TextBook Типи вірусів. Ефекти. Для виявлення та видалення вірусу насамперед необхідно його однозначно класифікувати за обмеженим набором простих і вірних ознак, які не потребують глибокого аналізу заражених програм і елементів ОС. Існує неофіційна класифікація, в якій назва вірусу відображає ту чи іншу його властивість:
1) за місцем виявлення або розробки вірусу
(Jerusalem - зниження швидкодії комп'ютера, додає 1813 байтів до com-файлів та багатократно заражає exe-файли. Vienna - зациклювання при завантаженні);
2) за змістом текстових рядків у коді вірусу (Vacsine - змінює розширення файлу);
3) за ефектом дії вірусу (Cascade - "випадання" букв на нижню стрічку екрану)
4) за довжиною вірусу або зростанням довжини файлу при зараженні, або за датою активації. (524, 648, 2000)
Зазначимо, що така класифікація є суто практичною і не може використовуватись антивірусними засобами для ідентифікації вірусу. Оскільки той самий вірус, наприклад Cascade також може мати іншу назву - 1701, бо додає 1701 байтів до com-файлів. Вірус CIH, відомий також як Чорнобиль, тому що вірус активувався 26 квітня - день катастрофи на
Чорнобильській АБС. А от вірус Frodo (розміщує в сектор завантаження день народження хоббіта Фродо з "Володаря перснів" Толкієна) має дуже багато назв:
o 4096 або 4К - за кількістю доданих байтів до com- та exe-файлів;
o 100-річний, оскільки додає 100 років до дати створення зараженого файлу;
o Stealth - бо при наявності вірусу в пам'яті, зміна довжини файлів при зараженні не відображається.
Отже, лише за такими властивостями вірусів віднести їх до певного типу буде дуже складно. Як вирішили цю проблему розробники антивірусної продукції? Вони почали використовувати для класифікації три основні елементи:
o класифікаційний код вірусу;
o дескриптор вірусу - формалізований список основних властивостей;
o сигнатуру вірусу.
Класифікаційний код вірусу складається із літерного префіксу, кількісної характеристики та літерного суфіксу. Префікс вказує на місце розміщення голови вірусу і складається із літер та цифр. Відповідно до цього розрізняють такі типи вірусів:
o файлові - голова розміщується у com- та exe-файлах (бувають резидентними та нерезидентними, за аналогією із програмними закладками, див.р.15). Символи C та E використовуються в префіксі;
o бутові (від "boot"- початкове завантаження) - голова вірусу розміщується в секторі завантаження або у блоці MBR. Символи B, R або M у префіксі;
o пакетні - голова вірусу представляє собою рядок чи програму на мові керування завданнями ОС. Префікс J;
o гібридні - володіють властивостями декількох типів.
Сторінки
В нашій електронній бібліотеці ви можете безкоштовно і без реєстрації прочитати «Інформаційні технології та моделювання бізнес-процесів» автора Томашевський О.М. на телефоні, Android, iPhone, iPads. Зараз ви знаходитесь в розділі „16. Технології забезпечення безпеки інформаційних систем“ на сторінці 5. Приємного читання.