Как называется вирус который полностью или частично скрывает свое присутствие в системе
Как вирусы скрывают свое присутствие в системе?
Основная задача вируса - распространение. И поэтому вирусу необходимо как можно дольше скрывать свое присутствие в системе, ведь чем дольше он будет оставаться незамеченным, тем дальше он сможет распространиться.
Вирусы скрывают свое присутствие по-разному.
Одни вирусы проявляются не сразу, а через некоторое время, давая возможность самому себе как можно больше размножиться. Под проявлением вируса в данном случае подразумеваются действия вируса, по которым даже неопытный пользователь может почувствовать что-то неладное. Это, например, такие явные проявления вируса, как исполнение какой-нибудь мелодии или вывод на экран монитора какого-нибудь сообщения или рисунка. Отформатировать диск или испортить загрузочный сектор сразу же при первом заражении также “невыгодно” вирусу, ведь на этом заканчивается и его “жизнь”. Поэтому многие вирусы ставят такие свои деструктивные действия в зависимость от каких-либо определенных условий. Например:
а) многие вирусы проявляются в один или некоторые определенные дни;
б) другие вирусы ставят свое проявление в зависимость от случайностей всевозможного рода. Например, только если значение минут таймера меньше N ; или проверяет отсутствие ввода с клавиатуры в течение N минут; v ногие загрузочные вирусы любят уничтожать секторы дисков, вычисляя вероятность (1/8 или 1/16 );
в) иногда авторы вирусов ставят счетчики на количество нажатий на клавиши, на количество зараженных файлов или секторов и в зависимости от их значений обнаруживают свои вирусы.
Авторы вирусов заменяют некоторые компоненты операционной системы, например, прерывания, драйверы так, что программа-вирус становится невидимой для других программ. Такие вирусы называются вирусами-невидимками, или стелс-вирусами (Stealth - невидимка ).
Stealth-вирусы всегда резидентны. Резидентный модуль перехватывает обращение операционной системы к пораженным файлам или секторам дисков и “подставляет” вместо них исходные объекты.
Так Stealth-вирусы скрываются от опытного пользователя и многих антивирусных средств, которые осуществляют ранний поиск вирусов по изменениям длин файлов контрольных сумм и содержимого загрузочных секторов.
Необходимо заметить, что Stealth-вирус невидим только тогда, когда его резидентный модуль находится в оперативной памяти компьютера.
Для того, чтобы затруднить обнаружение, некоторые вирусы шифруют свой код.
С понятием компьютерного вируса тесно связано другое понятие - сигнатура.
Сигнатура - это фрагмент кода, встречающийся во всех копиях вируса и только в них. Сигнатура однозначно определяет наличие или отсутствие вируса.
Очевидно, что для поиска тела вирусов на дисках антивирусными средствами невозможно (не хватит памяти!) хранить полные коды программ-вирусов. Поэтому разработчики антивирусных средств поступают следующим образом: для поиска вирусов они хранят их сигнатуры. Такой поиск кодов вирусов называется сигнатурным поиском.
Простейшая техника шифрования выглядит следующим образом: каждый раз, когда вирус заражает новую программу, он зашифровывает свой собственный код, используя новый ключ. Ключ шифрования зависит от заражаемого файла (например, его имени или длины). В результате два экземпляра одного и того же вируса могут значительно отличаться друг от друга, и даже иметь различную длину! Это затрудняет обнаружение вируса с помощью сигнатурного поиска. Ведь зашифрованный код уже не имеет той же сигнатуры.
Шифрующиеся вирусы при получении управления первым делом расшифровывают свой код с помощью процедуры расшифровки, а затем выполняют все остальные действия.
Шифрующиеся вирусы называют иногда вирусами-”призраками”.
Все дальнейшие усовершенствования алгоритмов вирусов уже продиктованы выживанием вирусов при работе под всевозможными антивирусными средствами.
Шифрующиеся вирусы скрывают сигнатуру своего кода. Но ведь зашифрованный код должен быть расшифрован перед выполнением, следовательно, необходима процедура-дешифровщик, которая сама не может быть зашифрована, так как выполняется перед основным кодом вируса. Дешифровщик содержит специфический код и имеет достаточный размер для того, чтобы служить сигнатурой. Этим и пользуются антивирусные программы, применяющие в качестве сигнатуры код процедуры расшифровки.
Авторы вирусов на такой подход ответили полиморфными вирусами. Эти вирусы для шифрования используют не только разные ключи, но и разные процедуры шифрования (соответственно, дешифрования). Два экземпляра такого вируса не имеют ни одной совпадающей последовательности кода!
Вирусы, которые благодаря использованию разных расшифровщиков, могут полностью изменять свой код, называются полиморфными вирусами (polymorphic).
Эти вирусы дополнены генераторами расшифровщиков. Такой генератор создает для каждой новой копии вируса свой собственный расшифровщик, отличный от всех остальных, но выполняющий ту же функцию. Это достаточно сложно. Такие задачи относятся уже к автоматизации программирования.
Первый полиморфный вирус был написан в США Марком Вошборном (Mark Washburn) в качестве экспериментального. Он получил название “V2Px”, или “V-1260”, и хотя не был распространен как вирус, послужил примером для авторов вирусов.
Авторы компьютерных вирусов “вывели” самые современные виды вирусов, в которых нет ни одного постоянного БИТА информации.
Это достигается перестановкой команд расшифровщика, разбавлениями ничего не значащими командами типа NOP, STI, CLI, STC, CLC и т.д. и т.п. В результате в начале файла, зараженного подобным образом, идет набор бессмысленных на первый взгляд команд, и среди них изредка проскальзывают рабочие команды.
На настоящий момент известно огромное количество полиморфных вирусов. Казалось бы, что полиморфные вирусы реализовывают сложные алгоритмы, поэтому их написание под силу только высококвалифицированным специалистам.
Как создаются MtE - вирусы?
Но, к сожалению, в настоящее время создавать полиморфные вирусы могут не только специалисты с высокой квалификацией.
В 1991 г. в Болгарии самым известным автором вирусов, именующим себя Dark Avenger (Черный Мститель), был разработан алгоритм создания полиморфных вирусов. Это очень сложный алгоритм, который порождает дешифровщики, абсолютно непохожие друг на друга. Их размер колеблется в диапазоне от 0 до 512 байт, а в теле могут встречаться практически все команды процессора. Этот алгоритм его автор назвал Mutation Engine (машина мутаций), сокращенно он называется MtE или DAME ( Dark Angel MuTation Engine ).
Вирусы с подключенным к ним молулем MtE для порождения дешифровщиков, называют MtE - вирусами. Это полуавтоматические вирусы.
Вслед за Mutation Engine появилось еще несколько средств разработки полиморфных вирусов. В Казани был создан AWME (Anti WEB Mutation Engine). А вот названия зарубежных разработок полиморфных вирусов:
· CLME ( Crazy Lord Mutation Engine ),
· DSCE ( Dark Slayer Confusion Engine ),
· GCAE ( Golden Cicada Abnormal Engine ),
· NED ( NUKE Encription Device ),
· SMEG ( Simulated Metamorfic Encri p tion Generator ),
· TPE ( Trident Polymorfic Engine ),
· VICE ( Virogen’s Irreguar Code Engine ).
Даже по количеству автоматизированных разработок для создания полиморфных вирусов становится очевидным широкое распространение полиморфных вирусов.
В современных условиях выживают и распространяются только сложные вирусы, которые используют все известные возможности для внедрения в компьютерные системы и для того, чтобы скрыть свое присутствие.
Обычно такие вирусы не ограничиваются заражением файлов одного типа. Файлово-загрузочные вирусы распространяются как через выполнимые файлы, так и через загрузочные секторы дискет и жестких дисков, одновременно поражая файлы и секторы. При этом они еще, как правило, размещают резидентный модуль в оперативной памяти.
А для того, чтобы достичь наибольшей неуязвимости, вирусы комбинируют и все известные методы маскировки: от менее опытных пользователей и одного вида антивирусных средств скрываются, используя Stealth-технологию, от более опытных пользователей и более мощных антивирусных средств - реализовывая полиморфные механизмы.
При этом иногда возникают такие сложные комбинации всех этих способов, что результатом является мощный вирус, производящий массовое заражение.
11 самых ярких компьютерных вирусов: от невидимки до монстра
11 ноября 1983 года американский студент из Университета Южной Калифорнии Фред Коэн составил программу, демонстрирующую возможность заражения компьютера. Скорость размножения вируса внутри компьютера VAX составила от пяти минут до часа, и дальнейшие опыты в этом направлении были запрещены как исключительно опасные.
Через год Коен написал об этом научную работу, в которой не только дал определение вирусу, но и предвосхитил распространение вирусов по компьютерным сетям и появление антивирусных программ.
Компьютерный вирус — это разновидность компьютерных программ, отличительной особенностью которой является способность к размножению (саморепликация). Вирусы могут повредить или полностью уничтожить файлы, данные и даже операционную систему со всеми файлами в целом.
1. Brain, 1986 год: первый вирус, вызвавший эпидемию
По сравнению с последователями, Brain практически безопасен, но он стоит нашего внимания в первую очередь потому, что первым вызвал настоящую вирусную эпидемию.
Передавался Brain по загрузочным секторам дискет. Разработка вируса лежит на совести братьев Амджата и Базита Алви (Amdjat и Basit Faroog Alvi), которые запустили его в 1986 году. Обнаружен Brain был летом 1987 года. Только в США вирус заразил более 18 тысяч компьютеров.
В основе разработки Brain лежали благие намерения: программа должна была наказать местных пиратов, ворующих программное обеспечение у фирмы братьев.
2. Jerusalem, 1988 год: в пятницу 13-ого удалял все данные с жесткого диска
В те времена еще мало кто верил в существование компьютерных вирусов. Антивирусных программ почти не существовало, а потому пользователи были беззащитны перед ними.
3. Червь Морриса, 1988 год: вывел из строя весь интернет
Лютовал этот вирус в 1992 году. Он сыграл на руку компаниям, производящим антивирусы: пользуясь случаем, бизнесмены раздули истерию до невиданных масштабов, в то время как от него пострадали всего около 10 тысяч машин.
CIH создан в 1998 году тайваньским студентом, по инициалам которого и назван. Вирус попадал в компьютер через интернет, электронную почту и диски, прятался внутри других программ, а в определенный момент (26 апреля, совпадает с датой аварии на Чернобыльской АЭС) вирус активировался, стирая содержимое жесткого диска и нанося вред аппаратной части компьютера.
6. Melissa, 1999 год: массово засорил корпоративную почту
Вирус был создан в Китае 18 сентября 2001 года Название произошло от слова admin, написанного в обратном порядке. Суть Nimda в том, что вирус мог создавать для себя на зараженных компьютерах права администратора, после чего изменял и нарушал конструкцию сайтов, блокировал доступ на хосты, IP-адреса и т.д.
На компьютеры Nimda проникал столь виртуозно, что уже через 22 минуты после своего создания он стал самым распространенным интернете.
9. My Doom, 2004 год: чемпион по скорости распространения
My Doom — самый быстрый вирус электронной почты. Работал он по нарастающей: каждый следующий компьютер отправлял спама еще больше, чем предыдущий. Также он модифицировал операционную систему, блокируя доступ к сайтам многих антивирусных компаний, новостным лентам и различным разделам сайта компании Microsoft.
Помимо этого, на его счету даже DDoS-атака на сайт Microsoft.
10. Conficker, 2008 год: 12 миллионов жертв
Этот вирус имеет славу опаснейшего из известных компьютерных червей. Атакует он операционные системы семейства Microsoft Windows. Вирус поразил более 12 миллионов компьютеров во всeм мире.
Принцип действия Conficker таков: червь находит уязвимости Windows, связанные с переполнением буфера, и затем отключает сервисные службы и обновление Windows, а также блокирует доступ к сайтам ряда производителей антивирусов.
11. Win32/Stuxnet, 2010 год: первый, заразивший промышленные системы
И в заключение — об одном из наиболее страшных вирусов последних лет. Вирус был обнаружен не только на компьютерах рядовых пользователей, но и в промышленных системах, управляющих автоматизированными производственными процессами.
Это первый известный компьютерный червь, перехватывающий и модифицирующий информационный поток между программируемыми логическими контроллерами марки Simatic S7 и рабочими станциями SCADA-системы Simatic WinCC фирмы Siemens. Таким образом, червь может быть использован в качестве средства несанкционированного сбора данных (шпионажа) и диверсий в автоматизированных системах управления технологическим процессом (АСУ ТП) промышленных предприятий, электростанций, аэропортов и т. п.
Уникальность программы заключалась в том, что впервые в истории кибератак вирус физически разрушал инфраструктуру. Существует предположение, что Stuxnet представляет собой специализированную разработку спецслужб Израиля и США, направленную против ядерного проекта Ирана. В качестве доказательства упоминаются завуалированные упоминания слова MYRTUS, содержащиеся в коде червя.
Кроме того, в коде однажды встречается никак не объясненная дата 9 мая 1979 года (19790509). В этот день произошла казнь известного иранского промышленника Хабиба Эльганяна, еврея по национальности.
Как и у любой программы, у компьютерных вирусов можно выделить две основные стадии жизненного цикла — хранение и исполнение.
Стадия хранения соответствует периоду, когда вирус просто хранится на диске совместно с объектом, в который он внедрен. На этой стадии вирус является наиболее уязвимым со стороны антивирусного ПО, так как он не активен и не может контролировать работу ОС с целью самозащиты.
Некоторые вирусы на этой стадии используют механизмы защиты своего кода от обнаружения. Наиболее распространенным способом защиты является шифрование большей части тела вируса. Его использование совместно с механизмами мутации кода (об этом идет речь ниже) делает невозможным выделение сигнатур — устойчивых характеристических фрагментов кода вирусов.
Стадия исполнения компьютерных вирусов, как правило, включает пять этапов:
- 1) загрузка вируса в память;
- 2) поиск жертвы;
- 3) заражение найденной жертвы;
- 4) выполнение деструктивных функций;
- 5) передача управления программе-носителю вируса.
Рассмотрим эти этапы подробнее [38, 70].
1. Загрузка вируса. Загрузка вируса в память осуществляется ОС одновременно с загрузкой исполняемого объекта, в который вирус внедрен. Например, если пользователь запустил на исполнение программный файл, содержащий вирус, то, очевидно, вирусный код будет загружен в память как часть этого файла. В простейшем случае процесс загрузки вируса представляет собой не что иное, как копирование с диска в оперативную память, сопровождаемое иногда настройкой адресов, после чего происходит передача управления коду тела вируса. Эти действия выполняются ОС, а сам вирус находится в пассивном состоянии. В более сложных ситуациях вирус может после получения управления выполнять дополнительные действия, которые необ-холимы для его функционирования. В связи с этим рассматриваются два аспекта.
- • изменение порядка независимых инструкций;
- • замену некоторых инструкций на эквивалентные по результату работы;
- • замену используемых в инструкциях регистров на другие;
- • введение случайным образом зашумляющих инструкций.
Вирусы, использующие подобные механизмы мутации кода,
получили название полиморфных вирусов. При совместном использовании механизмов шифрования и мутации внедряемая копия вируса окажется отличной от оригинала, так как одна ее часть будет изменена, а другая окажется зашифрованной на ключе, сгенерированном специально для этой копии вируса. А это существенно осложняет выявление вируса в вычислительной системе.
Полиморфные вирусы (polymorphic) — это трудно обнаруживаемые вирусы, не имеющие сигнатур, т. е. не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфного вируса не будут иметь ни одного совпадения. Полиморфизм встречается в вирусах всех типов — файловых, загрузочных и макровирусах.
Дополнительные действия, которые выполняют полиморфные вирусы на этапе загрузки, состоят в расшифровывании основного тела вируса.
При использовании стелс-алгоритмов вирусы могут полностью или частично скрыть себя в системе. Наиболее распространенный стелс-алгоритм осуществляет перехват системных запросов с целью контроля действий ОС. Вирусы, использующие стелс-алгоритмы, называются стелс-вирусами.
Нередко в вирусах используются различные нестандартные приемы с целью глубже спрятаться в ядре ОС, либо защитить от обнаружения свою резидентную копию, либо затруднить лечение от вируса и т. п.
Второй аспект связан с так называемыми резидентными вирусами. Поскольку вирус и объект, в который он внедрен, являются для ОС единым целым, то после загрузки они располагаются, естественно, в едином адресном пространстве. После завершения работы объекта он выгружается из оперативной памяти, при этом одновременно выгружается и вирус, переходя в пассивную стадию хранения. Однако некоторые типы вирусов способны сохраняться в памяти и оставаться активными после окончания работы вирусоносителя. Эти вирусы получили название резидентных.
Резидентные вирусы при инфицировании компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращения ОС к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения компьютера или перезагрузки ОС.
Нерезидентные вирусы не заражают память компьютера и сохраняют активность ограниченное время. Некоторые вирусы оставляют в оперативной памяти небольшие резидентные программы, которые не распространяют вирус. Такие вирусы считаются нерезидентными.
Следует отметить, что деление вирусов на резидентные и нерезидентные справедливо в основном для файловых вирусов. Загрузочные вирусы, как и макровирусы, относятся к резидентным вирусам.
2. Поиск жертвы. По способу поиска жертвы вирусы можно разделить два два класса.
3. Заражение жертвы. В простейшем случае заражение представляет собой самокопирование кода вируса в выбранный в качестве жертвы объект. Классификация вирусов на этом этапе связана с анализом особенностей этого копирования и способов модификации заражаемых объектов.
Особенности заражения файловыми вирусами. По способу инфицирования жертвы вирусы можно разделить на два класса.
К первому классу относятся вирусы, которые не внедряют свой код непосредственно в программный файл, а изменяют имя файла и создают новый, содержащий тело вируса.
Второй класс составляют вирусы, внедряющиеся непосредственно в файлы-жертвы. Они характеризуются местом внедрения. Возможны следующие варианты.
Внедрение в начало файла. Этот способ является наиболее удобным для COM-файлов MS-DOS, так как данный формат не предусматривает наличие служебных заголовков. При внедрении этим способом вирусы могут либо производить конкатенацию собственного кода и кода программы-жертвы, либо переписывать начальный фрагмент файла в конец, освобождая место для себя.
Внедрение в конец файла. Это — наиболее распространенный тип внедрения. Передача управления коду вирусов обеспечивается модификацией первых команд программы (СОМ) или заголовка файла (ЕХЕ).
Особенности заражения загрузочными вирусами определяются особенностями объектов, в которые они внедряются, — загрузочными секторами гибких и жестких дисков и главной загрузочной записью (МВЯ) жестких дисков. Основной проблемой является ограниченный размер этих объектов. В связи с этим вирусам необходимо сохранить на диске ту свою часть, которая не уместилась на месте жертвы, а также перенести оригинальный код инфицированного загрузчика. Существуют различные способы решения этой задачи. Ниже приводится классификация, предложенная Е. Касперским [38, 85].
Используются псевдосбойные секторы. Вирус переносит необходимый код в свободные секторы диска и помечает их как сбойные, защищая тем самым себя и загрузчик от перезаписи.
Используются редко применяемые секторы в конце раздела. Вирус переносит необходимый код в эти свободные секторы в конце диска. С точки зрения ОС эти секторы выглядят как свободные.
Используются зарезервированные области разделов. Вирус переносит необходимый код в области диска, зарезервированные под нужды ОС, а потому неиспользуемые.
Короткие вирусы могут уместиться в один сектор загрузчика и полностью взять на себя функции МВЯ или загрузочного сектора.
Особенности заражения макровирусами. Процесс заражения сводится к сохранению вирусного макрокода в выбранном документе-жертве. Для некоторых систем обработки информации это сделать не просто, так как формат файлов документов может не предусматривать возможность сохранения макропрограмм. В качестве примера приведем Microsoft Word 6.0. Сохранение макрокода для этой системы возможно только в файлах шаблонов (имеющих по умолчанию расширение .DOT). Поэтому для своего сохранения вирус должен контролировать обработку команды Save as из меню File, которая вызывается всякий раз, когда происходит первое сохранение документа на диск. Этот контроль необходим, чтобы в момент сохранения изменить тип файла-документа (имеющего по умолчанию расширение .DOC) на тип файла-шаблона. В этом случае на диске окажутся и макрокод вируса, и содержимое документа.
Помимо простого копирования кода вируса в заражаемый объект на этом этапе могут использоваться более сложные алгоритмы, обеспечивающие защиту вируса на стадии хранения. К числу таких вирусов относятся описанные выше полиморфные вирусы.
4. Выполнение деструктивных функций. Вирусы могут выполнять помимо самокопирования деструктивные функции.
По деструктивным возможностям вирусы можно разделить на безвредные, неопасные, опасные и очень опасные [85].
Безвредные вирусы — это вирусы, в которых реализован только механизм самораспространения. Они не наносят вред системе, за исключением расхода свободной памяти на диске в результате своего распространения.
Неопасные вирусы — это вирусы, присутствие которых в системе связано с различными эффектами (звуковыми, видео) и уменьшением свободной памяти на диске, но которые не наносят вред программам и данным.
Опасные вирусы — это вирусы, которые могут привести к серьезным сбоям в работе компьютера. Последствием сбоя может стать разрушение программ и данных.
Очень опасные вирусы — это вирусы, в алгоритм работы которых заведомо заложены процедуры, непосредственно приводящие к разрушениям программ и данных, а также к стиранию информации, записанной в системных областях памяти и необходимой для работы компьютера.
Так, вирусы, созданные для работы в MS-DOS, обладают практически неограниченными потенциальными возможностями.
Распространение вирусов под управлением Windows NT/2000 ограничивается развитой системой разграничения доступа.
Возможности макровирусов напрямую определяются возможностями макроязыков, на которых они написаны. В частности, язык Word Basic позволяет создать мощные макровирусы, способные доставить пользователям серьезные неприятности.
Дополняя эту классификацию, можно отметить также деление вирусов на вирусы, наносящие вред системе вообще, и вирусы, предназначенные для целенаправленных атак на определенные объекты.
5. Передача управления программе-носителю вируса. Здесь следует указать на деление вирусов на разрушающие и неразрушающие.
Разрушающие вирусы не заботятся о сохранении работоспособности инфицированных программ, поэтому для них этот этап функционирования отсутствует.
Для неразрушающих вирусов этот этап связан с восстановлением в памяти программы в том виде, в котором она должна корректно исполняться, и передачей управления программе-носителю вируса.
Вредоносные программы других типов
Кроме вирусов принято выделять еще несколько видов вредоносных программ. Это троянские программы, логические бомбы, хакерские утилиты скрытого администрирования удаленных компьютеров, программы, ворующие пароли доступа к ресурсам Интернет и прочую конфиденциальную информацию. Четкого разделения между ними не существует: троянские программы могут содержать вирусы, в вирусы могут быть встроены логические бомбы и т. д.
Троянские программы не размножаются и не рассылаются сами. Внешне они выглядят совершенно безобидно и даже предлагают полезные функции. Но когда пользователь загрузит такую программу в свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для первоначального распространения вирусов, для получения удаленного доступа к компьютеру через Интернет, кражи данных или их уничтожения.
Логической бомбой называется программа или ее отдельные модули, которые при определенных условиях выполняют вредоносные действия. Логическая бомба может, например, сработать по достижении определенной даты или тогда, когда в БД появится или исчезнет запись, и т. п. Такая бомба может быть встроена в вирусы, троянские программы и даже в обычные программы.
Компьютерный вирус — вредоносная программа, главной задачей которой может быть повреждение системы, на которой она установлена, перехват информации с компьютера и саморепликация — способность к размножению.
Классификация вирусов
Так как единой классификации вирусного ПО на данный момент не существует, их классифицируют условно по определенным критериям:
- Руткит (англ. rootkit) — вирус, предназначенный для сокрытия присутствия других вредоносных программ.
- Стелс-вирус (от англ. stealth virus — вирус-невидимка) — частично или полностью скрывающий свое присутствие в системе, таким образом затрудняя обнаружение антивирусной программой.
- Полиморфный вирус – вредоносная программа, с постоянно изменяющимся программным кодом.
- Microsoft Windows.
- Unix.
- Linux.
- DOS.
- Мобильные ОС.
- Загрузочный вирус — выполняет заражение Главной загрузочной записи (Master Boot Record, MBR) жесткого диска. Активируется вирус при загрузке (перезагрузке) операционной системы
- Скриптовый вирус — с помощью языков программирования добавляет себя к новым скриптам
- Файловый вирус — так называемый вирус-паразит, который при самокопировании изменяет содержимое исполняемых файлов
- Макровирус — вирус, использующий возможности макроязыков (чаще всего встраиваются в прикладные пакеты MS Word).
- Вирус, поражающий исходный код.
- Скриптовый язык.
- Ассемблер.
- Высокоуровневый язык.
- Другие языки программирования.
- Кейлоггер (от англ. key — клавиша и logger — регистрирующее устройство) — программа, выполняющая перехват и последующую отправку информации о набираемом на клавиатуре тексте.
- Шпион — вирус, собирающий данные о системе, активности программ на компьютере, посещенных сайтах и т.д.
- Бэкдор (от англ. back door — черный ход) — вирус, который после первичного доступа инсталлирует на компьютере взломщик для дальнейших подключений к системе.
- Ботнет (англ. botnet — от robot и network) — сеть компьютеров с запущенным автономным программным обеспечением — ботами. Задачей бота является подбор паролей, выполнение DDoS-атак и рассылка спама за счет ресурсов зараженного компьютера.
- Прочие разновидности.
Типы вирусов
В зависимости от способа заражения, функционала и целей, преследуемых злоумышленниками, вирусы можно разделить на следующие виды:
- Червь (Worm) — программа, которая самостоятельно создает копии самой себя, при этом не поражая другие приложения.
- Дроппер (Dropper) — исполняемый файл, который сам по себе вирусом не является, но устанавливает зловредное ПО в системе.
- Троян — вредоносная программа, проникающая в систему под видом безопасного приложения.
- Анти-антивирусный вирус (Anti-antivirus virus) — целью программы является нарушение работы антивирусного ПО, установленного на зараженном компьютере.
- Стелс-вирус (Stealth virus) — программа, частично или полностью маскирующаяся в системе с помощью специальных действий, например, перехвата обращений к ОС, направленных на получение информации о зараженных объектах.
- Модификация (modification) — измененный вариант одной и той же вирусной программы.
- Шифрованный вирус (Encrypted virus) — программа, которая самостоятельно шифрует свой исходный код, что затрудняет обнаружение в системе.
- Скрипт-вирус (Script virus) — программа, попадающая на компьютер под видом сообщения электронной почты, которое содержит в себе исполняемые файлы.
- Резидентный вирус — вирус, скрывающийся в оперативной памяти для заражения всех приложений и файлов, которые открываются либо копируются на компьютере.
Принцип работы
Механизм работы вирусной программы одинаков для всего ПО данного типа: при попадании в среду заражения, вирус внедряется в исполняемый код других программ. Чаще всего для проникновения могут использоваться уязвимости в популярных программах — почтовые клиенты, браузеры и т.д.
Среда обитания
Попасть в систему вирусное ПО может из различных источников:
Противодействие и профилактика
Основная статья: Антивирусная программа
На сегодняшний день самым действенным средством против вирусов являются антивирусные программы, позволяющие не только обнаружить и восстановить зараженные файлы, но и предотвратить их попадание на компьютер.
Читайте также: