Разновидности компьютерных вирусов

Рассмотрим подробнее основные разновидности компьютерных вирусов в Windows-подобных операционных системах.

Рассмотрим подробнее основные разновидности компьютерных вирусов в Windows-подобных операционных системах

Основных принципиальных идей, лежащих в основе вирусов, не очень много (несколько десятков). Среди разновидности компьютерных вирусов следует выделить следующие группы:

  • загрузочные (boot) вирусы заражают программу начальной загрузки компьютера, хранящуюся в загрузочном секторе винчестера, и запускающиеся при загрузке компьютера;

  • файловые вирусы в простейшем случае заражают пополняемые файлы, но могут распространяться и через файлы и даже вообще не модифицировать файлы, а лишь иметь к ним какое-то отношение;

  • загрузочно-файловые вирусы имеют признаки как загрузочных, так и файловых вирусов;

  • драйверные вирусы заражают драйверы устройств компьютера или запускают себя путем включения в файл конфигурации дополнительной строки.

Из разновидности компьютерных вирусов следует упомянуть сетевые вирусы, распространяющиеся в сетях, объединяющих многие десятки и сотни тысяч компьютеров.

Рассмотрим принципы функционирования разновидности компьютерных загрузочных вирусов. На каждом винчестере имеются служебные сектора, используемые операционной системой для собственных нужд, в том числе сектор начальной загрузки. В нем помимо информации о винчестере (число дорожек, число секторов и пр.) хранится небольшая программа начальной загрузки компьютера. Магнитные диски компьютеров винчестерского типа разбиты на несколько логических разделов. Программы начальной загрузки при этом имеются в MBR (Master Boot Record – главная загрузочная запись) и в загрузочном разделе винчестера. Однако, программа начальной загрузки в MBR использует при переходе к программе загрузки загрузочного раздела винчестера, так называемую таблицу разбиения (Partition table), содержащую информацию о положении загрузочного раздела на диске. Вирус может исказить информацию Partition table и таким образом передать управление своему коду, записанному на диск, формально не меняя загрузочной программы.

Теперь рассмотрим принципы функционирования файловых вирусов. Файловый вирус не обязательно является резидентным, он может, например, внедриться в код исполняемого файла. При запуске зараженного файла вирус получает управление, выполняет некоторые действия и возвращает управление коду, в который он был внедрен. Действия, которые выполняет вирус, включают поиск подходящего для заражения файла, внедрение в него так, чтобы получить управление при запуске файла, произведение некоторого эффекта, например, звукового или графического. Если файловый вирус резидентный, то он устанавливается в памяти и получает возможность заражать файлы и проявляться независимо от первоначального зараженного файла.

Заражая файл, вирус всегда изменит его код, но далеко не всегда производит другие изменения. В частности, может не изменяться начало файла и его длина (что раньше считалось признаком заражения). Например, некоторые разновидности компьютерных вирусов могут искажать информацию о файлах, хранящуюся в служебной области магнитных дисков – таблице размещения файлов (FAT – file allocation table), – и делать таким образом невозможной любую работу с файлами.

Загрузочно-файловые компьютерные вирусы используют принципы как загрузочных, так и файловых вирусов, и являются наиболее опасными.

Инструменты