Вирусы – специально разработанные программы, которые самопроизвольно копируются («саморазмножаются»), включаясь в текст других файлов (программ) или занимая загрузочные (используемые при запуске) сектора дисков, т.е. «заражая» файлы и диски.
Название дано Ф. Когеном (США) по аналогии с биологическими объектами, которые паразитируют на клетках живых организмов, проникая в них и размножаясь за их счет путем перехвата управления системой наследственности. Само латинское слово «вирус» означает «яд».
Вирусы перехватывают управление при обращении к зараженым файлам и дискам, обеспечивая дальнейшее свое распространение. При этим они могут вызывать помехи – от появления посторонних надписей на экране, замедления работы компьютера и вплоть до полного стирания долговременной памяти с уничтожением всей информации и всех программ.
Аналогичные эффекты могут вызывать другие типы вредоносных программ, рассматриваемые наряду с вирусами (иногда их все вместе называют вирусами, но это не верно): (а) «троянские кони» («трояны») – программы, рекламируемые и распространяемые как выполняющие определенные полезные функции (игры, обслуживание диска) и т.п., но при запуске, причиняющие вред; (б) «часовые бомбы» – фрагменты программ, активизирующиеся для нанесения вреда в определенное время и дату; (в) репликаторы («черви», «сетевые черви») – программы, массово самокопирующиеся («расползающиеся») по сети, используя адресную книгу компьютера и захватывающие ресурсы отдельных компьютеров и сети.
В составе программы–вируса выделяют:
а )«голову» – начальный код, который перехватывает управление обращение к диску или зараженной вирусом программе–носителю;
б )«хвост» (иногда говорят «тело») – основную часть вируса, осуществляющую копирование и вредоносные действия.
По среде обитания вирусы подразделяют на:
а) Файловые – внедряются в файлы, чаще всего исполняемые файлы программ с расширение .com или .exe, но также и, в виде макросов, в документы MS OFFICE – макровирусы (документные), и в элементы управления Web страниц Интернет – скриптовые вирусы.
б) Загрузочные (бутовые) – внедряются в загрузочные (используемые при запуске диска) сектора дисков (Boot–сектора).
в) Файлово–загрузочные – внедряются и в файлы и в загрузочные сектора.
Иногда сетевые репликаторы (черви) тоже включают в понятие вирусов и классифицируют по среде обитания как сетевые вирусы.
По способу заражения вирусы подразделяют на:
а) Резидентные – после начала действия остаются в оперативной памяти до выключения компьютера и перехватывают команды операционной системы для заражения новых файлов и дисков (как правило, загрузочные вирусы являются резидентными).
а) Нерезидентные – активизируются только на ограниченное время, например, при вызове зараженной ими программы для файловых вирусов.
По степени опасности (вредного воздействия) вирусы подразделяют на:
а) Неопасные – вызывают только графические и звуковые эффекты, в крайнем случае, уменьшают объем свободной памяти и быстродействие.
б) Опасные – вызывают серьезные нарушения и сбои в работе.
в) Очень опасные – уничтожают программы, данные, вплоть до потери всей информации, включая системную, необходимую для работы компьютера.
Выделяют особые классы вирусов по характерным особенностям функционирования:
а) Самомаскирующиеся (вирусы-невидимки, стелс (Stealth) вирусы) – перехватывают попытки их обнаружить и выдают ложную, маскирующую их присутствие информацию. Например, при запросе длины файла сообщают старую длину до заражения вирусом.
б) Полиморфные (самомодифицирующиеся, вирусы–мутанты) – при копировании в новые заражаемые файлы меняют (шифруют) текст вируса, что затрудняет его обнаружение по наличию определенных фрагментов кода.
Программы–антивирусы подразделяют на:
а) Фильтры (сторожа, блокираторы) – обнаруживают и блокируют до разрешения пользователя действия, похожие на действия вирусов (запись в загрузочные сектора дисков, изменение характеристик файлов, коррекция файлов с расширениями com и exe и т.п.). При этом они могут слишком часто и «назойливо» обращаться к пользователю за разрешением.
б) Ревизоры – запоминают характеристики файлов и сообщают об их изменениях. Эти программы не могут обнаружить вирусы в новых файлах, поступающих на компьютер.
в) Сканеры (детекторы) – ищут вирус по определенным признакам. В частности, они выполняют функции программ–мониторов (мониторинг – отслеживание), проверяя файлы при их загрузке в оперативную память. Использование полифагов требует наличия и постоянного обновления антивирусных баз данных, содержащих признаки максимального количества известных вирусов.
в) Фаги (доктора) – пытаются «вылечить» файлы, удаляя вирусы из них. В случае невозможности – предлагают удалить зараженый файл.
Особенно важны полифаги – программы для поиска большого количества и вирусов различного типа и лечения от них. Они выполняют одновременно функции сканеров и фагов. Использование полифагов требует наличия и постоянного обновления антивирусных баз данных, содержащих признаки максимального количества известных вирусов.
Наиболее известные и распространенные полифаги: Антивирус Касперского, (Kaspersky AntiVirus, Kaspersky Internet Security), Symantec Norton AntiVirus, Doctor Web (Dr.Web).
