На сегодняшний день известны десятки тысяч разных вирусов. Несмотря на это, количество типов вирусов, отличающихся друг от друга механизмом распространения и принципом действия, очень ограничено. Есть и комбинированные вирусы, которые можно отнести сразу к нескольким типам. Таким образом, вирусы можно классифицировать по следующим признакам:
Классификация компьютерных вирусов
- По среде:
- Загрузочные
- Файловые
- Файлово-загрузочные
- Сетевые
- По степени воздействия:
- Безвредны
- Безопасные
- Опасные
- Разрушительные
- По способам заражения:
- Резидентные
- Нерезидентные
- По алгоритмической особенности построения:
- Репликаторные
- Троянский конь
- Логическая бомба
- Мутанты
- Невидимки
- Макровирусы
В зависимости от среды вирусы делят на:
- Сетевые – распространяются различными компьютерными сетями;
- Файловые – поражают файлы с расширением .com, .эхе, реже .sys или оверлейные модули ехе файлов. Эти вирусы дописывают свое тело на начало, середину или конец файла и изменяют его таким образом, чтобы первым получить управление. Получив управление, вирус может заразить другие приложения, проникнуть в оперативную память компьютера и т.д. Некоторые из этих вирусов не заботятся о сохранении заражаемого файла, в результате чего он оказывается нетрудоспособным и не подлежит восстановлению;
- Загрузочные – получают управление на этапе инициализации компьютера, еще до начала загрузки ОС. При заражении носителя или жесткого диска загрузочный вирус заменяет загрузочную запись BR или главную загрузочную запись MBR. При начальной загрузке компьютера BIOS считывает загрузочную запись с диска или дискеты, в результате чего вирус получает управление еще до загрузки ОС. Затем он копирует себя в конец оперативной памяти и перехватывает несколько функций BIOS. В конце процедуры заражения вирус загружает в память компьютера настоящий загрузочный сектор и передает ему управление. Дальше все происходит, как обычно, но вирус уже находится в памяти и может контролировать работу всех программ и драйверов;
- Файлово-загрузочные – комбинированные вирусы, сочетающие свойства файловых и загрузочных. В качестве примера можно привести распространенный когда-то файлово-загрузочный вирус One Half. Проникая в компьютер с ОС MS-DOS, этот вирус заражает главную загрузочную запись. При загрузке вирус постепенно шифрует секторы жесткого диска, начиная с последних секторов.
По способу заражения окружающей среды вирусы делятся на:
- Резидентные, при заражении (инфицировании) компьютера оставляет в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к объектам заражения (файлов, загрузочных секторов дисков и т.п.) и внедряется в них. Резидентные вирусы находятся в памяти и являются активными вплоть до выключения или перезагрузки компьютера;
- Нерезидентные, эти вирусы не заражают память компьютера и активны ограниченное время.
По степени воздействия вирусы можно разделить на:
- Безопасные, не мешающие работе компьютера, но уменьшающие объем свободной оперативной памяти и памяти на дисках, действия таких вирусов проявляются в любых графических или звуковых эффектах;
- Опасные вирусы, которые могут привести к различным нарушениям в работе компьютера;
- Особенно опасны, влияние которых может привести к потере программ, уничтожению данных, истиранию информации в системных областях диска.
По особенностям алгоритма:
- Простейшие вирусы – паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены;
- Вирусы-невидимки (стелс-вирусы) – пытаются скрыть свое присутствие в компьютере. Если ОС или другая программа считывают файл зараженного приложения, вирус подставляет настоящий, не зараженный, файл программы. Для этого резидентный модуль может временно удалять вирус из зараженного файла. После работы с файлом он заражается снова. Загрузочные стелс-вирусы действуют по такой же схеме. Когда приложение считывает данные из загрузочного сектора, вместо зараженного подставляется настоящий загрузочный сектор.
- Макрокомандные вирусы – файлы документов Microsoft Office могут содержать небольшие программы для обработки этих документов, составленные на языке Visual Basic for Applications. Это относится и к базам данных Access, а также файлам презентаций Power Point. Такие программы создаются с использованием макрокоманд, поэтому вирусы, живущие в офисных документах, называются макрокомандными. Такие вирусы распространяются вместе с файлами документов. Чтобы заразить компьютер таким вирусом, достаточно просто открыть файл документа в соответствующем приложении. Распространенность этого вида вирусов в значительной степени способствует популярности Microsoft Office. Они могут изменять зараженные документы, оставаясь незамеченными долгое время.
Кроме вирусов принято выделять еще по крайней мере три вида вредоносных программ:
- Троянские программы – по основному назначению троянские программы абсолютно безвредны или даже полезны. Но когда пользователь запишет программу на свой компьютер и запустит ее, она может незаметно выполнять вредоносные функции. Чаще всего троянские программы используются для начального распространения вирусов, получения удаленного доступа к компьютеру через Интернет, воровства данных или их уничтожения.
- Логические бомбы – программа или ее отдельные модули, которые при определенных условиях выполняют вредные действия, например, может сработать после достижения определенной даты или тогда, когда в базе данных появится или исчезнет запись, и т. д. Такая бомба может быть встроена в вирусы, троянские программы и даже обычные программы.
- Приложения-черви – нацелены на выполнение определенной функции, например, проникновение в систему и модификацию данных, могут подсматривать пароль для доступа к банковской системе и изменять базу данных. Некоторые вирусы-черви (например, Code Red) существуют не внутри файлов, а как процессы в памяти зараженного компьютера. Это исключает их обнаружение антивирусами, сканирующими файлы и оставляющими без внимания оперативную память компьютера.
- Вирусы в системах документооборота – документы, хранящиеся в базах данных таких систем документооборота, как Lotus Notes и Microsoft Exchange, могут содержать вирусы, точнее вредоносные макрокоманды. Они могут активизироваться при выполнении любых действий над документом (например, когда пользователь щелкнет кнопку мышью). Так как такие вирусы расположены не в файлах, а в записях баз данных, для защиты от них требуются специализированные антивирусные программы.