Классификация вирусов

В настоящее время описано большое количество вирусов, исчисляемых десятками тысяч. Но среди них можно насчитать не более 40-50 активных, которые имеют распространение. Вирусы можно классифицировать следующим образом:

• загрузочные вирусы;

• файловые вирусы;

• макровирусы;

• сетевые вирусы.

Загрузочные вирусы внедряются в так называемые загрузочные области носите­лей. Если зараженным окажется системный диск, с которого происходит загруз­ка системы, то управление получает не обычная программа загрузки, а замещаю­щий его код вируса. При заражении вирус считывает необходимую информацию из первоначального загрузчика и сохраняет ее в своем коде.

Как правило, загрузочные вирусы являются резидентными, то есть при загрузке системы вирус устанавливается в память компьютера и находится там постоянно, перехватывает необходимые прерывания и производит все действия, на которые он запрограммирован.

Файловые вирусы используют особенности файловой организации системы. Та­кие вирусы внедряются в выполняемые файлы, в библиотечные и объектные мо­дули, загружаемые драйверы, файлы исходных текстов программ.

Файловые вирусы заражают файлы, внедряясь в начало, в конец или в середину файла. Такие файлы остаются работоспособными, так как код вируса дописыва­ется к исходному коду.

Некоторые вирусы вместо исходного содержимого файла записывают свой код. Та­кие файлы уже не могут быть использованными по своему прямому назначению.

Файловые вирусы могут и не изменять содержимое заражаемых файлов. Иногда Для своей активизации они используют свойства операционной системы, определя­ющие порядок запуска программ. Так, если в одном каталоге есть файлы с одина­ковыми именами, то сначала запускается файл с расширением имени *.ВАТ, потом *.СОМ и *.ЕХЕ. Соответственно, если заражаемый файл имеет расширение *.ЕХЕ, то вирусный файл с тем же именем, но расширением *.СОМ будет запускаться первым. Других случаях файл с вирусом для перехвата управления располагает себя в таком каталоге, который, согласно переменной среды PATH, находится «выше» каталога одноименного программного файла. Некоторые вирусы «присваивают» имя заражаемого файла, а тому дают новое (измененное) имя. Это, опять-таки, приводит к тому, что при запуске «зараженного» файла сначала отработает вирус.

Как правило, затем управление передается на оригинальный файл. Последнее де­лается для того, чтобы скрыть от пользователя факт работы вируса. Среди файловых вирусов встречаются вирусы, которые не связаны ни с одним из файлов. Запуск таких вирусов осуществляется «по ошибке». Файлы таких виру­сов имеют «интересные» с точки зрения пользователя имена: Install.exe, Start.com и т. д. Такие вирусы называют червями (англ. вариант — worm).

Макровирусы — это файловые вирусы, использующие особенности файлов доку­ментов популярных редакторов и электронных таблиц. В этих файлах размеща­ются программы на макроязыках, возможности которых позволяют создавать программы -вирусы.

Сетевые вирусы используют для своего распространения возможности компью­терных сетей. Наибольшее распространение сетевые вирусы получили в конце 80-х годов. Эти вирусы использовали ошибки в сетевых протоколах и программ­ном обеспечении глобальных сетей. Сейчас эти ошибки исправлены и эти вирусы не имеют распространения.

В настоящее время сетевые вирусы распространяются, используя возможности электронной почты. В основном это макровирусы.