Віруси можна класифікувати за різними ознаками.

3.

КОМП'ЮТЕРНІ ВІРУСИ ЯК ЗАГРОЗА ІНФОРМАЦІЙНИМ СИСТЕМАМ

 

Вважають, що перші прототипи «електронних інфекцій» з'явились наприкінці 1960-х — на початку 1970-х років у вигляді програм-«кроликів», які швидко розмножувались і займали сис­темні ресурси, знижуючи таким чином, продуктивність комп'ю­терів. «Кролики» не передавались між системами і були резуль­татом пустощів системних програмістів. Термін «комп'ютерний вірус» уперше вжив американський студент Фред Коен у 1984 ро­ці. Він поділив віруси на дві великі групи. До першої він відніс ті, які написані для певних наукових досліджень у галузі інформа­тики, а до другої — «дикі» віруси, вироблені з метою заподіяння шкоди користувачам.

Сьогодні написання вірусів набуває ознак промислового вироб­ництва, їх кількість вимірюється десятками тисяч, і розуміння цієї загрози має стати необхідною вимогою для кожного користувача.

Комп'ютерний вірус —спеціально написана невелика за розмірами програма, яка може створювати свої копії, впрова­джуючи їх у файли, оперативну пам'ять, завантажувальні області і т. ін. (заражати їх), та виконувати різноманітні небажані дії.

Небезпечність вірусу зростає через наявність у нього латент­ного періоду, коли він не виявляє себе. Для маскування вірус може використовуватися разом з «логічною» або «часовою бом­бою».

 

Кілька ознак зараження ІC вірусами:

  • припинення роботи або неправильна робота програм, які раніше функціонували успішно;
  • неможливість завантаження операційної системи;
  • зменшення вільного обсягу пам'яті;
  • уповільнення роботи комп'ютера;
  • затримки під час виконання програм, збої в роботі комп’ютера;
  • раптове збільшення кількості файлів на диску;
  • зникнення файлів і каталогів або перекручування їхнього вмісту;
  • незрозумілі зміни у файлах;
  • зміни дати і часу модифікації файлів без очевидних причин;
  • незрозумілі зміни розмірів файлів;
  • видача непередбачених звукових сигналів;
  • виведення на екран непередбачених повідомлень або зобра­жень.

 

За середовищем існування розрізняють файлові, завантажуваль­ні, комбіновані (файлово-завантажувальні), пакетні та мережні ві­руси.

Файлові віруси звичайно заражають файли з розширеннями .com та .ехе. Однак, деякі їх різновиди можуть інфікувати файли й інших типів (.dll, .sys, .ovl, .prg, .bat, .mnu), при цьому вони, як правило, втрачають здатність до розмноження.

У свою чергу, за способом зараження середовища існування файлові віруси поді­ляють на резидентні та нерезидентні. Останні починають діяти тільки під час запуску зараженого файла на виконання і залиша­ються активними обмежений час. Резидентні віруси інсталюють свою копію в оперативній пам'яті, перехоплюють звертання опе­раційної системи до різних об'єктів і заражають їх. Деякі віруси здатні перехоплювати досить багато різних функцій переривань, У результаті чого файли можуть заражатись у процесі переймену­вання, копіювання, знищення, змінювання атрибутів, перегляду каталогів, виконання, відкривання та здійснення інших операцій. Резидентні віруси зберігають активність весь час до вимикання комп' ютера.

. Порівняно новою групою можна назвати макровіруси, які ви­користовують можливості макромов, вбудованих у текстові ре­дактори, електронні таблиці і т. ін. Нині поширені макровіруси у Microsoft Word і Excel. Вони перехоплюють деякі файлові функ­ції в разі відкриття чи закриття зараженого документа і згодом інфікують решту файлів, до яких звертається програма. У певно­му сенсі такі віруси можна назвати резидентними, оскільки вони активні тільки у своєму середовищі — відповідному додатку.

Окрему категорію файлових вірусів становлять віруси сім'ї DIR, які не впроваджуються у файли, а виконують реорганізацію файлової системи так, що під час запуску будь-якого файла управління передається вірусу.

Завантажувальні віруси відрізняються від файлових резидентних вірусів тим, що вони переносяться із системи в систему через завантажувальні сектори. Комп'ютер заражається таким вірусом після спроби завантаження системи з інфікованого диска, а дис­кета — при читанні її «змісту».

Комбіновані віруси можуть поширюватись як через заванта­жувальні сектори, так і через файли.

Пакетні віруси — це порівняно прості і старі віруси, написані мовою управління завданнями операційної системи.

Мережні віруси («черв'яки») розмножуються по комп'ютерній мережі, зменшуючи тим самим її пропускну здатність, уповіль­нюючи роботу серверів і т. ін. Вони посідають перше місце за швидкістю поширення. Найбільш відомим є так званий «черв'як Морріса». Останні моделі «черв'яків» упроваджуються у різні архіви (arj, zip та ін.) і зменшують вільний простір на диску.

За ступенем деструктивності віруси можна поділити на такі групи:

• порівняно безпечні, нешкідливі — їх вплив обмежується зменшенням вільної пам'яті і графічними або звуковими ефекта­ми. Варто зазначити, що зменшення пам'яті в деяких випадках може призвести до збою системи, а ефекти — відволікти корис­тувача, у результаті чого він припуститься помилки;

• небезпечні — віруси, які можуть призводити до збійних си­туацій;

· дуже небезпечні — дії вірусів можуть призвести до втрати про­грам, знищення даних, стирання інформації в системних областях тощо.

За особливостями алгоритму віруси важко класифікувати че­рез їх різноманітність. Можна виокремити найпростіші, «вульгарні» віруси, написані єдиним блоком, який можна розпізнати в тек­сті програми-носія, та віруси «роздроблені» — поділені на части­ни, що нібито не мають між собою зв'язку, але містять інструкції комп'ютерові, як їх зібрати в єдине ціле і розмножити вірус.

З погляду прийомів маскування розрізняють віруси-невидимки (стелс-віруси, stealth) та поліморфні віруси. Перші перехоплюють функції операційної системи, відповідальні за роботу з файлами, і коригують результати звернень. Механізм «невидимості» в кож­ному з цих вірусів реалізується по-своєму, однак можна виокре­мити кілька загальних принципів:

• для приховування збільшення довжини заражених файлів вірус передає програмі перегляду каталогів зменшене значення їхньої довжини;

• для того щоб користувач не виявив код вірусу під час пере­гляду файла, вірус виліковує його в момент відкриття і заново за­ражає у процесі закриття;

• для того щоб замаскувати свою присутність у пам'яті комп'ютера, вірус стежить за діями резидентних моніторів пам'яті, у разі спроби перегляду коду вірусу система зависає.

Поліморфниминазивають віруси, які застосовують різноманіт­ні способи шифрування власного тіла. У разі зараження чергового файла алгоритм шифрування змінюється випадковим чином. При цьому дуже важко виділити сигнатуру — характерну послідов­ність байтів у коді вірусу.