Классификация компьютерных вирусов

По воздействию:

- Безвредные вирусы – увеличивают длину файла, изменяют дату создания, перегружают систему, создают очередь к устройствам;

- Малоопасные – выдают неожиданные сообщения, звуковые или экранные эффекты;

- Разрушительные – портят данные на диске, как правило, уничтожают системную область на диске;

По способу заражения:

Вирусы – компаньоны не заражают программу, а запускаются вместо другой программы. В ОС MS DOS пользователь вводит команду prog

ОС ищет файл prog.com, если такого файла нет, то ищется файл prog.exe. То же самое происходит при выборе пункта ВЫПОЛНИТЬ меню ПУСК. Сегодня программы имеют расширение .exe, .com используется редко. Поэтому, если известно, что определенная программа часто запускается из командной строки, ее можно заменить вирусом. Также вирус может заменить ярлык, так чтобы сначала запускался вирус, а затем программа.

Файловые вирусы, то есть вирусы, которые заражают исполнимые файлы. Такие вирусы приписывают себя к исполнимому файлу. С этой целью вирус просматривает папку, находит исполнимый файл, открывает его, и приписывает себя к коду. Можно выбирать не первый файл, а по датчику случайных чисел, после приписывания не изменять длину и дату модификации файла. (Перезаписывающий, паразитические вирусы).

Исполнимый файл состоит из нескольких сегментов (кода и данных). Длина сегмента всегда кратна 512 байт, если сегмент занят не полностью, то он дополняется нулями. Вирус может записывать себя в эти пустые места, при этом длина файла увеличиваться не будет. Обнаружение такого вируса более сложно. (полостные вирусы).

Вирусы – компаньоны и файловые вирусы после выполнения своей работы, передают управление основной программе, и после завершения основной программы выгружаются из памяти.

Резидентные вирусы после загрузке в ОП остаются там навсегда, как правило в области векторов прерываний. Очень умные вирусы могут изменять карту памяти, и объявлять некоторую область занятой. Резидентный вирус перехватывает один из векторов прерывания, например вектор прерывания системного вызова, сохраняет номер прерывания в своей переменной, запускает свою процедуру, затем передает управление настоящему системному вызову.

Загрузочные вирусы, поражают загрузочный сектор диска или дискеты. При включении компьютера загрузка ОС проводиться с загрузочного сектора диска. Загрузочные вирусы переписывают загрузочный сектор в безопасное место на диске, копируют себя в ОП, то становятся резидентными, а затем возвращают загрузочный сектор на место и загружают ОС.

Вирусы драйверов устройств. В Windows и UNIX драйвер представляет собой исполнимый файл, такой файл может быть заражен файловым вирусом. Драйвер работает в режиме ядра, что позволяет вирусу перехватывать вектор прерываний системных вызовов.

Макро вирусы. Такие приложения, как Word и Excel позволяют создавать макросы, то есть последовательность команд, которая выполняется при запуске макроса. Эти макросы могут содержать циклы для открытия документов, листов рабочей книги и т.д. Создавать такие макросы достаточно просто.

Вирусы, заражающие исходные тексты программ. Эти вирусы вставляют в текст программы вызов некоторой процедуры, которая соответствует вирусу.

Например

#include <virus.h> run_virus ( );

при вызове программы произойдет обращение к вирусу, который, например, будет искать другие тесты программ, заражать их и выполнять свои действия.