Компьютерный вирус - это программа, которая может создавать свои копии и внедрять их в файлы, системные области компьютера, распространять их по сети, а также выполнять различные нежелательные действия на компьютере. Программы, зараженные вирусом, называют вирусоносителями.
Первые вирусы появились в конце 60-х годов на мейнфреймах и тогда получили название «кролик» (the rabbit). Эти программы клонировали себя, занимали системные ресурсы и таким образом снижали производительность системы. Скорее всего «кролики» не передавались от системы к системе и являлись сугубо местными явлениями - ошибками или шалостями системных программистов, обслуживавших компьютер. Первый же инцидент, который смело можно назвать эпидемией «компьютерного вируса», произошел на системе Univax 1108. Вирус, получивший название «Pervading Animal» (наполняющее животное), дописывал себя к выполняемым файлам - делал практически то же самое, что тысячи современных компьютерных вирусов.
Один из авторитетнейших «вирусологов» страны Евгений Касперский предлагает классифицировать вирусыпо следующим признакам (классификация слегка расширена):
· по среде обитания вируса:
o сетевые - используют для своего распространения протоколы или команды компьютерных сетей и электронной почты;
o файловые - внедряются в файлы;
o загрузочные - внедряются в загрузочный сектор диска (Boot-сектор), либо в сектор, содержащий системный загрузчик винчестера (Master Boot Record);
· по способу заражения среды обитания:
o резидентные - находятся в памяти, активны до выключения компьютера;
o нерезидентные - активны при выполнении зараженной ими программы;
· по деструктивным возможностям:
o безвредные - практически не влияют на работу, уменьшают свободную память на диске в результате своего распространения;
o неопасные - уменьшают свободную память, создают звуковые, графические и прочие эффекты;
o опасные - приводят к серьезным сбоям в работе (перезагрузке компьютера, блокируют запуск программ и т.д.);
o очень опасные - приводят к потере программ, уничтожению данных, стиранию информации в системных областях диска, повреждению микросхем и т.п.;
· по особенностям алгоритма вируса:
o вирусы-спутники (компаньон-вирусы) - вирусы, не изменяющие файлы, создают для exe-файлов файлы-спутники с расширением «сом»;
o link-вирусы (связанные) – изменяют содержимое записей корневого каталога (root directory) так, что настоящие номера первых кластеров (секторов) файлов заменяются на номер первого кластера вируса;
o вирусы-черви (репликаторы, сетевые) – способны, используя возможности и особенности сетевых протоколов, распространять свои копии по сети и прямо или косвенно запускать их на выполнение;
o паразитические - изменяют содержимое дисковых секторов или файлов;
o стелс-вирусы (невидимки) – вирусы, которые различными способами скрывают факт своего присутствия в системе. Например, перехватывают обращения ОС к пораженным файлам или секторам и подставляют вместо себя незараженные участки кода;
o вирусы-призраки (мутанты, полиморфные) – каждая последующая копия вируса отличается от предыдущей. Основное тело вируса, как правило, зашифровано. В ближайшем будущем (может быть оно уже наступило) появятся метаморфные вирусы - в отличие от «обычных» полиморфных, в каждой новой копии изменяется не отдельный фрагмент вируса, а все тело;
o макровирусы - распространяются не в машинных кодах, а в виде макросов, «живут» в шаблонах, документах и электронных таблицах некоторых популярных офисных приложений.
Говоря о вирусах, следует отметить тот факт, что «прогресс» в виде автоматизации производства дошел и до вирусов. В середине 1992 года был выпушен первый конструктор вирусного кода для IBM PC совместимых компьютеров - пакет VCL (Virus Creation Laboratory).
Этот конструктор позволяет генерировать исходные и хорошо откомментированные тексты вирусов (на ассемблере), объектные модули и непосредственно зараженные файлы. VCL снабжен стандартным оконным интерфейсом. При помощи системы меню можно выбрать тип вируса, поражаемые объекты (COM и/или EXE), наличие или отсутствие самошифровки, противодействие отладчику, внутренние текстовые строки, подключить до десяти эффектов, сопровождающих работу вируса и т.п. Вирусы могут использовать стандартный способ поражения файлов в их конец, или записывать себя вместо файлов, уничтожая их первоначальное содержимое, или являться вирусами-спутниками.
Основные признаки проявления вирусов:
· прекращение работы или неправильная работа ранее успешно функционировавших программ;
· медленная работа компьютера;
· невозможность загрузки операционной системы;
· исчезновение файлов и каталогов или искажение их содержимого;
· изменение даты и времени модификации файлов, их атрибутов и т.д.;
· изменение размеров файлов;
· неожиданное значительное увеличение количества файлов на диске;