Загрузочные вирусы заражают загрузочный (boot) сектор флоппи-диска и boot-сектор или Master Boot Record (MBR) винчестера. Принцип действия загрузочных вирусов основан на алгоритмах запуска операционной системы при включении или перезагрузке компьютера — после необходимых тестов установленного оборудования программа системной загрузки считывает первый физический сектор загрузочного диска (A:, C: или CD-ROM в зависимости от параметров, установленных в BIOS Setup) и передает на него управление.
Файловые вирусы
К данной группе относятся вирусы, которые при своем размножении тем или иным способом используют файловую систему какой-либо или каких-либо ОС.
Существуют вирусы, заражающие файлы, которые содержат исходные тексты программ, библиотечные или объектные модули. Возможна запись вируса и в файлы данных, но это случается либо в результате ошибки вируса, либо при проявлении его агрессивных свойств.
Файлово-загрузочные вирусы
Очень часто встречаются комбинированные вирусы, объединяющие свойства файловых и загрузочных.
Как и чем удалить вирусы и вредоносные программы? (Nod 32, FAV, AVZ4)
Широко был распространен файлово-загрузочный вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие — шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.
Вирус OneHalf использует различные механизмы маскировки. Он представляет собой стелс-вирус и при распространении применяет полиморфные алгоритмы.
Сетевые вирусы
К сетевым относятся вирусы, которые для своего распространения активно используют протоколы и возможности локальных и глобальных сетей. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. «Полноценные» сетевые вирусы при этом обладают еще и возможностью запустить на выполнение свой код на удаленном компьютере или, по крайней мере, «подтолкнуть» пользователя к запуску зараженного файла.
Макро-вирусы
Макро-вирусы (macro viruses) являются программами на языках (макро-языках), встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Для своего размножения такие вирусы используют возможности макро-языков и при их помощи переносят себя из одного зараженного файла (документа или таблицы) в другие. Наибольшее распространение получили макро-вирусы для Microsoft Word, Excel и Office. Существуют также макро-вирусы, заражающие документы баз данных Microsoft Access.
Резидентные вирусы
Под термином «резидентность» (DOS’овский термин TSR — Terminate and Stay Resident) понимается способность вирусов оставлять свои копии в системной памяти, перехватывать некоторые события (например, обращения к файлам или дискам) и вызывать при этом процедуры заражения обнаруженных объектов (файлов и секторов). Таким образом, резидентные вирусы активны не только в момент работы зараженной программы, но и после того, как программа закончила свою работу.
Вирусы и вредоносные программы | Выпуск 1
Резидентные копии таких вирусов остаются жизнеспособными вплоть до очередной перезагрузки, даже если на диске уничтожены все зараженные файлы. Часто от таких вирусов невозможно избавиться восстановлением всех копий файлов с дистрибутивных дисков или backup-копий. Резидентная копия вируса остается активной и заражает вновь создаваемые файлы. То же верно и для загрузочных вирусов — форматирование диска при наличии в памяти резидентного вируса не всегда вылечивает диск, поскольку многие резидентные вирусы заражают диск повторно после того, как он отформатирован.
Нерезидентные вирусы
Нерезидентные вирусы, напротив, активны довольно непродолжительное время — только в момент запуска зараженной программы. Для своего распространения они ищут на диске незараженные файлы и записываются в них. После того, как код вируса передает управление программе — носителю, влияние вируса на работу операционной системы сводится к нулю вплоть до очередного запуска какой-либо зараженной программы.
Таким образом, нерезидентные вирусы являются опасными только во время выполнения инфицированной программы, когда они проявляют свои деструктивные возможности или создают свои копии. Файлы, пораженные такими вирусами, обычно легче поддаются обнаружению и лечению, чем файлы, содержащие резидентный вирус.
Источник: studbooks.net
Загрузочные вирусы
Загрузочные вирусы называются так потому, что заражают загрузочный (boot) сектор — записывают себя в загрузочный сектор диска (boot-сектор) либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record). Загрузочные вирусы замещают код программы, получающей управление при загрузке системы. Таким образом при перезагрузке управление передается вирусу. При этом оригинальный boot-сектор обычно переносится в какой-либо другой сектор диска.
Макровирусы
Макровирусы являются программами на макроязыках, встроенных в некоторые системы обработки данных (текстовые редакторы, электронные таблицы и т.д.). Они заражают документы и электронные таблицы ряда офисных редакторов.
Для размножения они используют возможности макроязыков и при их помощи переносят себя из одного зараженного файла в другие. Наибольшее распространение получили макровирусы для Microsoft Word, Excel и Office 97. Вирусы этого типа получают управление при открытии зараженного файла и инфицируют файлы, к которым впоследствии идет обращение из соответствующего офисного приложения — Word, Excel и пр.
Скрипт-вирусы
Скрипт-вирусы — это вирусы, написанные на скрипт-языках, таких как Visual Basic Script, Java Script и др. Они, в свою очередь, делятся на вирусы для DOS, для Windows, для других систем.
Помимо описанных классов существует большое количество сочетаний: например файлово-загрузочный вирус, заражающий как файлы, так и загрузочные сектора дисков, или сетевой макровирус, который не только заражает редактируемые документы, но и рассылает свои копии по электронной почте.
Особенности алгоритмов работы вирусов
Разнообразие вирусов позволяет классифицировать их также по особенностям работы их алгоритмов. Об этом стоит поговорить отдельно.
Резидентные вирусы
Вирус находится в оперативной памяти и перехватывает обращения ОС. Если нерезидентные вирусы активны только в момент запуска зараженной программы, то резидентные вирусы находятся в памяти и остаются активными вплоть до выключения компьютера или перезагрузки операционной системы. Резидентные вирусы находятся в оперативной памяти, перехватывают обращения операционной системы к тем или иным объектам и внедряются в них. Такие вирусы активны не только в момент работы зараженной программы, но и после завершения ее работы.
Стелс-вирусы
Стелс-вирусы (невидимки) скрывают факт своего присутствия в системе. Они изменяют информацию таким образом, что файл появляется перед пользователем в незараженном виде, например временно лечат зараженные файлы.
Полиморфик-вирусы
Полиморфик-вирусы используют шифрование для усложнения процедуры определения вируса. Данные вирусы не содержат постоянных участков кода, что достигается шифрованием основного тела вируса и модификациями программы-расшифровщика. В большинстве случаев два образца одного и того же полиморфик-вируса не будут иметь ни одного совпадения. Именно поэтому полиморфик-вирус невозможно обнаружить при помощи выявления участков постоянного кода, специфичных для конкретного вируса. Полиморфизм встречается в вирусах всех типов — от загрузочных и файловых DOS-вирусов до Windows-вирусов и даже макровирусов.
Источник: studfile.net
Загрузочные вирусы
Одним из видов вирусов являются загрузочные вирусы, которые во время проникновения на компьютер заражают загрузочный сектор и boot-сектор винчестера. Загрузочные вирусы функционируют на стандартных алгоритмах запуска операционной системы при перезагрузке или включении компьютера.
Во время загрузки ОС проводятся необходимые тесты установленного оборудования (дисков, памяти и т.д.). Стандартная программа системной загрузки во время запуска читает первый сектор загрузочного диска (выставляется в зависимости от указанных параметров, установленных в BIOS Setup, может загружаться либо CD-ROM, либо жесткий диск, либо флешка и т.д.) и полностью передает на него управление.
В случае компакт-диска во время загрузки системы управление получает boot-сектор, который анализирует и высчитывает адреса системных файлов ОС и начинает заносить их в память, после чего запускает на выполнение.
Во время заражения компакт дисков загрузочные вирусы самостоятельно «подставляют» свой программный код вместо запущенной программы, которая получает управление при загрузке операционной системы. Каким же образом происходит заражение? Компьютерный вирус как бы “заставляет” операционную систему во время ее запуска считать его основной код в память и после этого передать управление не исходной программе, а коду вируса.
Заражение посредством дискет сегодня не актуально, так как их полностью заменили легкие, компактные и емкие usb-флешки. Заражение происходит путем записи вирусного кода вместо исходного кода boot-сектора самой флешки. Жесткий диск заражается следующими способами: вирус записывает свой код либо вместо кода загрузочного диска, либо вместо кода MBR.
Во время заражения диска вирус переносит оригинальный boot-сектор в любой другой сектор диска (зачастую в первый свободный). В том случае, если длина загрузочного вируса больше длины сектора, то сам код разбивается на несколько частей и заносятся в разные сектора.
Известно несколько вариантов занесения вируса на жесткий диск: в свободных секторах логического диска, в редко или вообще неиспользуемых системных секторах, в секторах, которые располагаются за пределами локального диска.
Если продолжение загрузочного вируса располагается в свободных кластерах диска, то обычно вирус помечает эти кластеры в FAT как сбойные. Этот способ очень часто используется вирусами «Ping-Pong», «Brain» и некоторыми другими.
В вирусах под названием «Stoned» задействован совершенно другой метод. Вирусы действуют следующим образом: перемещают загрузочный сектор в редко или вообще неиспользуемый сектор.
Естественно, что существуют и другие методы проникновения и размещения загрузочных вирусов на диски. Необходимо уделить максимум внимания для надежной защиты всей важной информации на компьютере. Чем выше уровень защиты, тем меньше вероятность проникновения вируса на компьютер.
Источник: www.recoverymaster.ru