Электронная библиотека
Xakep
Рубрика: ВИРЬтуальность
Xakep, номер #013, стр. 013-064-2
Virii бывают:
загрузочные
файловые
макро
сетевые
полиморфики
резидентные
stealth
террористы
трояны (trojans)
В принципе, подробнее об этом можно прочесть, скачав AVP Encyclopedia, и даже поглядеть на спецэффекты некоторых (не на форматирование HDD, конечно).
Загрузочные
Обычно совмещают в себе еще и функции резидентных. Загружаются до операционной системы (для этого прячут тело жирное в утесах - т.е. в первых секторах диска/дискеты), затем прячутся в памяти, отрезая от нее кусок так, что вируса не будет видно программами вроде MEM.EXE. Делается это элементарно - поправкой значения в 2 байтах по адресу 0:413. Некоторые прячутся в MCB-блоки, делая вид, что они - данные DOS. Существует одно существенное ограничение на эти вирусы - их размер, поскольку им необходимо размещаться в первых секторах диска. А это означает, что такие вирусы будут обладать ограниченными способностями. Да и... как часто тебе приходится грузиться с дискетки? Вот то-то же. Но об этом - уже непосредственно в процессе ознакомления с такими вирусами.
Файловые
Вирусы, каким-либо образом использующие файловую систему операционки. Самые распространенные - для DOS. Наверное, больше 3/4 вирусов именно файловые (из-за большой распространенности отошедшей теперь уже в прошлое файловой операционной системы с пошлым именем, кое мы выше уже упомянули), то есть заражающие исполнимые файлы EXE, COM... Есть даже и для BAT-файлов, но их, скорее, надо относить к макровирусам. Имеется довольно большое количество способов заражения. Но обычно кулвирмейкеры не утруждают себя придумыванием новых способов, а штампуют старые методы (используя конструкторы ViriiLab`ов и полимофик-engine`ов).
Макро
Макровирусы обычно не содержат машинных кодов и исполняются не как обычные программы форматов EXE или COM, а как программы, юзаемые различными интерпретаторами, например, basic`ом или mail-script интерпретатором Outlook Express. Типичный пример macros virius - вирусы, поражающие текстовые файлы MS Word. Такие вирусы одно время были довольно эффективны, поскольку антивирусное ПО исходно было предназначено для поиска вирусов в исполнимых файлах, а не в мешанине текстовых макросов. Кроме того, присутствие макровируса определить несколько сложнее. Существуют вариации вирусов на тему полиморфности кода. Появляются везде, где только есть внутренний язык, позволяющий осуществлять работу с жестки диском и/или памятью. Были замечены даже в Interactive Disassembler.
Сетевые
К сетевым вирусам, вообще говоря, можно отнести вирусы, которые распространяются используя возможности сетевых протоколов. Самые популярные сетевые вирусы - черви. Для своего размножения они используют недокументированные возможности и ошибки в реализации сетевых протоколов и программ. Самый-самый сетевой вирус - вирус Морриса, создавший целую эпопею борьбы с ним в конце 80-х. Старые сетевые вирусы использовали аппаратные возможности компьютеров и, зачастую, почти не обращались к ресурсам компьютеров, записывая свои жирные тела в оперативную память. Но настало время бешеных 90-х, и появились почтовые вирусы - смесь сетевых и макровирусов. Такие вирусы используют mail-script`ы, которые позволяют как размножаться используя адресные книги (рассылая свои копии всем твоим знакомым), так и получать доступ почти ко всем ресурсам компьютера.