Антивирусные программы. Классификация вирусов

     Лидерство  в детектировании и нейтрализации  сложных вирусов, таких как  Shadow.based (Confiсker), MaosBoot, Rustock.C, Sector.

    Интеллектуальные  технологии проверки памяти позволяют  блокировать активные вирусы  до появления их копий на  жестком диске компьютера, что  снижает вероятность использования  вредоносным ПО уязвимостей сторонних приложений или операционной системы.

      Обнаружение  и нейтрализпция вирусов, существующих в оперативной памяти и никогда не встречающихся в виде отдельных файлов, таких как     Slammer и CodeRed.

       Борьба  с неизвестными угрозами

      FLY-CODE –  не имеющая аналогов технология  универсальной распаковки, которая  позволяет распаковывать неизвестные  Dr.Web упаковщики.

     Уникальная  технология несигнатурного поиска Origins Tracing™ позволяет Dr.Web с высокой долей вероятности распознавать вирусы, еще не известные вирусной базе Dr.Web

     Эвристический  анализатор Dr.Web надежно детектирует все распространенные типы угроз, определяя их класс по результатам проведенного разбора и характерным признакам

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

4.Классификация компьютерных вирусов

Для успешной борьбы с компьютерными  вирусами и другими вредоносными программными объектами необходимо четко представлять себе особенности  связанных с ними угроз.

В настоящее время создано  огромное количество вредоносных программ, с трудом поддающихся классификации. Различные специалисты и компании, занимающиеся антивирусной защитой, используют различные подходы к классификации  вредоносных программ, что создает  дополнительные трудности при изучении проблемы.

В нашей книге мы будем  придерживаться следующих способов классификации:

·       по типам вредоносных программ;

·       по степени распространенности:

·       по вредоносному воздействию;

·       по уровню опасности

Типы вредоносных  программ

В литературе и документации на антивирусные программы можно  встретить следующие типы вредоносных  программ:

·       компьютерные вирусы;

·       черви;

·       логические бомбы;

·       троянские объекты;

·       программы Backdoor;

·       программные средства для получения несанкционированного доступа к компьютерным системам

Важно отметить, что существует множество комбинированных вредоносных  программ, сочетающих в себе различные  свойства.

Например, программа может  проникнуть в компьютер как вирус, а затем установить там модуль Backdoor, открывающий злоумышленнику доступ к ресурсам компьютера. Троянская программа после запуска пользователем может «выпустить» компьютерный вирус, установить модуль Backdoor или логическую бомбу.

Общее определение  компьютерного вируса

Автор этой книги часто  сталкивался с ситуацией, когда  высококвалифицированные системные  администраторы и опытные пользователи компьютера не могли дать четкого  и правильного определения компьютерного  вируса.

В данном курсе мы придерживаемся следующего определения:

Вирусом называется специально созданный программный код, способный самостоятельно распространяться в компьютерной среде

Положения этого определения  требуют дополнительных разъяснений.

Прежде всего, в определении  делается акцент на том, что вирусом  может называться только такой код, который создан специально для дальнейшего самостоятельного распространения, а не для достижения каких либо других целей.

Таким образом, под определение  компьютерного вируса не попадают «обычные»  коммерческие и некоммерческие компьютерные программы, основным назначением которых  является выполнение других функций, не связанных с самостоятельным  распространением.

Далее, в определении сделан акцент именно на самостоятельное распространение.

Дело в том, что многие программы содержат в себе средства распространения, например, по узлам  локальной интрасети. В качестве примера можно привести программные  агенты систем резервного копирования данных, агенты мониторинга сетевой активности и пр.

Но, несмотря на специально созданные для упомянутых агентов  средства распространения, эти программы  нельзя считать вирусными, т.к. они  распространяются не самостоятельно, а по инициативе и под руководством системного администратора.

В определении компьютерного  вируса намеренно не делается акцент на вредоносных действиях.

Дело в том, что существуют компьютерные вирусы, не обладающие таким  действием. Единственной функцией этих вирусов является распространение. Некоторые вирусы могут даже делать что-то «полезное», например, уничтожать другие вирусы, оптимизировать использование дискового пространства и т.п.

Тем не менее, отсутствие указания на вредоносный характер программного кода в определении компьютерного  вируса не означает, что могут быть «безвредные» вирусы. Все компьютерные вирусы следует рассматривать как  вредоносные, потому что уже сам  факт их распространения может нанести  ущерб информационной системе.

Различные типы вирусов

Далее на этом уроке мы изучим вирусы следующих типов:

·       файловые вирусы;

·       загрузочные вирусы;

·       файлово-загрузочные вирусы;

·       стелс-вирусы;

·       шифрующиеся вирусы;

·       полиморфные вирусы;

·       макрокомандные вирусы;

·       почтовые вирусы;

·       вирусы в пакетных файлах ОС;

·       вирусы в драйверах ОС;

·       бестелесные вирусы;

·       вирусы для пиринговых (файлообменных) сетей;

·       комбинированные вирусы;

·       известные и неизвестные вирусы;

·       коллекционные вирусы

 

1. Файловые вирусы

С первых дней существования  персональных компьютеров и по настоящее  время для хранения информации любого типа используются файлы.

Именно файлы стали  объектом атаки самых первых компьютерных вирусов. Современные вирусы также  атакуют файлы, внедряя в них  свой вредоносный программный код.

Определение файлового вируса содержит описание механизма прикрепления вируса к телу файла:

Файловый вирус — это вирус, записывающий свой код в тело программного файла или офисного документа (документа, содержащего макрокоманды и созданного такой программой, как Microsoft Office или аналогичной).

При этом во время запуска  программы (или загрузке офисного документа для редактирования) вирус получает управление получив управление, файловый вирус может записать свое тело во все другие файлы, хранящиеся на диске компьютера.

Заражая файл, вирус записывает свой код внутрь выполняемого файла  и изменяет его таким образом, чтобы после запуска файла  управление получил код вируса (рис. 1-1).

Рис. 1-1. Внедрение вируса в файл

Вирус может записать свой код в конец, начало или середину файла. Вирус также может поместить  несколько фрагментов своего кода в  разных местах зараженной программы.

После внедрения в файл вирус выполняет другие вредоносные  действия: заражает другие файлы, устанавливает  в памяти собственные резидентные  модули и пр. Затем вирус, как правило, передает управление зараженной программе  и далее она исполняется как  обычно.

В качестве примера на рис. 1-2 мы показали исходное содержимое программного файла mouse.com, а на рис. 1-2 — содержимое того же файла, но зараженного очень известного в прошлом опасным вирусом OneHalf.

Рис. 1-2. Содержимое  программного файла mouse.com

Рис. 1-3. Вирус OneHalf в файле mouse.com

К файловым вирусам можно  отнести и так называемые вирусы-спутники.

Как известно, в ОС MS-DOS и  Microsoft Windows существуют три типа файлов, которые пользователь может запустить на выполнение. Это командные или пакетные файлы, имеющие расширение имени файла BAT, а также исполнимые файлы с расширениями COM и EXE.

В одном каталоге могут  одновременно находиться несколько  выполнимых файлов, имеющих одинаковое имя, но разное расширение имени. Например, в каталоге ОС MS-DOS записаны файлы MSD.COM и MSD.EXE. Вы можете создать в этом же каталоге командный файл MSD.BAT.

Когда пользователь желает выполнить программу и вводит ее имя в системном приглашении  операционной системы, то он обычно не указывает расширение файла. Какой  же файл будет выполнен?

Оказывается, в этом случае операционная система будет выполнять  файл, имеющий расширение COM. Если в  текущем каталоге или в каталогах, указанных в переменной среды PATH, существуют только файлы с расширением EXE и BAT, то выполняться будет файл с расширением EXE.

Когда вирус-спутник заражает файл, имеющий расширение EXE или BAT, он создает в этом же каталоге еще  один файл с таким же именем и  расширением COM. Вирус записывает себя в этот COM-файл

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2.  Загрузочные вирусы

 

Процесс загрузки операционной системы (ОС) с диска или дискеты производится в несколько шагов. На первом шаге программа загрузки считывает содержимое специальных областей диска, называемых загрузочными записями.

Загрузочные записи обычно расположены в самом начале диска (или дискеты), и содержат программный  код, необходимый для выполнения следующих шагов загрузки ОС.

Главная загрузочная запись, находящаяся на жестком диске, называется Master Boot Record (MBR). Аналогичная запись на дискете носит название Boot Record (BR).

Этим обстоятельством  воспользовались создатели компьютерных вирусов, создавшие так называемый загрузочный вирус:

Загрузочный вирус — такой вирус, который записывает свой код в главную загрузочную запись Master Boot Record диска или загрузочную запись Boot Record диска и дискет.

Загрузочный вирус активизируется после загрузки компьютера

Загрузочный вирус получает управление до программы загрузки ОС, в результате чего процедура управления выполняется под контролем вируса.

При заражении дискеты  или жесткого диска компьютера загрузочный  вирус заменяет загрузочную запись или главную загрузочную запись. Настоящая загрузочная запись или главная загрузочная при этом запись обычно не пропадает (хотя так бывает не всегда). Вирус копирует их в один из свободных секторов (см. рис. 1-4).

Рис. 1-4. Загрузочный вирус  сохраняет исходное содержимое загрузочного сектора

Загрузочные вирусы распространяются через загрузочные записи дискет. Обычно это происходит, если пользователь предпринимает попытку загрузить  ОС с зараженной дискеты. Чаще всего  это происходит, когда пользователь забывает вынуть дискету из компьютера после окончания работы.

На рис. 1-5 мы показали исходное содержимое загрузочного сектора.

Рис. 1-5. Исходное содержимое загрузочного сектора

На рис. 1-6 представлен  тот же сектор, что и на рис. 1-5, но зараженный вирусом Form.

Рис. 1-6. Фрагмент вируса Form в загрузочном секторе

 

 

3. Файлово-загрузочные вирусы

Загрузочные вирусы могут  распространяться только через загрузочные  записи дискет, а файловые вирусы — через файлы. Это в некоторой степени ограничивает их распространение.

Однако существуют комбинированные  файлово-загрузочные вирусы, которые сочетают в себе свойства и файловых, и загрузочных вирусов:

Файлово-загрузочный вирус — комбинация файлового и загрузочного вируса.

Он прикрепляется к  загрузочной записи диска или  дискет, а также к программным  файлам. Активизируется после загрузки компьютера с зараженного диска (дискеты) или при запуске зараженного  файла

Файлово-загрузочный вирус прикрепляется к загрузочной записи диска или дискет, а также к программным файлам. Вирус этого типа активизируется после загрузки компьютера с зараженного диска (дискеты) или при запуске зараженного файла.

Файлово-загрузочные вирусы могут распространяться как файловые, прикрепляясь затем к загрузочным записям дисков и дискет. Они также способны распространяться через загрузочные записи дискет, заражая затем файлы.

Этот факт двойственного  поведения и отражен в названии данного типа вирусов.

 

 

 

 

 

 

 

 

 

4. Стелс-вирусы

Сразу после появления  первых компьютерных вирусов стали  создаваться и первые антивирусные программы. Такие программы сканировали  содержимое оперативной памяти и  дисков компьютера, обнаруживая и  нейтрализуя вредоносный код.