Учебное пособие компьютерные вирусы
и антивирусные программы
Резидентный (в памяти) вирус (Memory resident virus) . Постоянно присутствующий в памяти вирус, написанный, как правило, на языке Ассемблер.
Признаки заражения автоматическое открытие окон с незнакомым содержимым при запуске компьютера; блокировка доступа к официальным сайтам антивирусных компаний, или же к сайтам, оказывающим услуги по «лечению» компьютеров от вредоносных программ; появление новых неизвестных процессов в выводе диспетчера задач (например, окне «Процессы» диспетчера задач Windows); появление в ветках реестра, отвечающих за автозапуск, новых записей; запрет на изменение настроек компьютера в учётной записи администратора; невозможность запустить исполняемый файл (выдаётся сообщение об ошибке); появление всплывающих окон или системных сообщений с непривычным текстом, в том числе содержащих неизвестные веб-адреса и названия; перезапуск компьютера во время старта какой-либо программы; случайное и/или беспорядочное отключение компьютера; случайное аварийное завершение программ. Однако, следует учитывать, что несмотря на отсутствие симптомов, компьютер может быть заражен вредоносными программами.
По способам заражения вирусы бывают резидентные и нерезидентные.
Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.
Нерезидентные вирусы - вирусы не оставляющие своих резидентных частей в оперативной памяти компьютера. Некоторые вирусы оставляют в памяти некоторые свои фрагменты не способные к дальнейшему размножению такие вирусы считаются не резидентными.
Файловые вирусы являются наиболее распространенной разновидностью компьютерных вирусов. Принципиально они заражают любой тип исполняемых файлов, существующих в MS DOS (COM, EXE, и т.д.).
Однако основными объектами заражения являются файлы типа COM и EXE.
Наиболее просто осуществляется заражение COM-файлов, которые представляют собой почти точную копию участка памяти с загруженной программой. Единственная требуемая настройка при загрузке COM-файлов состоит в загрузке сегментных регистров значениями, соответствующими месту загрузки программы.
При заражении COM-файлов вирус запоминает в своем теле первые три или больше байтов программы и вместо них записывает переход на начало собственного кода. Так поступает большинство файловых вирусов, заражающих COM-файлы, но не все. Некоторые вирусы используют более примитивный подход: вместо дописывания своего тела в конец заражаемого COM-файла они перемещают туда первые несколько блоков программы, а сами записываются на место освободившихся блоков.