Матвеев И.В. Классификация вирусов. Примеры вирусов.

Матвеев И.В. БПЗ1101
КЛАССИФИКАЦИЯ КОМПЬЮТЕРНЫХ ВИРУСОВ. ПРИМЕРЫ ВИРУСОВ
Аннотация
Статья посвящена рассмотрению классификации по категориям компьютерных
вирусов и их примерам. Показано, какие бывают категории компьютерных вирусов.
Также в данной статье приведены примеры компьютерных вирусов как новых, так и
старых, и шпионских программ.
1. Классификация компьютерных вирусов.
Компьютерный вирус - это разновидность вредоносного программного обеспечения,
создающего копии самого себя и внедряющегося в коды различных программ, системные
области памяти, загрузочные секторы, вдобавок распространяет аналогии самого себя по
различным каналам отправки или приема сообщений, дабы нарушить работу программноаппаратных устройств, способен удалять файлы, приводить в неработоспособность
структуру расположения данных, воспрепятствование работы пользователей или же
ввергание в неработоспособность аппаратных комплексов компьютера.[1]
Вирусы обычно разделяют по семи признакам:
1) По среде обитания:[2]
а) Сетевые вирусы – это такой тип вирусов, который “проживает” в локальной сети.
Данные вирусы, когда попадают на компьютер пользователя, копируют сами себя и
распространяются по остальным компьютерам, которые подключены к сети. В основе
источника распространения они используют электронный почтовый ящик, средства
моментальной отсылки сообщений (skype, icq), недостатки в расположении сети и
неисправности в работе сетевых протоколов, а также сети обмена данными.
б) Файловые вирусы - это такие вирусы, которые записывают свой код в код программы.
Они “просыпаются” при запускании инфицированной программы. Эти вирусы обычно
заражают исполняемые файлы (.com, .exe), командные файлы (.bat), драйвера (.sys),
динамические библиотеки (.dll).
в) Загрузочные вирусы – это такие вирусы, которые располагают себя в загрузочном
секторе жесткого диска, или же в секторе с системным загрузчиком жесткого диска, а
также изменяют индикатор активного загрузочного сектора.
г) Макровирусы - данные типы вирусов являются такие программы, которые написаны на
языках, встроенные в разнообразные пакеты программ. Например: Microsoft Office.
2) По алгоритмам работы:[3]
а) Резидентные – это такой тип вирусов, которые при поражении компьютера заносят
свою резидентную часть в оперативную память, а также считывают обращения
операционной системы к объектам подвергшимся заражению, с целью имплантации в
них. Такие вирусы обычно расположены в памяти компьютера и выражают работу до
перезагрузки компьютера или отключения его от сети.
б) Вирусы, использующие стелс-алгоритмы – это такие вирусы, которые выборочно или
окончательно маскируют свое присутствие в программе. Преобладающим стелсалгоритмом является перехватывание запросов операционной системы на запись или
чтение подвергшихся заражению объектов. Стелс-алгоритмы наряду с этим временно
излечивают эти объекты, или же переставляют за место себя незараженные участки
памяти.
2
Также к стелс-алгоритмам причисляют немногочисленную группу макровирусов, которые
хранят свой код не в макросах, а в иных частях документа — в его переменных или в
Auto-text.
в) Вирусы, использующие полиморфность – это такие вирусы, которые используют
алгоритм полиморфичности. Обнаружить их очень проблематично, так как данные вирусы
не имеют неизменного участка кода. Проще говоря, два вида вируса не имеют совпадений.
Данная технология реализуется шифрованием главного тела вируса и изменения
программы-расшифровщика.
г) Вирусы, использующие нестандартные приемы – данные вирусы маскируют свой код
насколько можно дальше в ядре ОС, следственно осложняют защиту от них.
3) По разрушительным воздействиям:[4]
а) Неопасные – данные вирусы уменьшают свободную память на жестком диске,
вследствие этого тормозится работа компьютера.
б) Опасные – эти вирусы приводят к повреждениям в конфигурации файлов и нарушении
работы компьютера.
в) Очень опасные – данные вирусы ломают ОС, губят или удаляют данные, хранящиеся на
жестком диске.
4) По способам заражения файлов:[5]
а) Перезаписывающие – такие вирусы вносят свой код вместо кода выбранного целью
файла, удаляя его содержимое.
б) Паразитические – эти вирусы, когда распространяют копии самих себя всегда меняют
содержимое файлов, сохраняя файлы в полной или неполной работоспособности.
5) Вирусы-компаньоны:[6]
К виду вирусов-компаньонов относят такие вирусы, которые не изменяют
содержимое файлов. Алгоритм действий данных вирусов заключается в том, что для
каждого заражаемого файла создается файл копия, вдобавок при запускании зараженного
файла управление получает именно эта копия, то есть вирус.
К таким вирусам относят такие разновидности, которые при инфицировании
переименовывают файл в любое другое имя, фиксируют его (для будущего запуска файла)
и вносят свой код на жесткий диск под именем заражаемого файла. Например, файл
NOTEPAD.EXE перезаписывается в NOTEPAD.EXD, а вирус-компаньон записывает его
же под именем NOTEPAD.EXE. При запуске данного файла контроль над ним получает
вирус, который после этого запускает настоящий NOTEPAD.
6) Вирусы-ссылки:[7]
Вирусы-ссылки также известные как
link-вирусы не меняют физическое
содержимое файлов, но когда запускается зараженный файл они заставляют
операционную систему выполнять их код. Данной задачи эти вирусы достигают с
помощью изменения нужных полей файловой системы.
3
7) OBJ-, LIB-вирусы и вирусы в исходных текстах:[8]
Такие вирусы, которые инфицируют библиотеки компиляторов, исходные коды
программ и объектные модули, довольно необычные и на практике не распространены.
Всего этих вирусов порядка десяти. Вирусы, которые заражают OBJ- и LIB-файлы,
заносят в них свой код в формате библиотеки или объектного модуля. Подвергшийся
заражению файл, вследствие этого, не становится выполняемым и бессилен на
последующее распространение вируса в данном своем состоянии. Переносчиком вируса
делается COM- или EXE-файл, извлекаемый в процессе линковки зараженного OBJ/LIBфайла с другими библиотеками или объектными модулями. Значит, вирус разносится в
два этапа: на первом этапе инфицируются OBJ/LIB-файлы, на втором (линковка) выходит
работоспособный вирус.
2.Примеры вирусов:
Вирусы делятся на файловые и бутовые. Рассмотрим файловые вирусы.
Вирус VIENNA (Вена), также имеет иные названия: 648, restart, Time Bomb.[9]
Является одним из первых самых простых вирусов. Впервые был обнаружен в
Вене, далее и во всем мире. При попадании в память компьютера считывает comпрограммы в текущем списке и в видимых через PATH. Изначальная версия данного
вируса увеличивала размер зараженной программы на 648 байт. Первоначально
обнаруженную еще не подвергшуюся заражению программу данный вирус заражает или с
вероятностью 1/8 портит так, что при запускании происходит перезагрузка компьютера.
При последнем варианте в тело зараженной программы заносится код EAF0FF00F0,
означающий перезагрузку. Ежели испорченная таким действием программа вызывается из
autoexec.bat, то происходит зацикливание перезагрузки ОС. В последствие было
обнаружено более 20 модификаций этого вируса.
Вирус Cascade, также известен как LetterFall, Letter.[10]
Различают 2 вида разновидности вируса по длине: 1701 байт или 1704 байта.
Подвергает заражению лишь com-программы. Вызывает осыпание различных символов на
экране монитора, приводящим к характерному шуму. В результате этого становится не
возможно работа с клавиатурой, она блокируется.
Вирус BlackFriday, также известен как Israel Virus, BlackHole, Ierusalеm.[9]
Данный вирус впервые был найден в Израильском университете. Этот вирус
инфицирует com и exe файлы, укрупняя их размер на 1813 байт, и остается резидентным в
памяти компьютера. Вдобавок заражение происходит не единожды, что приводит к
огромному разрастанию файла в размерах. Зараженный этим вирусом компьютер
замедляет свою работу в пару тысяч раз. В нижнем левом углу экрана выскакивает
черный прямоугольник. Помимо этого если заражение происходит в пятницу 13-го, то
подвергшиеся заражению файлы удаляются.
Вирус Dark Avenger, также известен как Sofia, Eddie.[11]
Данный вирус получил свои иные названия за текстовую строку содержащейся в
его коде “ Eddie lives. Somewhere in time. This program was written in the city of Sofia”.
4
Вирус инфицируется com и exe файлы, его размер 1800 байт. Этот вирус очень опасен,
потому что на зараженном компьютере файлы заражаются не только при запуске, но и при
переименовании и копировании. Вдобавок он удаляет файлы, размер который в пределах
от 1800 байт до 64 кб. Также удаляет информацию из секторов винчестера.
Вирус Win9x.CIH, а также известен как Чернобыль.[12]
Данный вирус имеет размер порядка 1кб. Инфицирует PE файлы ( Portable
Executable) на операционных система Windows 95/98, не меняет размер зараженных
файлов. Для реализации данного действия вирус ищет пустые секторы, возникающие изза выравнивания начала каждой секции файла под кратные значения байт. Вирус
схватывает IFS API, выслеживая извещения об обращении к файлам и инфицируя
исполняемые файлы. 26 апреля вызывается разрушительная функция вируса, заключаящая
в себе стирание Flash Bios и начальных секторов диска. В следствие этого компьютер
просто не загружается, или же удаляются все данные с жестких дисков.
Вирус Macro.Word97.Thus.[13]
Данные вируса имеют в себе 3 процедуры: открытие документа, закрытие и
создание нового, заменяя при этом старые макросы., вследствие этого инфицируют иные
документы. 13 декабря вирус удаляет все файлы на жестком диске, в том числе каталоги и
подкаталоги.
Также есть измененная версия Macro.Word97.Thus.aa , этот вирус при открытии
инфицированного документа выбирает случайный файл на жестком диске и шифрует
начальные 32 байта этого файла, в последствии приводя компьютер в нерабочее
состояние.
Бутовые вирусы:
Вирус Ping Pong, также известен как Ball.[14]
Данный вирус инфицирует boot-сектор диска и заносит свой код как в свободные,
так и в занятые кластеры. Проявляется данный вирус появлением ромбика на экране,
который перемещается по экрану, отражаясь от его углов.
Вирус Stoned , также известен как Marijuana.[15]
Данный вирус с вероятностью 1/8 выводит на экране текст Your PC is now stoned,
затем работа компьютера продолжается в обычном режиме. Вирус заносится в начальный
сектор диска. Это может привести к потери информации записанной на этом диске.
Данный вирус выводит на экран надпись: Legalise Marijuana. На данный момент
существует более 90 разновидностей этого вируса.
Вирус Brain.[16]
Этот вирус является одним из самых знаменитых. Инфицирует лишь дискеты
размеров 360К. На инфицированных дискетах появляется надпись Brain. Захватывает три
подряд кластера.
Вирус Boot.Snow.[17]
5
Данный вирус заносит свой код в MBR диска. Наряду с этим загрузочные секторы
шифруются этим вирусом. После этого вирус проживает в памяти компьютера и
перелавливает прерывания. Бывает что вирус выявляет себя визуально – на экране
монитора падает снег.
Вирус Boot.DiskFiller.[18]
Этот вирус схож с предыдущим, но помимо функций описанных выше он еще
способен форматировать дополнительную дорожку с инициалом 40 или 80. В одну из этих
дорожек вирус заносит свой код, внося в загрузочный сектор маленький фрагмент –
головную половину вируса.
Троянский Конь.[19]
Данный вирус растекается по сети человеком. Это один из самых несложных
разновидностей вредящих программ. Выполнимость обусловливается лишь сложностью
поставленной задачи и механизмов скрытия. Одни из самых простых троянов могут
содержать код в пару строк.
Троянские программы распространяются человеком. Они могут закачиваться на
компьютер цели злоумышленниками, также толкают юзеров скачивать и приводить в
действие на своих компьютерах. Для совершения предшествующего действия трояны
располагаются злонамеренными людьми на не закрытые или индексируемые ресурсы,
переносчики информации, передаются при поддержке программ обмена сообщений,
проникают в вашу систему сквозь дырки в системе безопасности или же закачиваются
юзером с ресурсов.
Целями троянов являются:
1) Загрузка информации.
2) Переписывание мнимых ссылок, приводящих на фальшивые сайты
злоумышленников.
3) Возникновение затруднения в работе компьютера.
4) Кража информации, являющейся ценной, включая для аутентификации, для
незаконного доступа к информации.
5) Рассылка вирусов.
6) Удаление информации, вывод из строя компьютера.
7) Перехват всех адресов эл. почты для передачи спама.
Трояны могут подделывать имена или иконки выбранной программы или файла для
маскировки.
Задачи троянов:
1)
2)
3)
4)
5)
Повреждение функционала программ.
Предложение начальной страницы в браузере каких-либо спам ссылок, рекламы.
Растекание на компьютере юзера порнографии.
Преобразование символов текстовой информации в бинарный код.
Обман пользователей.
6
На рисунке 1 приведен пример выманивание денег с помощью троянской программы.
Рисунок 1. Троянская программа в виде баннера.
Сетевой червь.[20]
Это вид вредоносной программы, самопроизвольно рассылающийся через локальные или
глобальные сети.
Механизмы распространения:
1) Применение брешей и накладок администрирования ПО, поставленном на
компьютере.
2) Пользуясь средствами общественной инженерии, вызывает запускание вируса
юзером.
7
3. Заключение
С развитием компьютерных технологий и сети интернет вирусы становятся все
опаснее. Если раньше вирусы создавались только лишь для развлечения, то на
сегодняшний день, такие программы пишутся профессионалами с целью нанесения
ущерба вашей системе или же кражи информации.
8
4. Список использованной литературы и Интернет-ресурсов:
1. http://ru.wikipedia.org
2. Программистан полезные советы по Windows, статья: понятие и
классификация компьютерных вирусов
http://programmistan.narod.ru/useful/4.html
3. Статья: Классификация компьютерных вирусов. Виды компьютерных вирусов.
http://www.spravkapc.ru/articles/klassifikatsiya-kompyuternykh-virusov.html
4. Статья: Классификация компьютерных вирусов.
http://school8.uriit.ru/people/av/class.html
5. Статья: Компьютерный вирус.
http://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1
%8F:%D0%9A%D0%BE%D0%BC%D0%BF%D1%8C%D1%8E%D1%82%D0%B5%
D1%80%D0%BD%D1%8B%D0%B9_%D0%B2%D0%B8%D1%80%D1%83%D1%81
6. Статья: Компьютерные вирусы – что это такое. http://sdcompany.su/article/help_computers/computer_virus
7. Статья: Классификация компьютерных вирусов.
http://besthuck.0pk.ru/viewtopic.php?id=29
8. Статья: Классификация компьютерных вирусов. http://virusclean.ru/virklasif.html
9. Статья: Компьютерные вирусы и методы борьбы с ними. http://virusinfo.3dn.ru/publ/kompjuternye_virusy_i_metody_borby_s_nimi/neskolko_quot_klassich
eskikh_quot_primerov_kompjuternykh_virusov/2-1-0-6
10. Статья: вирус Cascade.http://www.ssl.stu.neva.ru/psw/virus/avg/VCascade.htm
11. Статья: вирус Dark Avenger. http://stfw.ru/page.php?id=9120
12. Статья: вирус Win95.CIH. http://old-dos.ru/files/file_842.html
13. Статья: вирус Macro.Word97.Thus.
http://www.securelist.com/ru/blog/25312/Segodnya_mozhet_prosnutsya_chetvergovyy_v
irus_Macro_Word97_Thus
14. Статья: вирус Ping-Pong. http://en.wikipedia.org/wiki/Ping-Pong_virus
15. Статья: вирус stoned.http://rf-allstars.ucoz.ru/publ/virus_stoned/1-1-0-15
16. Статья: вирус Brain. http://foxtox.ucoz.net/publ/obzory_i_testy/zabavnye_virusy/5-10-83
17. Статья: вирус Boot.Snow.
http://www.intuit.ru/studies/courses/1042/154/lecture/4277
18. Статья: вирус Boor.DiskFiller. http://brysver74.narod.ru/viryslab/virus-boot.htm
19. С.А. Белоусов, А.К. Гуц: Троянские Кони
20. Статья: сетевой червь. http://www.securelist.com/ru/glossary?glossid=152527951
9