Учебное пособие компьютерные вирусы
и антивирусные программы
Логические бомбы – программы, которые запускаются при определённых временных или информационных условиях для осуществления вредоносных действий (как правило, несанкционированного доступа к информации, искажения или уничтожения данных).
Резидентный (в памяти) вирус (Memory resident virus) . Постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер.
Признаки заражения автоматическое открытие окон с незнакомым содержимым при запуске компьютера; блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ; появление новых неизвестных процессов в выводе диспетчера задач (например, окне «Процессы» диспетчера задач Windows); появление в ветках реестра, отвечающих за автозапуск, новых записей; запрет на изменение настроек компьютера в учётной записи администратора; невозможность запустить исполняемый файл (выдаётся сообщение об ошибке); появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия; перезапуск компьютера во время старта какой-либо программы; случайное и/или беспорядочное отключение компьютера; случайное аварийное завершение программ. Однако, следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.
Файловые — это вирус, записывающий свой код в тело программного файла или офисного документа (документа, содержащего макрокоманды и созданного такой программой, как Microsoft Office или аналогичной).
Среда обитания
Вирусы-спутники, вирусы-компаньоны (Virus-companion) - формально являются файловыми вирусами. Не внедряются в исполняемые программы. Такие вирусы используют особенность системы DOS, позволяющую программному файлу с тем же названием, но другим расширением действовать с разными приоритетами. Под приоритетом понимают присваиваемый задаче, программе или операции признак, определяющий очередность их выполнения вычислительной системой. Большинство таких вирусов создают .COM файл который обладает более высоким приоритетом нежели .EXE файлы с тем же самым названием. При запуске файла по имени (без указания расширения) будет запущен файл с расширением .СОМ. Такие вирусы могут быть резидентными и маскировать файлы-двойники.
Загрузочные— такой вирус, который записывает свой код в главнуюзагрузочную запись Master Boot Record диска или загрузочную запись Boot Record диска и дискет. Загрузочный вирус активизируется после загрузки компьютера.
Загрузочный вирус (Boot virus).
Этот вид компьютерных вирусов работает на нижних уровнях, близким к аппаратным. Их цели — загрузочные записи жестких дисков(Master Boot Record). С помощью внесенных изменений код вируса загружается перед запуском операционной системы и имеет более высокий приоритет, чем обычные программы. Антивирусы их тоже не видят. Это очень коварный вид заразы, чреватый потерей информации на диске.
Простейшие вирусы – паразитические программы, которые изменяют содержимое файлов и секторов диска и могут быть легко обнаружены.
Рекламная программа (Adware).
Этот вид очень сильно «расплодился» в последние несколько лет. Смысл работы — демонстрация рекламных баннеров и всплывающих окон во всех браузерах, где это только можно. Что примечательно, не все они распознаются антивирусами потому, что некоторые разработчики их просто не считают за вредоносные. Чаще всего просто так выковырять не получиться — они внедряются получше любого червя, изменяют ярлыки веб-браузеров, устанавливают модули контроля за изменением страницы по умолчанию (например, Search Protect).
Баннер-блокировщик.
Блокировщик выполнен в виде большого окна посередине экрана с текстом, в котором требуется отправить SMS на номер сотового телефона, либо положить деньги на электронный кошелёк, после чего будет выслано код разблокировки. Понятно, что никакого кода не придёт и это развод. Внешне — это самый веселый вид компьютерных вирусов. Как только не изгалялись их создатели — пугали полицией и ФСБ, стращали выводом из строя ПК, ругали за использование не лицензионного ПО, показывали порнографические картинки и т.п.
Самый пик расцвета этой гадости был в 2013 году, когда народ с баннерами обращался повально. К тому же антивирусные программы их не распознавали, так как опять же за вирусы не считали.Баннеры ориентированы на операционные системы семейства Windows и их деятельность направлена на то, чтобы заблокировать доступ к управлению компьютером. Первые версии были весьма простыми и их можно было свернуть или закрыть комбинацией клавиш Alt+F4. Так же можно было найти код разблокировки в интернете. Но разработчики это быстро исправили. Сейчас уже попадаются такие, что просто так не выковырять и порой проще заново переустановить Windows.
Загрузочно-Файловые вирус прикрепляется к загрузочной записи диска или дискет, а также к программным файлам. Вирус этого типа активизируется после загрузки компьютера с зараженного диска (дискеты) или при запуске зараженного файла.
(Script).
Это не совсем программа в том, виде, в котором это привыкли видеть пользователи. Но тем не менее, это вирус, который написан на языке программирования — в основном, это Java Script, но иногда встречается Visual Basic. Зайдя по ссылке полученной от злоумышленников по почте, в интернет-мессенджере, либо просто на фейковый сайт, пользователь скачивает скрипт, который обрабатывает браузер и выполняет определенные в нём действия. Обычно их цель это загрузка трояна или бекдора, который собственно и продолжает работать дальше, а скрипт своё отработал.
Эксплойт (exploit).
Программный модуль или часть кода, использующий уязвимость в какой-либо операционной системы или установленном программном обеспечении для организации к ней удалённого доступа. Сам по себе Эксплойт безвредный и чаще всего его используют для внедрения на атакуемую машину другого malware-модуля, того же бэкдора, например.
MtE вирусы (MtE viruses) - полиморфные вирусы, созданные с помощью генератора полиморфизма MtE (Mutant Engine). Такой генератор представляет собой специальный алгоритм, который отвечает за функции шифровки/расшифровки и генерацию расшифровщиков и присоединяется к любому объектному коду вируса. Такой расшифровщик не имеет ни одного постоянного бита, длина его всегда разная.
Сетевые-это чрезвычайная опасность со стороны локальных сетей и Интернета включительно. Вирусы, проникая на компьютер через сеть, могут привести не только к повреждению важной информации, но и самой системы в целом.
Троян (Троянская программа).
Эту разновидность вредоносного софта знают очень многие. Правда, больше по названию, которое было получено из древних мифов. Если быть точнее — происходит оно от Троянского коня, благодаря которому был взять город Троя.
