| Casper | Дата: Среда, 04.04.2012, 18:51 | Сообщение # 1 |
 Системотехник
Группа: Администраторы
Сообщений: 195
Статус: Offline
| Компьютерный вирус - разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). В дополнение к этому вирусы могут повредить или полностью уничтожить все файлы и данные, подконтрольные пользователю, от имени которого была запущена заражённая программа, а также повредить или даже уничтожить операционную систему со всеми файлами в целом. Неспециалисты к компьютерным вирусам иногда причисляют и другие виды вредоносных программ, такие как трояны, программы-шпионы и даже спам. Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру, организуя вирусные эпидемии.
Вирусы распространяются, внедряя себя в исполняемый код других программ или же заменяя собой другие программы. Какое-то время даже считалось, что, являясь программой, вирус может заразить только программу — какое угодно изменение не-программы является не заражением, а просто повреждением данных. Подразумевалось, что такие копии вируса не получат управления, будучи информацией, не используемой процессором в качестве инструкций. Так, например неформатированный текст не мог бы быть переносчиком вируса.
Общая классификация
Анти-антивирусный вирус (Anti-antivirus Virus, Retrovirus) - компьютерная вирусная программа, объектом нападения которой являются антивирусные программы.
Вариант вируса, штамм, модификация (Variant, modification) - модифицированный вариант одного и того же вируса. Изменения в вирусный код могут вноситься как автором вируса, так и третьим лицом.
Вирусная программа-червь (Worm-virus) - паразитическая программа, обладающая механизмом саморазмножения. Программа способна размножать свои копии, но не поражать другие компьютерные программы. Проникает на компьютер из сети (чаще всего как вложение в сообщениях электронной почты или через сеть Интернет) и рассылает свои функциональные копии на другие компьютерные сети.
Вирусный мистификатор (Hoax) - не являющееся вирусом почтовое сообщение. На компьютер пользователя мистификация приходит в виде письма, написанного в подчеркнуто нейтральном тоне, в котором указывается на якобы распространяющийся новый вирус. Большинство вирусных мистификаций обладают одной или несколькими нижеследующими характеристиками. Имя вируса, на которое ссылается автор сообщения, составляется не по правилам, используемым большинством антивирусных компаний. Особо отмечается, что "вирус" пока не обнаруживается антивирусными программами. Пользователю предлагается найти некий файл с помощью поискового средства Windows и удалить его с диска. В письме содержится призыв в случае обнаружения указанного файла сообщить об этом всем своим знакомым и все тем, чьи адреса есть в адресной книге пользователя. Несмотря на всю безобидность подобного розыгрыша опасность его очевидна - массовая рассылка копий этого бесполезного сообщения загружает почтовый трафик и отнимает время пользователей.
Вирусы-спутники, вирусы-компаньоны (Virus-companion) - формально являются файловыми вирусами. Не внедряются в исполняемые программы. Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами. Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой. Большинство таких вирусов создают COM-файл, который обладает более высоким приоритетом нежели EXE-файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением СОМ. Такие вирусы могут быть резидентными и маскировать файлы-двойники.
"Дроппер" (Dropper) - файл-носитель, устанавливающий вирус в систему. Техника, иногда используемая вирусописателями для "прикрытия" вирусов от антивирусных программ.
Полиморфные вирусы (Polymorphic viruses) - или вирусы с самомодифицирующимися расшифровщиками (по Н.Н.Безрукову) - вирусы, использующие помимо шифрования кода специальную процедуру расшифровки, изменяющую саму себя в каждом новом экземпляре вируса, что ведет к отсутствию у него байтовых сигнатур. Расшифровщик не является постоянным - он уникален для каждого экземпляра вируса.
Pезидентный (в памяти) вирус (Memory resident virus) - [size="2"]постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер или Си. Такие вирусы обладают возможностью более эффективно заражать программы и противодействовать антивирусным средствам. Занимает небольшой объем памяти. Пребывает в состоянии готовности к продолжению выполнения своей задачи до выгрузки, перезагрузки или выключения компьютера. Активизируется и выполняет заданные вирусописателем действия например при достижении компьютером определенного состояния (срабатывания таймера, др.). Все бутовые вирусы резидентны./SIZE]
Скрипт-вирусы (Script virus) - вирусы, написанные на языках Visual Basic, Basic Script, Java Script. На компьютер пользователя такие вирусы, чаще всего, проникают в виде почтовых сообщений, содержащих во вложениях файлы-сценарии. Программы на языках Visual Basic и Java Script могут располагаться как в отдельных файлах, так и встраиваться в HTML-документ и в таком случае интерпретироваться браузером, причем не только с удаленного сервера, но и с локального диска.
Стелс-вирусы (Stealth virus) - вирусные программы, предпринимающие специальные действия для маскировки своей деятельности с целью сокрытия своего присутствия в зараженных объектах. Так называемая Стелс-технология может включать в себя:
1. затруднение обнаруженья вируса в оперативной памяти;
2. затруднение трассировки и дезассемблирования вируса;
3. маскировку процесса заражения;
затруднение обнаружения вируса в зараженной программе и загрузочном секторе.
Сегодня можно выделить два основных типа стелс-вирусов: руткит (rootkit) и буткит (bootkit).
Шифрованные вирусы (Encrypted viruses) - вирусы, которые сами шифруют свой код для затруднения их дезассемблирования и обнаружения в файле, памяти или секторе. Каждый экземпляр такого вируса будет содержать только короткий общий фрагмент - процедуру расшифровки - который можно выбрать в качестве сигнатуры. В случае каждого инфицирования он автоматически зашифровывает себя, и каждый раз по-разному. Таким способом вирус пытается избежать обнаружения антивирусными программами.
По видам заражаемых объектов
Файловые вирусы (File viruses) - вирусы, заражающие двоичные файлы (в основном, исполняемые файлы и динамические библиотеки). Чаще всего, такие файлы имеют расширение .EXE, .COM, .DLL, .SYS. Также могут инфицировать файлы с расширениями .DRV, .BIN, .OVL и .OVY. Такие вирусы внедряются в файлы операционной системы, активируются при запуске пораженной программы и затем распространяются.
Загрузочные (бутовые) вирусы (Boot viruses) - вирусы, которые заражают загрузочные записи (Boot record) дискет, разделов жестких дисков, а также MBR (Master Boot Record) жестких дисков.
Макрокомандные вирусы (макровирусы) (Macroviruses) - вирусы, заражающие файлы документов, используемыe приложениями Microsoft Office и другими программами, допускающие наличие макрокоманд (чаще всего на языке Visual Basic). Благоприятным фактором распространения вируса служит то, что все основные компоненты Microsoft Office могут содержать встроенные программы (макросы) на полнофункциональном языке программирования, а в Microsoft Word эти макросы автоматически запускаются при открытии любого документа, его закрытии, сохранении и т.д. Кроме того, имеется так называемый общий шаблон NORMAL.DOT и макросы, помещенные в общий шаблон автоматически запускаются при открытии любого документа. Учитывая то, что копирование макросов из документа в документ (в частности в общий шаблон) выполняется всего одной командой, среда Microsoft Word идеальна для существования макрокомандных вирусов.
Различные поставщики антивирусных решений имеют свои собственные методы классифицирования, поэтому, чтобы читателю была понятна применяемая терминология, я вкратце объясню, что есть что.
Наиболее общим является деление вредоносных программ на роды. При написании отчетов я придерживаюсь подразделения ВПО на три основных рода: TrojWare, VirWare, OtherMalWare.
TrojWare
TrojWare - это группа программ, поведение которых ассоциируется с понятием "троянского коня". В настоящее время спектр троянских программ значительно шире, и ему обычно дают довольно неясное определение. Сюда попадают средства кражи или несанкционированного изменения информации, нарушения работы отдельных компьютеров и сетей, загрузки или установки нового вредоносного кода, извлечения финансовой выгоды из вредоносных действий и тому подобное. Кроме того, в эту же группу входят бэкдоры и руткиты.
К роду TrojWare относятся следующие классы ВПО:
Backdoor
Rootkit
Trojan
Trojan-Banker
Trojan-Clicker
Trojan-DDoS
Trojan-Downloader
Trojan-Dropper
Trojan-GameThief
Trojan-Mailfinder
Trojan-Proxy
Trojan-PSW
Trojan-Ransom
Trojan-SMS
Trojan-Spy
все эвристические вердикты, относящиеся к любому из вышеперечисленных классов (HEUR:Trojan, HEUR:Backdoor и т.п.)
VirWare
К роду VirWare относятся вредоносные программы, одной из основных функциональных особенностей которых является самораспространение. Под это определение подпадают все виды червей и классические вирусы; соответственно, к этому роду причисляются следующие классы:
Email-Worm
IM-Worm
IRC-Worm
Net-Worm
P2P-Worm
Type
Virus
Worm
все эвристические вердикты, относящиеся к любому из вышеперечисленных классов (HEUR:Worm, HEUR:Virus и т.п.)
OtherMalWare
Все остальное ВПО, которое не относится ни к TrojWare, ни к VirWare, автоматически попадает в категорию "прочего вредоносного программного обеспечения". Этот род имеет наибольшее количество внутренних классов, но наименьшую численность. Примерный список входящих в его состав поведений таков:
AdTool
AdWare
Client-IRC
Constructor
Dialer
DoS
Downloader
Email-Flooder
Exploit
FraudTool
HackTool
Hoax
IM-Flooder
Monitor
MultiPacked
NetTool
Packed
Porn-Dialer
Porn-Downloader
PSWTool
RemoteAdmin
RiskTool
Server-FTP
Server-Proxy
SuspiciousPacker
Type_Script
WebToolbar
Определения каждого из классов (поведений), входящих в состав названных выше родов, можно найти в энциклопедии Securelist.
|
| |
| |
