В каких типах файлов содержаться вирусы

Введение

Каждый пользователь компьютера, должно быть, слышал или, что еще хуже, лично имел дело с вирусом. Однако немногие из них знают принцип своей работы, потому что в этой области, как и во многих других областях нашей жизни, существуют устоявшиеся стереотипы. Они являются результатом как недостаточного знания среднего пользователя и дезинформации, так и, скорее, отсутствия правильной и полезной информации со стороны производителей носителей и антивирусного программного обеспечения.

Что такое вирус?

Компьютерный вирус — это код, который из-за отсутствия системной защиты ресурсов в однопрограммных операционных системах персональных компьютеров вносит нежелательные изменения в системную среду, запрограммированную его автором, повреждая данные, программы, изменяя работу аппаратного обеспечения и т. д. Проще говоря, вирус — это чужой фрагмент кода, прикрепленный к программе. Выполнение этого кода после запуска программы приводит к тому, что диск находит другие «незараженные» программы и прикрепляет к ним код вируса. Таким образом, вирус заражает все больше и больше программ на компьютере, а «зараженные» файлы, передаваемые на дискеты или передаваемые по сети, уничтожают ресурсы других компьютеров. Вирус также может атаковать загрузочный сектор дискеты или диска. Эффекты, вызванные вирусами, имеют признаки преступления, связанного с контрфактной продукцией, защищенной законом.

Отдел компьютерных вирусов

Есть много подразделений компьютерных вирусов. С точки зрения пользователя компьютера, наиболее важные разделы, по-видимому, связаны с:

• Способ передачи вируса.
• Действия, предпринимаемые вирусом после заражения операционной системы.

По типу передачи можно выделить следующие типы вирусов:

• Вирусы, передаваемые через носители: дискеты, CD-ROM, жесткие диски.
• Вирусы, придерживающиеся исполняемых программ: системных программ, утилит и даже коммерческих приложений.
• Вирусы, распространяющиеся через компьютерную сеть: Java-апплеты, вирусы, атакующие сетевые сервисы, или самые распространенные почтовые черви.

Благодаря действиям, предпринятым после заражения, можно различить:

• Безобидные вирусы, которые отображают смешную или глупую информацию на экране компьютера,
• Вирусы, уничтожающие информацию, содержащуюся в пользовательских документах и самих документах,
• Вирусы, уничтожающие всю информацию на диске (включая операционную систему),
• Вирусы, которые удаляют процедуры BIOS компьютера,
• Вирусы, которые повреждают компьютерное оборудование.

Типы компьютерных вирусов

1. Вирусы — небольшая программа, которая реплицируется путем заражения исполняемых файлов, блоков размещения файлов или загрузочного сектора носителя (HDD, FDD) и документов, созданных с использованием офисных пакетов, таких как MS Office.
2. Троянские кони — эти вирусы, которые прячутся в полезных (казалось бы) программах, таких как антивирусная программа. После запуска программы такого типа, помимо выполнения своих «официальных» задач, она также наносит ущерб системе.
3. Логические бомбы — это вид вируса, который может долго оставаться скрытым. Он активируется, когда приходит определенная дата или пользователь выполняет определенное действие, например, удаление определенного файла.
4. Черви — маленькие, но очень вредные вирусы. Им не нужен носитель для правильного функционирования. Они воспроизводятся самопроизвольно и непрерывно, в результате чего системные ресурсы истощаются за очень короткое время. Эти типы вирусов способны парализовать даже довольно обширную компьютерную сеть за очень короткое время.

Подробная классификация вирусов

Файловые вирусы (так называемые «обычные», файловые вирусы)

Файловые вирусы являются старейшим семейством этих программ. Каждый вирус размножается в первую очередь до повреждения, поэтому развитие вирусной “индустрии” связано с обнаружением новых носителей. Первоначально вирусам подвергались только исполняемые (* .exe, .com) и пакетные (* .bat) файлы. Развитие вирусной технологии расширило группу скомпрометированных файлов с файлами, содержащими фрагменты кода, библиотеки, драйверы устройств (* .bin, * .dll, * .drv, * .lib, * .obj, * .ovl, * .sys, * .vxd).

Принцип действия:

Заражение происходит путем добавления кода вируса в конец файла (старые вирусы) или изменения его начала и добавления кода в середине или конце (новые вирусы атакуют неисполняемые файлы). Загрузка зараженного файла в память эквивалентна активации вируса. Многие вирусы не уничтожают скомпрометированный файл, поэтому после активации можно запустить хост-программу, чтобы пользователь ничего не подозревал.

Вирусы загрузочного сектора диска

Другим носителем вируса может быть загрузочный сектор носителя данных, например жесткий диск (MBR – Master Boot Record) или дискета (загрузочный сектор). Эти типы вирусов особенно опасны. Это связано с тем, что после запуска компьютер пытается загрузить систему, сохраненную в первом секторе диска или дискеты. На любой отформатированной дискете, даже если она не содержит системных файлов, есть загрузочный сектор, поэтому он может содержать вирус.

Принцип действия:

Этот тип вируса может находиться в MBR и, например, уничтожать его содержимое, тем самым предотвращая доступ к диску. В противном случае вирус передает код инициализации системы из загрузочного сектора в другую область диска и занимает его место, что приводит к его загрузке до загрузки системы и, следовательно, также до запуска любого антивирусного программного обеспечения. Этот тип действий позволяет вирусам контролировать программное обеспечение, предназначенное для борьбы с ними.

FAT вирусы (таблица размещения вирусов, ссылка / FAT вирусы)

Для репликации вирусы могут также использовать единицы размещения файлов (JAP), на которые таблица FAT разделяет раздел жесткого диска DOS. Чтобы получить доступ к файлу DOS, он находит в FAT номер своей первой единицы выделения, а затем (в соответствии с FAT) загружает все единицы, занятые файлом.

Принцип действия:

Вирусы, атакующие JAP, изменяют значение первого JA одного или нескольких файлов на число, указывающее JA кода вируса. Загрузка такого файла вызывает запуск вируса, который может загружать или не загружать правильную программу (для этого он должен запомнить исходный номер своего первого JAP).

Макровирусы

Макровирусы относятся к самому молодому семейству вирусов. Их создание связано с введением в офисные пакеты (например, MS Office, Lotus SmartSuite или Corel WordPerfect) языков, позволяющих создавать макросы, такие как, например, Visual Basic для приложений (VBA).

Принцип действия:

Большинство макровирусов Word используют тот факт, что шаблоны документов могут содержать макросы. Вирус активируется при открытии зараженного документа, после чего заражает исправные файлы с расширением * .doc и сохраняет их как шаблоны (документы не могут содержать макросы). На последнем этапе один или несколько автоматически выполняемых макросов заменяются кодом вируса.

Стелс-вирусы и полиморфные вирусы

В принципе, все перечисленные выше вирусы могут (но не обязаны) принадлежать к этой группе. Их появление связано с прогрессом в области их обнаружения. В первые годы появления вирусов у каждого была своя собственная подпись (только характерная строка байтов). Ситуация изменилась, когда болгарский информатик Dark Avenger разработал метод для создания самовосстанавливающихся вирусов.

Полиморфные вирусы не имеют фиксированной подписи, потому что их код изменяется автоматически при каждой инфекции.

Вирусы-невидимки — это вирусы, которые, когда антивирусная программа пытается получить доступ к зараженному файлу или диску, могут «на лету» восстанавливать поврежденные данные и скрывать их присутствие.

Эффекты вирусной инфекции

Активность вируса может иметь различные последствия в зависимости от его типа и назначения. Самыми «безобидными» являются вирусы, которые выводят на экран безобидное сообщение или используют систему только для воспроизведения. Гораздо худшие последствия — повреждение отдельных файлов, разрушение всего жесткого диска и даже повреждение компонентов компьютера, таких как материнская плата или платы расширения.

Вирусы, написанные неопытными программистами, обычно считаются очень вредными. Их вирусы, разработанные как «безвредные», могут нанести большой ущерб, вызванный ошибками в исходном коде.

Как защитить ПК от вирусов?

Основное правило — иметь хороший антивирусный пакет. «Пакет», потому что в настоящее время большинство программ такого типа состоит из множества модулей с различными функциями. При выборе антивирусного программного обеспечения стоит убедиться, что он содержит следующие компоненты:

1. Пользовательский сканер (так называемый «ручной», сканер по требованию) – базовый модуль, встречающийся во всех видах программного обеспечения. Позволяет сканировать файлы пользователем в выбранное им время. Стандарт — управление сжатыми файлами.
2. Резидентный сканер — сканер, который работает в фоновом режиме все время. В его задачи входит постоянный контроль всех запускаемых файлов, открытых документов или вставленных дискет. Он должен иметь функцию сканирования файлов, загруженных из Интернета.
3. Расписание — позволяет запрограммировать пакет так, чтобы он искал вирусы в определенное время, например ночью.

Кроме того, антивирусное программное обеспечение должно обеспечивать генерацию отчетов о текущей работе. Также очень важно, чтобы сканер использовал новейшие методы поиска, такие как метод эвристического обнаружения вирусов, защищает от полиморфных вирусов, состоит в анализе кода файла и моделировании его выполнения. Он позволяет обнаруживать специфичные для вируса операции, такие как прямое тестирование, доступ к диску или контрольные суммы.