Вирус — это программа. И, следовательно, вредить она может лишь программно, но никак не аппаратно — страшные сказки о вирусах, убивающих и сводящих с ума пользователей при помощи вывода на экран смертельной цветовой гаммы, были и остаются всего лишь сказками.
Вирус является программой, способной к размножению. Существуют вирусы, которые не занимаются ничем, кроме самораспространения.
Все вирусы можно объединить в следующие основные группы:
§ Загрузочные вирусы (boot – вирусы) — инфицируют загрузочные секторы жестких дисков и дискет, помещая в нем команды запуска на исполнение самого вируса, который находится где-то в другом месте компьютера.
§ Файловые вирусы — заражают исполняемые файлы (с расширением .com, .exe, .sys), путем дописывания своей основной части («тела») в конец заражаемой программы, «головы» - в ее начало. Вирус, находящийся в памяти, заражает любой запущенный после этого исполняемый файл.
§ Макро-вирусы. Когда-то считалось, что текстовые файлы не способны служить разносчиками «инфекции». Но с появлением офисных программ для Windows положение резко изменилось. Дело в том, что фирма Microsoft реализовала в них довольно прогрессивную идею программирования макрокоманд, когда допускается возможность присвоить какой-либо клавише не только ту или иную последовательность символов, но и вызов достаточно сложной программы. С одной стороны, это существенно увеличило потенциальные возможности программ, позволяя наращивать их практически любыми новыми функциями, а с другой - породило возможность создавать на этом встроенном языке вирусные программы.
§ «Черви». В некоторых современных версиях архиваторов предусмотрена возможность добавления в архив текстового файла, содержащего команды, которые будут выполнены сразу после распаковки данного архива. Таким образом, вполне можно создать вирус, написав некую программку, способную дописывать к имеющимся на диске архивам свои копии файлов и сопровождать их автоматически срабатывающими при разархивации командами запуска такой вирусной программы.
Отличительные особенности файлово-загрузочных вирусов.
§ Полиморфизм. Большинство вирусов, созданных в прежние годы, при саморазмножении никак не изменяются, так что «потомки» являются абсолютно точной копией «прародителя», что и позволяет легко их обнаруживать по характерной для каждого последовательности байтов. Однако в последнее время создатели вирусов реализовали идею шифровки тела вируса, которая не позволяет их обнаружить и проанализировать
§ «Стелс» - технология. Этот термин появился по аналогии с названием технологии разработки американского бомбардировщика, невидимого на экране радара. Стелс-вирус, находясь в памяти компьютера, перехватывает почти все векторы прерываний (то есть переписывает адреса вызова служебных подпрограмм операционной системы на свои). В результате при попытке контроля длины зараженного файла ОС выдает старую, «правильную» длину вместо истинной, а при просмотре коды вируса исключаются им из рассмотрения.
§ «Логические бомбы». Такая программа добавляется к какой-либо полезной программе и «дремлет» в ней до определенного часа. Когда же показания системного счетчика времени данного компьютера станут равными установленному программистом значению часов, минут и секунд (или превысят их), производится какое-либо разрушающее действие, например, форматирование винчестера. Это один из распространенных вариантов мести обиженных программистов своему руководству.
§ Программы-вандалы. Самый простой способ напакостить всем и вся. Пишется программа-разрушитель, ей дается название, такое же, как у другой, полезной программы, и она размещается, в качестве «обновленной версии». Ничего не подозревающий пользователь обрадовано «скачивает» ее на свой компьютер и запускает, а в результате - лишается всей информации на жестком диске. Подобная история случилась сравнительно недавно, когда форматировщик был «замаскирован» под новую версию популярного архиватора ZIP.
Сетевые вирусы.
§ «Логические бомбы» - скрипты и апплеты. Современные версии браузеров (программ для работы с WWW-страницами) поддерживают возможность размещать на Интернет-страницах небольшие программы, переправляемые пользователю в виде текстового листинга и исполняемые уже на пользовательском компьютере. Такие программы называются скриптами и пишутся на специальном языке программирования JavaScript и на основе VisualBASIC. И хотя основные функции доступа к содержимому вашего диска здесь отключены, некоторые мелкие неприятности это может доставить. Кстати, в последнее время создатели некоторых сайтов (как правило, из разряда «только для взрослых») освоили любопытный вариант скриптов (на базе JavaScript), способных при открытии такой Web-страницы не только «прописать» адрес данного сайта в качестве «домашнего» (естественно, не спрашивая у посетителя разрешения), но и внести его непосредственно в системный реестр Windows в качестве «базового»: такие «фокусы» уже можно считать настоящим вирусом и привлекать владельцев таких сайтов к предусмотренной за такие деяния ответственности.
§ «Троянские кони». Это модули, присоединяемые к каким-либо нормальным программам, распространяемым по сети, или «забрасываемые» в ваш компьютер несанкционированным способом. Цель «троянского коня» - воровать ценную информацию (пароли доступа, номера кредитных карточек и т. п.) и передавать ее тому, кто этого «коня» запустил. Рядовые пользователи Интернет, впрочем, встречаются с данной проблемой довольно редко, - чаще всего это проблема владельцев серверов и провайдеров. Однако же, если кто-то похитит у вашего провайдера ваши login и пароль входа в Интернет, чтобы воспользоваться ими, денежки будут уходить именно с ВАШЕГО счета...
§ Почтовые вирусы. Сегодня электронная почта приобретает все большую популярность. Но вместе с этим значительно увеличилась и опасность проникновения вирусов через этот удобный канал глобального распространения. (Еще большую опасность, кстати, представляет собой популярный чат-клиент ISQ или, в просторечном наименовании, «аська».) Чаще всего заражение начинается с получения неизвестно от кого письма, содержащего исполняемую программу-«зародыш» (частенько очень хитро «замаскированную»: файл имеет, например, вид <имя>.jpg .exe, где перед завершающим и определяющим тип «исполняемая программа» указанием «.ехе» записано большое число пробелов; Windows отображает для таких длинных имен только начало, пользователь воспринимает присланное как обычный файл с JPEG-картинкой и активизирует его клавишей Enter или двойным щелчком мыши для просмотра, тем самым запуская программу). Когда ничего не подозревающий пользователь запустит такую программу на исполнение, содержащийся в ней вирус «прописывается» в системе и, обращаясь к содержимому адресной книги, начинает тайком от вас рассылать всем абонентам свои копии-зародыши в качестве вложений.
