Классификации вирусов

По поражаемым операционным системам и платформам вирусы можно разделить на:

Здесь можно выделить следующие типы вирусов:

По среде обитания вирусы можно разделить на:

Которые внедряются в выполняемые файлы (*.СОМ, *.ЕХЕ, *.SYS, *.BAT, *.DLL

Которые внедряются в загрузочный сектор диска (Boot-сектор) или в сектор, содержащий системный загрузчик винчестера (Master Boot Record).

Которые внедряются в системы, использующие при работе так называемые макросы (например, Word, Excel).

По способам заражения вирусы бывают:

Резидентный вирус при инфицировании компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера.

Нерезидентные вирусы не заражают память компьютера и являются активными лишь ограниченное время.

В реальной жизни часто встречаются вредоносные программы, которые обладают целым набором вредоносных функций и способов распространения. Во избежание подобных проблем используются так называемые «правила поглощения», которые позволяют однозначно отнести вредоносную программу к тому или иному типу (поведению) вне зависимости от реализованной в ней функциональности. В случае обнаружения у вредоносной программы нескольких поведений, ей присваивается наиболее опасное из них. Если вредоносная программа обладает несколькими равнозначными поведениями (например, Trojan-Downloader и Trojan-Dropper), то для такой программы выбирается вышестоящее (объединяющее) поведение. Наименее опасные поведения расположены внизу, наиболее опасные — вверху.

По деструктивным возможностям вирусы можно разделить на:

Никак не влияющие на работу компьютера (кроме уменьшения свободной памяти на диске в результате своего распространения);

Влияние которых ограничивается уменьшением свободной памяти на диске и графическими, звуковыми и пр. эффектами;

Вирусы, которые могут привести к серьезным сбоям в работе;

Могущие привести к потере программ, уничтожить данные, стереть необходимую для работы компьютера информацию, записанную в системных областях памяти и т.д.

Здесь можно выделить следующие основные группы вирусов:

(самошифрующиеся или вирусы-призраки, polymorphic) - достаточно труднообнаруживаемые вирусы, не содержащие ни одного постоянного участка кода. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика;

(вирусы-невидимки, stealth), представляют собой весьма совершенные программы, которые перехватывают обращения DOS к пораженным файлам или секторам дисков и «подставляют» вместо себя незараженные участки информации. Кроме того, такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие «обманывать» резидентные антивирусные мониторы.

Этот набор, как правило, включает в себя разнообразные утилиты для «заметания следов» вторжения в систему, делает незаметными снифферы, сканеры, кейлоггеры, троянские программы, замещающие основные утилиты UNIX (в случае неядерного руткита). Rootkit позволяет взломщику закрепиться во взломанной системе и скрыть следы своей деятельности путём сокрытия файлов, процессов, а также самого присутствия руткита в системе.

(companion) - Алгоритм работы этих вирусов состоит в том, что они создают для ЕХЕ-файлов файлы-спутники, имеющие то же самое имя, но с расширением СОМ. При запуске такого файла DOS первым обнаружит и выполнит СОМ-файл, т.е. вирус, который затем запустит и ЕХЕ-файл;