Класифікація «шкідливих програм»

До «шкідливих програм», крім вірусів, відносяться також троянські коні (логічні бомби), intended-віруси, конструктори вірусів і поліморфік — генератори.

До троянських коней відносяться програми, що завдають будь-яку руйнівну дію, тобто в залежності від яких-небудь умов або при кожному запуску знищують інформацію на дисках, зупиняють роботу операційної системи і т.д. Більшість відомих троянських коней є програмами, що маскуються під які-небудь корисні програми або доповнення до них. Дуже часто вони розсилаються по BBS-станціях або електронних конференціях. У порівнянні з вірусами «троянські коні» не одержали широкого поширення по достатньо простих причинах — вони або знищують себе разом з іншими даними на диску або демаскують свою присутність і знищуються постраждалим користувачем. Слід відмітити також «люті жарти» (hoax). До них відносяться програми, що не заподіюють комп’ютеру якоїсь прямої шкоди, проте виводять повідомлення про те, що така шкода вже заподіяна, або буде заподіяний при яких-небудь умовах, або попереджують користувача про неіснуючу небезпеку. До «лютих жартів» відносяться, наприклад, програми, що «лякають» користувача повідомленнями про форматування диску (хоча ніякого форматування насправді не відбувається), «виявляють» віруси в неінфікованих файлах, виводять дивні вірусоподобні повідомлення у залежності від почуття гумору автора такої програми. До такого ж категорії «лютих жартів» можна віднести також явно помилкові повідомлення про нові супер — віруси. Такі повідомлення періодично з’являються в електронних конференціях і звичайно викликають паніку серед користувачів.

До іntended-вірусів відносяться програми, що на перший погляд є стовідсотковими вірусами, але не спроможні розмножуватися через помилки. Наприклад, вірус, що при інфікації «забуває» передбачити активізацію вірусу. і т.д. До категорії «intended» також відносяться віруси, що з наведених вище причин розмножуються тільки один раз — із «авторської» копії. Інфікувавши якийсь файл, вони втрачають спроможність до подальшого розмноження. Частіше всього intended-віруси з’являються при неякісній перекомпіляції якогось вже існуючого вірусу, або через недостатнє знання мови програмування, або через незнання технічних тонкощів операційної системи.

Конструктор вірусів — це програма, що призначена для виготовлення нових комп’ютерних вірусів. Відомі конструктори вірусів для DOS, Windows і макро-вірусів. Вони дозволяють генерувати вихідні тексти вірусів (ASM-файли), об'єктні модулі, і (або) безпосередньо інфіковати файли.

Поліморфік — генератори, як і конструктори вірусів, не є вірусами в буквальному значенні цього слова, оскільки в їхній алгоритм не закладаються функції розмноження, тобто відкриття, закриття і запису у файли, читання і запису секторів і т.д. Головною функцією подібного роду програм є шифрування тіла вірусу і генерація відповідного розшифровувача. Звичайні поліморфні генератори поширюються їхніми авторами без обмежень у вигляді файла-архіву. Основним файлом в архіві будь-якого генератора є об'єктний модуль, що містить цей генератор. В усіх генераторах, що зустрічалися, цей модуль містить зовнішню (external) функцію — виклик програми генератора. У такий спосіб автору вірусу, якщо він бажає створити справжній поліморфік-вірус, не потрібно розробляти власний зачи розшифровувач. При бажанні він може підключити до свого вірусу будь-який відомий поліморфік — генератор.

Використання стелс-алгоритмів дозволяє вірусам цілком або частково сховати себе в системі. Найпоширенішим стелс-алгоритмом є перехоплення запитів операційної системи на читання / запис інфікованих об'єктів. Стелс-віруси при цьому або тимчасово гоять їх, або «підставляють» замість себе неінфіковані ділянки інформації. У випадку макро-вірусів найпопулярніший засіб захисту — заборона викликів меню перегляду макросів. Самошифрування і поліморфічність використовуються практично всіма типами вірусів для того, щоб максимально ускладнити процедуру виявлення вірусу. Поліморфік — віруси (polymorphic) — це достатньо важко знаходжувані віруси, що не мають сигнатур, тобто не містять жодної постійної ділянки коду. У більшості випадків два зразки того самого поліморфік — вірусу не будуть мати жодного збігу. Це досягається шифруванням основного тіла вірусу і модифікаціями програми-розшифровувача.

Стелс-віруси тими або іншими засобами приховують факт своєї присутності в системі. Відомі стелс-віруси всіх типів, за винятком Windows-вірусів — завантажувальні віруси, файлові DOS-віруси і навіть макро-віруси. Поява стелс-вірусів, що інфікують файли Windows, є швидше за все справою часу. Завантажувальні стелс-віруси для маскування свого коду використовують два основних способи. Перший із них полягає в тому, що вірус перехоплює команди читання інфікованого сектора і підставляє замість нього неінфікований оригінал. Цей засіб робить вірус невидимим для будь-якої DOS-програми, включаючи антивіруси, недієздатні «лікувати» оперативну пам’ять комп’ютера. Можливе перехоплення команд читання секторів на нижчому рівні. Другий засіб спрямований проти антивірусів, що підтримують команди прямого читання секторів через порти контролера диску. Такі віруси при запуску будь-якої програми (включаючи антивірус) відновлюють інфіковані сектори, а після закінчення її роботи знову інфікують диск. Оскільки цей вірус перехоплює запуск і закінчення роботи програм, то він повинен перехоплювати також DOS-переривання. З деякими допущеннями стелс-вірусами можна назвати віруси, що вносять мінімальні зміни в інфікований сектор або маскуються під код стандартного завантажувача.

Віруси можуть поділятися на класи за такими основними ознаками:

середовище перебування;

операційна система;

особливості алгоритму роботи;

деструктивні можливості.

По середовищу перебування віруси можна розділити на файлові, завантажувальні, мережні та макровіруси.