В даний час не існує єдиної системи класифікації і іменування вірусів (хоча спроба створити стандарт була зроблена на зустрічі CARO (Computer Antivirus Research Organization) ще в 1991 році). Прийнято розділяти віруси за об'єктами, що вражаються (файлові віруси, завантажувальні віруси, скриптові віруси, мережні черв'яки), за операційними системами й платформами, що вражаються (DOS, Windows, Unix, Linux, Java та інші), за технологіями, використовуваними вірусом (поліморфні віруси, стелс-віруси), за мовою, якою написано вірус (асемблер, високорівнева мова програмування, скриптова мова та ін.).
Класичні віруси
Під «середовищем існування» вірусу розуміються системні області комп'ютера, операційні системи або додатки, в компоненти яких упроваджується код вірусу.
За середовищем існування класичні віруси можна поділити на три великі групи:
файлові
Впроваджують свій код у виконувані файлі - командні файли, програми, драйвери, вихідний код програм та ін.
За способом зараження найбільш популярні:
-перезаписувачі (overwriting)
Даний метод зараження є найбільш простим: вірус записує свій код замість коду файлу, що заражається, знищуючи його вміст. Природно, що при цьому файл перестає працювати і не відновлюється. Такі віруси дуже швидко виявляють себе, оскільки операційна система і додатки досить швидко перестають працювати.
-паразити (parasitic)
До паразитичних відносяться всі файлові віруси, які при розповсюдженні своїх копій обов'язково змінюють вміст файлів, залишаючи самі файли при цьому повністю або частково працездатними. Основними типами таких вірусів є віруси, що записуються в початок файлів (prepending), в кінець файлів (appending) і в середину файлів (inserting). У свою чергу, впровадження вірусів в середину файлів відбувається різними методами — шляхом перенесення частини файлу в його кінець або копіювання свого коду в свідомо невживані дані файлу (cavity-віруси).
-віруси-компаньони (companion)
До цієї категорії відносяться віруси, які не змінюють файлів, що заражаються. Алгоритм роботи цих вірусів полягає в тому, що для файлу, який заражається, створюється файл-двійник, причому при запуску зараженого файлу управління отримує саме цей двійник, тобто вірус.
До вірусів даного типу відносяться і ті з них, які при зараженні перейменовують файл в яке-небудь інше ім'я, запам'ятовують його (для подальшого запуску файлу-господаря) і записують свій код на диск під ім'ям файлу, що заражається. Наприклад, файл NOTEPAD.EXE перейменовується в NOTEPAD.EXD, а вірус записується під ім'ям NOTEPAD.EXE. При запуску управління отримує код вірусу, який потім запускає оригінальний NOTEPAD.
-інші
Існують віруси, які жодним чином не пов'язують свою присутність з яким-небудь виконуваним файлом. При розмноженні вони всього лише копіюють свій код в які-небудь каталоги дисків в надії, що ці нові копії будуть коли-небудь запущені користувачем. Іноді ці віруси дають своїм копіям «спеціальні» імена, щоб підштовхнути користувача на запуск своєї копії, наприклад, INSTALL.EXE, WINSTART.BAT або www.superinfo.com (яке користувач може помилково прийняти за посилання на інтернет-ресурс). Ще один цікавий спосіб пов’язаний з тим, що ОС групи Windows при запуску на виконання файлу без вказання розширення віддають перевагу .com файлам перед .exe. Тобто, якщо запускний файл вірусу з ім’ям notepad.com розмістити у тому ж каталозі, де знаходиться оригінальний notepad.exe, то користувач набравши notepad у командному рядку запустить на виконання його, а не текстовий редактор. Для маскування такого віруса після його виконання управління може бути передане оригінальному notepad.exe
завантажувальні (бутові)
Записують себе або в завантажувальний сектор гнучкого чи компакт- диска (boot-сектор), або в сектор – системний завантажувач жорсткого диску (Master Boot Record). Даний тип вірусів був достатньо поширений в 1990-х, але практично зник з переходом на 32-бітові операційні системи і відмовою від використання дискет як основного способу обміну інформацією.
макровіруси
Багато табличних і графічних редакторів, системи проектування, текстові процесори мають свої макро-мови для автоматизації виконання дій, що повторюються. Ці макро-мови часто мають складну структуру і розвинений набір команд. Макро-віруси є програмами на макро-мовах, вбудованих в такі системи обробки даних. Для свого розмноження віруси цього класу використовують можливості макро-мов і при їх допомозі переносять себе з одного зараженого файлу (документа або таблиці) в інший.
Троянські програми (трояни)
Зазвичай являють собою програми, що звичайним чином встановлюються на комп’ютері користувача, але крім функціональності, про яку відомо користувачу, здатні виконувати якісь, «не дуже» корисні для користувача дії під керуванням автора програми. Окремо можна виділити троянські програми, які встановлюються на комп’ютері без звичайних попереджень про це. Тобто користувач запускає якусь програму, не бачить при цьому результату та вважає, що програма просто була ушкоджена. А троянська програма тим часом встановлюється на комп’ютері. Встановлені таким чином програми дуже важно відслідкувати навіть сучасними антивірусами.
За призначенням троянські програми можна поділити на декілька груп:
троянські утиліти віддаленого адміністрування
Після встановленні на комп’ютер користувача дозволяють автору робити з комп'ютером все, що він заклав до можливостей віруса: приймати або посилати файли, запускати і знищувати їх, виводити повідомлення, стирати інформацію, перезавантажувати комп'ютер і т.д. В результаті цей троян може бути використаний для виявлення і передачі конфіденційної інформації, для запуску вірусів, знищення даних і т.п. — уражені комп'ютери виявляються відкритими для зловмисних дій гакерів.
програми для крадіжки паролів
При запуску шукають системні файли, що зберігають різну конфіденційну інформацію (зазвичай номери телефонів і паролі доступу до інтернету) і посилають її по вказаному в коді «трояна» електронній адресі або адресам.
інтернет-клікери
Сімейство троянських програм, основна функція яких — організація несанкціонованих звернень до інтернет-ресурсів (зазвичай до веб-сторінок). Досягається це або посилкою відповідних команд браузеру, або заміною системних файлів, в яких вказані «стандартні» адреси інтернет-ресурсів (наприклад, файл hosts в MS Windows).
У зловмисника можуть бути наступні цілі для подібних дій:
-збільшення відвідуваності яких-небудь сайтів з метою збільшення показів реклами
-організація DoS-атаки (Denial of Service) на який-небудь сервер
-залучення потенційних жертв для зараження вірусами або троянськими програмами.
троянскі проксі-сервери
Сімейство троянських програм, що скритно здійснюють анонімний доступ до різних інтернет-ресурсів. Зазвичай використовуються для розсилки спаму.
шпигунські програми
Здійснюють електронне шпигунство за користувачем зараженого комп'ютера: інформація, що вводиться з клавіатури, знімки екрану, список активних застосувань і дії користувача з ними зберігаються в який-небудь файл на диску і періодично відправляються зловмисникові. Троянські програми цього типу часто використовуються для крадіжки інформації користувачів різних систем онлайнових платежів і банківських систем.
Черв’яки
Комп'ютерний черв'як - комп'ютерна програма, здатна до самовідтворення. Вона використовує мережу, щоб відправити свої копії іншим вузлам (комп'ютерним терміналам в мережі) і може робити це без будь-якого втручання користувача. На відміну від вірусу, черв’якам не потрібно приєднуватися до існуючої програми. Черв'яки завжди шкодять мережу (хай навіть лише споживаючи пропускну спроможність), тоді як класичні віруси завжди заражають або зіпсовані файли на атакованому комп'ютері.
Багато створених черв'яків здатні виключно до розповсюдження і не намагаються змінити системи, через які проходять. Проте, як показали черв'як Морріса і Mydoom, мережний трафік і інші ненавмисні ефекти можуть часто викликати серйозний збій. Корисне навантаження — код, призначений для чогось більшого, ніж просте поширення черв'яка – він може видаляти файли на зараженій системі (приклад — черв'як ExploreZip), шифрувати файли (криптовірусна атака з метою здирництва), або посилати документи чи паролі користувача електронною поштою на випадкові, або вказані адреси. Дуже популярне корисне навантаження для черв'яків – створити умови для вільного доступу до зараженого комп’ютера для автора черв’яка.
Немає коментарів:
Дописати коментар