър – така компютърът е превзет отвътре и може да бъде управляван отвън (по приликата с дървения кон на гърците, подарък за Троя). Пример за това е FreeWare програмата ProMail 2000 v. 1.02, която служи като оптимизатор на мрежовия тра-фик и разпределение на пощата. Програмата създава файла ACCOUNT.INI в който се съдържат всички имена пароли и привиле-гии за достъп на всички потребители и информация за степента на защита на мрежата който файл се копира и копието му се изпраща като прикачен файл по електронна поща до създателя на програмата.
- “Червеи” (Worms) – Разпространяват се най-вече в компютърни мрежи и Интернет. Те копират сами себе си без да заразяват други файлове. Причиняват вреда с това, че се намират в системата, отнемайки дисково пространство. Най-често се заразяват непредпазливите потре-бители на електронна поща. Обикновено вирусите използват възможнос-тите на електронната поща на “приемника”, за да продължат разпростране-нието си, като се “самоизпращат” от негово име. Така се настаняват в друг компютър. Същевременно нанасят и много сериозни щети, като изпращат на определен адрес информация за заразения компютър – пароли, файлове с данни, подбрани по определен критерий и др.