Clasificarea virușilor de calculator
CONCEPTELE VIRUSELOR
Virusul, ca program, constă din două părți: mecanismul de reproducere și umplere. Mecanismul de reproducere determină modul în care sunt create, distribuite și lansate copii ale virusului. Umplerea este comportamentul suplimentar al virusului (pe lângă înmulțire) pe computerul infectat.
Toți virușii de calculator pot fi clasificați după următoarele caracteristici:
1) după habitat;
2) metoda de infectare;
3) gradul de pericol al impactului distructiv (distrugere);
4) prin algoritmul de funcționare.
Conform mediului, virușii de calculator sunt împărțiți în:
Habitele virușilor de rețea sunt elemente ale rețelelor de calculatoare. Virușii de fișiere sunt plasați în fișiere executabile. Virușii de boot se află în sectoarele (zonele) de încărcare ale dispozitivelor de stocare externe (boot # 8208; sectoare). Uneori virușii boot se numesc butovirusuri. Virusurile combinate sunt situate în mai multe habitate. Un exemplu de astfel de viruși este virusul fișierelor # 8208; Aceste viruși pot fi localizați atât în sectoarele de boot a unităților de discuri magnetice, cât și în corpul fișierelor de boot.
De modul în care mediul este infectat, virușii de calculator sunt împărțiți în:
Virușii rezidenți după activarea lor sunt mutați complet sau parțial din mediul înconjurător (rețea, boot sector, fișier) în memoria principală a computerului. Aceste virusuri, folosind, de regulă, moduri de exploatare privilegiate, sunt permise numai sistemului de operare, infectează mediul și, în anumite condiții, realizează o funcție distructivă. Spre deosebire de virușii rezidenți nerezidenți ajung în memoria principală a calculatorului numai în timpul activității lor, în timpul căruia îndeplinesc funcția distructivă și funcția de infecție. Apoi, virusurile părăsesc complet memoria, rămânând în habitat. Dacă virusul pune în memorie un program care nu infectează habitatul, atunci virusul este considerat a fi nerezident.
Prin gradul de pericol pentru resursele de informare ale utilizatorilor, virușii de calculator pot fi împărțiți în:
1) virusuri inofensive;
2) virusuri periculoase;
3) virusuri foarte periculoase.
Cu toate acestea, pentru toată inofensivitatea aparentă a unor astfel de viruși, ele produc unele deteriorări la COP. În primul rând, astfel de viruși folosesc resursele CC, reducând într-o oarecare măsură performanțele acestora. În al doilea rând, virușii de calculator pot conține erori care produc consecințe periculoase pentru resursele informaționale ale COP.
În plus, atunci când faceți upgrade la sistemul de operare sau la hardware-ul CS, virușii creați mai devreme pot duce la încălcări ale algoritmului obișnuit al sistemului.
Periculoase sunt virușii care determină o scădere semnificativă a eficacității CS, dar nu duc la o încălcare a integrității și confidențialității informațiilor stocate în dispozitivele de memorie. Consecințele unor astfel de viruși pot fi eliminate fără prea multă cheltuială de resurse materiale și de timp. Exemple de astfel de viruși sunt virușii care ocupă memoria calculatorului și canalele de comunicare, dar nu blochează funcționarea rețelei; virușii care determină necesitatea de a executa în mod repetat programe, de a reporni sistemul de operare sau de a retransmite date prin canale de comunicare și așa mai departe.
Este foarte periculos să fie considerate virusuri care cauzează o încălcare a confidențialității, distrugerea, modificarea ireversibilă (inclusiv criptarea) de informații, precum și virușii care blochează accesul la informație, ceea ce duce la eșecul de hardware și dăunătoare pentru sănătatea utilizatorilor. Astfel de viruși șterg fișiere individuale, zone de memorie de sistem, discuri formatate, obțin acces neautorizat la informații, criptează datele și așa mai departe.
Unele virusuri cauzează defecțiuni hardware. La o frecvență de rezonanță, părțile în mișcare ale dispozitivelor electromecanice, de exemplu, în sistemul de poziționare a unei unități de disc magnetice, pot fi distruse. Acesta este modul care poate fi creat folosind programul # 8208; virusul. Este posibil să se precizeze modurile de utilizare intensivă a circuitelor electronice individuale (de exemplu, circuite integrate mari), în care apar supraîncălziri și defecțiuni.
Utilizarea memoriei permanente în PC-ul modern, cu posibilitatea de suprascriere, a dus la apariția virușilor care schimbă programele BIOS, ceea ce duce la necesitatea înlocuirii dispozitivelor permanente de stocare.
În conformitate cu caracteristicile algoritmului de funcționare, virușii pot fi împărțiți în două clase:
1) viruși care nu modifică habitat (fișiere și sectoare) în timpul distribuirii;
2) viruși care schimbă habitat în timpul propagării.
La rândul lor, viruși care nu schimbă habitat. pot fi împărțite în două grupuri:
1) viruși - "sateliți" (însoțitori);
2) virușii sunt viermi.
Virușii - "sateliții" nu schimbă fișiere. Mecanismul acțiunii lor este de a crea copii ale fișierelor executabile. De exemplu, în MS # 8208; DOS, astfel de viruși creează copii pentru fișiere care au o extensie .EXE.
Copiilor li se atribuie același nume ca fișierul executabil, dar extensia este schimbată în .COM. Când porniți un fișier cu un nume comun, sistemul de operare încarcă mai întâi fișierul cu extensia .COM, care este programul # 8208; virusul. Fișierul # 8208; virusul rulează apoi fișierul cu extensia .EXE.
Prin complexitate, gradul de perfecțiune și caracteristicile algoritmilor de mascare, virușii care schimbă habitatul. sunt împărțite în:
2) viruși stealth (viruși invizibili);
Pentru studenți se includ virusi, ale căror creatori au calificări reduse. Astfel de viruși sunt de obicei nerezidenți, adesea conțin erori, sunt destul de ușor de detectat și șterși.
„Stelc“ virusurile -virusy polimorfe și sunt create de către personal calificat, care sunt familiarizați cu principiul de funcționare a hardware-ului și a sistemului de operare, precum și abilități care au cu sisteme de programare mashinoorientirovannymi.
Virusurile polimorfe nu au grupuri permanente de identificare - semnături. De obicei, virusul să recunoască faptul habitatului infecție este plasat în obiect infectat identificare speciale secvența binară sau o secvență de caractere (semnătura) care identifică în mod unic un fișier infectat sau sector. Semnăturile sunt utilizate în etapa răspândiri a virușilor pentru a evita infecțiile multiple ale aceluiași obiect ca obiect de infecție repetată crește dramatic probabilitatea de detectare a virusului. Pentru a elimina caracteristicile de demascare, virusurile polimorfe utilizează criptarea corpului virusului și modificarea programului de criptare. Datorită acestei transformări, virusurile polimorfe nu au potriviri de cod.
Orice virus, indiferent de apartenența la anumite clase, trebuie să aibă trei blocuri funcționale: un bloc de infecție (distribuție), o unitate de mascare și un bloc pentru efectuarea acțiunilor distructive. Separarea în blocuri de funcții înseamnă că comenzile programelor de virus care execută una dintre cele trei funcții, indiferent de locația comenzilor din corpul virusului, aparțin unui bloc specific.
După transferul controlului de virus, se efectuează, de regulă, anumite funcții ale unității de mascare. De exemplu, corpul virusului este decriptat. Apoi virusul îndeplinește funcția de introducere în habitat neinfectat. Dacă virusul trebuie să efectueze efecte distructive, acestea se efectuează fie necondiționat, fie în anumite condiții.
Unitatea de mascare închide întotdeauna virusul. În același timp, efectuate, de exemplu, următoarele etape: criptarea virusului (în cazul în care funcția de criptare este implementată), restaurarea vechilor atribute de fișier schimbare data recuperării fișierului, tabele de ajustare a sistemului de operare, etc.
Ultima comandă a virusului rulează o comandă pentru a migra la fișiere infectate sau pentru a executa programe OS.
Pentru comoditatea de a lucra cu viruși cunoscuți, se utilizează cataloage de virusi. În catalog pune următoarele informații despre proprietățile standard ale virusului: numele, lungimea fișierelor infectate, precum și în punerea în aplicare a metodei de infecție fișier, metoda de punere în aplicare în PO de viruși care produc efecte, prezența (absența) funcțiilor distructive și erori. Prezența directoarelor permite specificarea numai a proprietăților speciale atunci când descriu viruși, omiterea proprietăților și acțiunilor standard.