0PART I. WHO IS WHO
В общем, я могу начать грузить тебя техническими терминами, но, думаю, лучше объяснить все на пальцах. "Компьютерный вирус - это программа (некоторая совокупность выполняемого кода/инструкций), способная создавать свои копии (не обязательно полностью совпадающие с оригиналом) и внедрять их в различные объекты/ресурсы компьютерных систем, сетей и т.д. без ведома пользователя". Это самое "нормальное" определение, которое мне удалось найти, давай его разберем. Как ты уже понял, вирус - это программа (точно такая же, как, например, твой MS Word), которая может изменять другие файлы, записывая в них свой код и делая их "зараженными". Сейчас почти во всех вирусах заложен алгоритм размножения по Сети (по электронной почте, через WEB и т.п.).
PART II. А КАКИЕ ОНИ?!
Вирусы принято делить на классы по следующим основным признакам: среда обитания операционная система алгоритм работы объем причиненного вреда
По среде обитания вирусы можно разделить на:
1. файловые
2. загрузочные
3. макро
4. сетевые
По алгоритму работы: резидентные
1. с использованием стелс-алгоритмов
2. с самошифрованием и полиморфичностью
3. с использованием нестандартных приемов
По объему причиненного вреда:
1. безвредные, т.е. никак не влияющие на работу компьютера
2. неопасные, т.е. те, которые просто себя распространяют, при этом, например, выдвигая СD-ROM или мигая лампочками на клавиатуре
3. опасные, которые могут привести к серьезным сбоям в работе компьютера
4. очень опасные, которые могут привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, даже ту, которая находится в системной области данных!
Классификацию вирусов по признаку того, в какой операционной системе они работают, я приводить не стал - ты и сам не маленький.
PART III. ТЕПЕРЬ О КАЖДОМ ПОНЕМНОГУ
ФАЙЛОВЫЕ ВИРУСЫ
Файловые вирусы - это те, которые при своем размножении используют файловую систему определенной операционной системы. Чаще всего файловые вирусы заражают исполняемые файлы; они могут внедряться и в другие типы файлов, но, как правило, записанные в таких файлах, они никогда не получают управление и, следовательно, теряют способность к размножению (да, такие бестолковые вирусы иногда тоже встречаются :).
По способу заражения файловые вирусы делятся на несколько групп:
1. Overwriting-вирусы
2. Паразитические
3. Компаньон-вирусы
Первый способ заражения является наиболее простым: вирус записывает свой код вместо кода заражаемого файла, уничтожая его содержимое. Но дальше этого дело не идет, т.к. рано или поздно система начинает глючить или падает. А если у тебя есть антивирус, то Overwriting-вирусы обнаруживаются быстрее остальных. Паразитические вирусы добавляют свой код в зараженный файл, файл при этом остается полностью или частично работоспособным. К категории компаньон-вирусов относятся вирусы, не изменяющие заражаемые файлы. Алгоритм их работы состоит в том, что для заражаемого файла создается файл-двойник, причем при запуске зараженного файла управление получает именно этот двойник.
СЕТЕВЫЕ ВИРУСЫ
Сетевыми называются такие вирусы, которые при своем распространении используют возможности интернета и локальных сетей.
Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервак и заставить его выполниться. Сетевые вирусы нередко называют сетевыми червями. Для своего распространения они используют ошибки и недокументированные функции сетей или ОСей, при этом распространяясь по сервакам и запуская свой код на каждом из них.
Существует категория вирусов, которые используют для своего распространения протокол FTP и передают свою копию на удаленный ftp-сервер в каталог Incoming. Поскольку сетевой протокол FTP исключает возможность запуска файла на удаленном серваке в каталоге Incoming, этот вирус можно охарактеризовать как "полусетевой". Его действие основано лишь на любопытстве пользователя.
МАКРОВИРУСЫ
Это вирусы на макроязыках различных приложений, вроде MS Excel (VB), MS Word (WB) и т.п. Для своего размножения они используют возможности макроязыков и с их помощью переносят себя из одного зараженного файла (документа или таблицы) в другие. Для существования вирусов в конкретной системе необходимо наличие встроенного в систему макроязыка с такими возможностями: - привязка программы на макроязыке к конкретному файлу;
- копирования макропрограмм из одного файла в другой;
- получение управления макропрограммой без вмешательства пользователя (хотя бы прямого, вроде необходимости нажатия кнопки "запусти меня, я вирус" :).
Макроязык позволяет копировать файлы или перемещать макропрограммы в служебные файлы системы и редактируемые файлы, при открытииредактированиизакрытии зараженного файла.
Чаще всего идет заражение стандартного шаблона, который загружается при открытии нового документа, таким образом, все последующие копии файла тоже являются зараженными.
ЗАГРУЗОЧНЫЕ ВИРУСЫ
Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия прост: при включении или загрузке компьютера сначала проходит тест оборудования, а потом, в зависимости от настроек, считывается первый физический сектор (будь то клопик, сидюк или винчестер), и на него передается управление. При заражении дисков загрузочные вирусы подставляют свой код вместо какой-либо программы, получающей управление при загрузке системы. Вирус заставляет систему при перезапуске считать в память и отдать управление не оригинальному коду загрузчика, а коду вируса. Заражение флопиков производится единственным известным способом - вирус записывает свой код вместо оригинального кода boot-сектора дискеты. Винчестер заражается тремя возможными способами - вирус записывается либо вместо кода MBR, либо вместо кода boot-сектора загрузочного диска (обычно диска C:), либо модифицирует адрес активного boot-сектора в Disk Partition Table, расположенной в MBR винчестера. В вирусах семейства "Stoned" задействован другой метод. Эти вирусы размещают первоначальный загрузочный сектор в неиспользуемом или редко используемом секторе - в одном из секторов винчестера (если такие есть), расположенных между MBR и первым boot-сектором, а на дискете такой сектор выбирается из последних секторов корневого каталога. Вирусы семейства "Azusa" содержат в своем теле стандартный загрузчик MBR и при заражении записываются поверх оригинального MBR без его сохранения.
INTENDED-ВИРУСЫ
Это такие вирусы, в которых есть баги :). Т.е. в коде вируса либо неправильно создана процедура размножения, либо вирус не записывает себя в файлы или даже неправильно определяет свой адрес для передачи управления.
CАМЫЕ-САМЫЕ ВИРУСЫ
САМЫЙ МАЛЕНЬКИЙ
Win95.Repus - вирус, который заражает PE файлы, записываясь в неиспользуемую часть заголовка. Имеет 2 модификации - размером 127 и 156 байт. Не очень-то это мало, скажешь ты и будешь прав. Но вирус, имеющий очень оригинальный алгоритм заражения - через кэш-память windows, и поэтому распространяющийся с огромной скоростью этого заслуживает. С ним может поспорить только известный Slammer aka Helkern размером 376 байт, использующий баг MS SQL Server. Но, поскольку Slammer не имеет тела, первое место ему не досталось. В принципе, существуют вирусы еще меньшей длины, но они обычно представляют собой старые com-нерезиденты. В крайнем случае - глючные com-exe-TSR.
САМЫЙ СЛОЖНЫЙ
МI-Worm.Hybris, пожалуй, самый сложный из современных вирусов. Чувствуется, что прога сделана с любовью: вирь, состоящий из тела и подпрограмм-плагинов (которые он способен обновлять через инет), заражает WSOCK32.DLL, получая таким образом доступ к трафику юзера. Отправляя письма по выдранным из трафика адресам, он гарантирует себе распространение. Работа с плагинами тоже вызывает уважение - вирь коннектится к конференции alt.comp.virus и качает новые версии оттуда, обретая интересные функции - заражение архивов и PE файлов, алгоритмы шифровки тела перед отправкой письма и многое другое. Интересно, что при заражении exe'шника не изменяется ни длина, ни, в некоторых случаях, CRC файла, что может обмануть некоторые проги-ревизоры. Но не ADinf, конечно ;). В общем, несмотря на наличие конкурентов из прошлого, первое место присуждается Хибрису. За волю к победе.
