Сучасна класифікація вірусів

Перші програми, схожі на комп'ютерні віруси, було створено в 1972 p. (гра «Дарвін») і в 1976 p. (системна програма WORM («Хробак»)). У 1984 p. було поширено гру ANIMAL («Тварина»), яка мала майже всі риси сучасного комп'ютерного вірусу. Програма, реалізована як гра, пропонувала гравцю задумати якусь тварину і за певний час намагалася за допомогою уточнювальних запитань (чи має шерсть, чи живе у воді тощо) відгадати задумане. Якщо програма не встигала відгадати назву задуманої тварини, то просила гравця повідомити, яке запитання потрібно поставити, щоб відгадати. Програма запам'ятовувала це запитання й у такий спосіб «самонавчалася». Але розробник такої програми використовував, імовірно, той факт, що на його комп'ютері будь-якому користувачу виділявся власний каталог для роботи, але не було механізму захисту каталогу від інших користувачів (або програм). Програміст змінив гру так, що після кожного «навчання» програма копіювала себе в каталог іншого користувача. Гра була популярною, і незабаром усі комп'ютери фірми вже мали програму, яка повільно розмножувалася. Ситуація не була небезпечною, але численні копії гри дуже засмічували дисковий простір. Знищення копій не дало потрібного ефекту: достатньо було залишити одну копію — і незабаром розмноження повторювалося знову. Проблему було вирішено за допомогою засобу, який за сучасною термінологією можна назвати антивірусом.

У 1985 p. було опубліковано гру «Core War» («Війна в пам'яті»). У ній два гравці пишуть по одній програмі мовою низького рівня. Програми вмішуються у велику циклічно замкнуту ділянку пам'яті. Кожна команда займає одну комірку пам'яті ЕОМ. Керуюча програма по черзі виконує по одній команді з кожної програми, як це робить найпростіша система реального часу. Програми гравців атакують одна одну, намагаючись уникнути ушкоджень і відновлюючи ушкоджені ділянки. Найпростіша атака — це використання команди MOV (записати в пам'ять). Наприклад, MOV 1000 може «вбити наповал» ворожу програму, якщо потрапить у наступну команду (тобто якщо наступна виконувана команда «ворога» знаходиться за адресою 1000), або «поранити», якщо за адресою 1000 у «ворога» записані дані або команди, чи «не влучити», якщо комірка за адресою 1000 «ворогом» не використовується.

«Справжні» віруси, тобто програми, орієнтовані на те, щоб завдати збитків, з'явилися на початку 80-х pp. XX ст. Це пов'язано з появою ПЕОМ і має характер протистояння користувачів групі безвідповідальних або кримінальних елементів. Перші випадки масового зараження комп'ютерів було зафіксовано 1987 p. Так, лехайський вірус, що з'явився в однойменному університеті США, впродовж кількох днів знищив вміст кількох сотень дискет як з публічної бібліотеки університету, так і особистих дискет студентів. У грудні 1987 p. було виявлено вірус у Ієрусалимському університеті (Ізраїль). Хоча істотної шкоди цей вірус не завдав, він швидко поширився по всьому світу і, вочевидь, є першим вірусом, поширення якого набуло характеру пандемії. 1988 p. ця проблема в країнах США і Західної Європи стала пріоритетною. Особливу увагу громадськості привернув так званий вірус Морріса. Другого листопада 1988 p. Роберт Морріс-молодший, аспірант факультету інформатики Корнелльського університету, інфікував за допомогою написаного ним вірусу велику кількість комп'ютерів (орієнтовно 6000), підключених до американської національної мережі Інтернет. Хоча ніякої втрати або зміни даних не відбулося, користувачі Інтернету втратили багато тисяч годин робочого часу. До кінця 1989 p. у деяких країнах (США, Великобританія, ФРН) розглядали закони щодо кримінальної відповідальності розробників і розповсюджувачів комп'ютерних вірусів (у США — до 15 років позбавлення волі). Це дає змогу, окрім програмних і організаційних заходів для боротьби з вірусами, застосувати й правові методи. Тому важливим аспектом боротьби з комп'ютерними вірусами стає виявлення злочинця або злочинної групи, відповідальної за створення або поширення відповідного вірусу.

Для більшості комп'ютерних вірусів, так само, як для біологічних, характерний певний інкубаційний період, упродовж якого виконувані вірусом несанкціоновані дії обмежуються зараженням інших програм. Інфікуючи програми або носії, віруси можуть поширюватися від однієї програми до іншої, що робить комп'ютерні віруси небезпечнішими порівняно з іншими методами комп'ютерного вандалізму. Операційна система типу MS-DOS, що відрізняється практично повною відсутністю захисту від несанкціонованих дій, полегшує розробку вірусів. Однак комп'ютерні віруси не є програмами, що використовують помилки або недоліки конкретної ОС. Для забезпечення їхнього функціонування цілком достатньо звичайних операцій, використовуваних більшістю «нормальних» програм. Тому принципово не може існувати універсального методу, що захищає ОС від поширення будь-якого вірусу. Проте можна значно ускладнити завдання створення і поширення комп'ютерних вірусів, застосовуючи спеціальні методи в ОС та використовуючи додаткові резидентні і нерезидентні програмні засоби захисту.

1) відмова системи у виконанні певної функції (наприклад, блокування вірусом RC-1701 завантаження програми з захищеної від запису дискети), виконання дій, не передбачених програмою (наприклад, зміна даних у будь-якому файлі);

2) руйнування окремих файлів, керуючих блоків або усієї файлової системи (форматування диска, видалення файла тощо);

3) видача помилкових, дратівливих повідомлень (наприклад: «Скажи «бебе»);

4) створення звукових або візуальних ефектів (наприклад, падіння літер у вірусі RC-1701, уповільнене виконання програми у вірусі RCE-1913, програвання мелодії в RCE-1805 або поява на екрані рухомого ромбика у ВхІ-ІС тощо);

5) ініціювання помилок або збоїв у програмі чи ОС (наприклад, переповнення стека);

6) перезавантаження або «зависання» операційної системи;

7) блокування доступу до системних ресурсів (розростання заражених файлів за рахунок їх багаторазового повторного зараження;

8) неможливість передавання зараженій програмі параметрів, уповільнення роботи комп'ютера шляхом виконання пустого циклу з кількох команд після кожного переривання таймера);

9) імітація збоїв апаратури (перетворення частини кластерів на псевдозбійні на дискеті або вінчестері, «зависання» комп'ютера через якийсь час після перезавантаження ОС);

10) прискорення зношування обладнання або спроби його псування.

Збитки, яких завдають віруси, можуть мати катастрофічний характер (знищення вінчестера), якщо в них тривалий «інкубаційний період». Або навпаки: вірус може спричиняти незначні ушкодження даних, які набагато складніше виявити. Через це дії таких вірусів набагато небезпечніші, ніж масове руйнування даних.

Найбільш незахищена частина файлової системи типу MS-DOS — таблиця розміщення файлів. Якщо вона зруйнована, то ОС не може визначити місцезнаходження файла, хоча самі файли не ушкоджено. Вірус може також виконувати формалізацію деяких ділянок диска, які містять системні дані. Тому необхідно часто дублювати керуючі дані файлової системи на іншу, заздалегідь відому ділянку диска або на дискету. Для цього можна використовувати, наприклад, утиліти Нортон. На комп'ютерах типу AT дані про конфігурацію системи (тип установленого вінчестера тощо) зберігаються в невеличкій енергонезалежній пам'яті (CMOS). Знищення вмісту CMOS-пам'яті унеможливлює завантаження з вінчестера. Відновлення CMOS-пам'яті потребує знання всіх технічних даних про вінчестер. Тому цей тип пам'яті також є потенційним об'єктом атаки вірусу.

Комп'ютерні віруси «безсмертні» і можуть необмежений час зберігатися в різних архівах. Навіть цілком «знищені» віруси можуть зберегтися в будь-якому архівному файлі й випадково або навмисно «реанімуватися» через багато місяців або навіть років після їхнього першого виявлення і знищення. Отже, після появи певного вірусу необхідно вжити спеціальних заходів для запобігання повторним зараженням. Тут можна діяти в двох напрямках:

знайти першоджерело зараження, розробити або установити програми, що ускладнюють (пильнуючи) чи роблять неможливим вакцинуючи) розмноження вірусу.

Далеко не всі ушкодження файлової системи, несправність вінчестера або обладнання спричинені вірусами. Наприклад, деякі типи вінчестерів мають низьку надійність і псуються без втручання вірусів. Є комп'ютери, які можна завантажити тільки після прогрівання, через деякий час. Існують дисководи, що не тільки фрезерують дискети, а й під час запису іноді стирають таблицю розміщення файлів, причому відновити її за допомогою утиліт Нортон не вдається. Багато комп'ютерів і без вірусів регулярно «зависають». Однак є тенденція атрибутувати будь-яке ушкодження даних у присутності комп'ютерних вірусів.

Ходять чутки, що віруси ушкоджують обладнання. Справді, такі ушкодження можливі. Наприклад, можна ушкодити ділянку люмінофора («випалити пляму») на монохроматичному моніторі, використовуючи особливості схеми керування. Однак для кольорового монітора це зробити неможливо.

Кажуть також, існують що якісь підступні віруси, що нібито вводять у резонанс голівку вінчестера. Це схоже на міф, але проблема «вірус — засіб захисту» аналогічна до проблеми «зброя нападу — зброя захисту». Тому слід очікувати, що тривалий час віруси становитимуть актуальну проблему, причому вдосконалювання засобів захисту буде супроводжуватися вдосконаленням самих вірусів.

Складність опису різних засобів захисту від комп'ютерних вірусів і часте дублювання цих засобів роблять актуальним питання про класифікацію комп'ютерних вірусів. Ця класифікація має сприяти однозначному опису не тільки відомих вірусів, а й їх нових різновидів за обмеженою кількістю порівняно простих ознак. Пропонуємо класифікацію, у якій ім'я вірусу складається з літерного префікса, цифрового кореня і, можливо, літерного суфікса. Префікс характеризує середовище розмноження вірусу.

У 1990 p. існувало чотири основних типи комп'ютерних вірусів:

1) ті, що розміщуються в бут-секторі і збійних секторах на диску (тип В, бутові віруси);

4) ті, що передаються по мережі (тип N, чи так звані мережеві віруси).

Цифровий корінь характеризує довжину вірусу. Для комп'ютерних вірусів типу С, Е і СЕ (файлових вірусів) він відповідає збільшенню довжини файла під час зараження. Це збільшення для низки файлових вірусів є нестабільним і залежить як від типу файла (.com або.ехе), так і від довжини файла, що заражається (наприклад, після дописування свого тіла в кінець файла, що заражається, деякі віруси вирівнюють початок свого тіла на початок параграфа, тобто на зсув, кратний 16). У цьому разі за цифровий корінь беруть мінімальну довжину збільшення. Для вірусів типу В як апроксимацію довжини беруть кількість використовуваних секторів, помножену на 512 (довжину сектора).

Комп'ютерні віруси також поділяються на резиденті й нерезидентні. Нерезидентні віруси отримують керування після завантаження в пам'ять зараженої програми, а потім шукають файл-жертву, використовуючи PATH чи іншу інформацію, і заражають цей файл. Потім керування повертається зараженій програмі, і після закінчення її роботи пам'ять комп'ютера звільняється від вірусу. На відміну від них, резидентні віруси після завантаження в пам'ять і передачі керування зараженій програмі перехоплюють низку переривань і залишаються в пам'яті резидентними. Отримавши керування після переривання, вони виконують певні дії (наприклад, заражають кожну програму, що запускається, заражають.ехе і.com файли тощо). Для класифікації таких вірусів використовують суфікс R.

Структурно віруси можна подати у вигляді двох частин: голови і хвоста. Головою називається частина вірусу, яка першою отримує керування, хвостом — його частина, розміщена окремо від голови.

Часто вірус складається з однієї голови (більшість файлових вірусів). Такі віруси називаються несегментованими. На відміну від них, сегментовані віруси мають хвіст і якоюсь мірою аналогічні до оверлейних файлів. Прикладом сегментованих вірусів є бутові віруси, хоча можлива й реалізація сегментованих файлових вірусів.

В операційній системі MS-DOS найпоширенішими є файлові нерезидентні, файлові резидентні та бутові віруси. Нині для цієї ОС існує кілька сотень комп'ютерних вірусів.

Отже, спочатку з'явилися файлові віруси, за ними завантажувальні, а потім, з появою вірусів, які самі шифрувалися, вірусологія стала розвиватися шаленими темпами, як і віруси. Фахівці вже називали їх поліморфними вірусами (напевне, серед читачів знайдеться хоча б один, хто пам'ятає вірус Фантом, через який «захворіли» комп'ютери в середині 90-х років).

Але перед тим як перейти до класифікації, давайте з'ясуємо, яку дефініцію вірусу дають класики. Наприклад, всесвітньо відомий американський розробник програмного забезпечення для комп'ютерних мереж, зокрема міжнародних, як от Novell, — програміст Пітер Дайсон (Peter Dyson) дав таке означення вірусу:

«Вірус — це програма, призначенням якої є порушення роботи комп'ютерної системи без відома користувача цієї системи. Вірус може приєднувати сам себе до іншої програми, таблиці розділів або до завантажувального сектора диска та активізуватися за певних ситуацій або комбінації певних ситуацій».

Що таке комбінація певних ситуацій, можна продемонструвати на прикладі поведінки вірусу Ієрусалим (цей приклад уже став класичним, майже всі вірусологи наводять його, тому не будемо порушувати традиції).

Отже, вірус Ієрусалим уперше було зафіксовано у 1988 p. в мережі одного з ізраїльських університетів. Вірус виявляв себе так: на екрані монітора з'являлися чорні квадрати, уповільнювалася робота комп'ютера, тобто вірус викликав лише роздратованість користувачів, але якщо програма, яка була інфікована цим вірусом, завантажувалася в оперативну пам'ять комп'ютера саме у п'ятницю 13-го, то вірус знищував кожну активну в цей момент програму.

Було зафіксовано також вірус Тайвань (1998 p.), дія якого, залежно від поточної дати, могла бути або непомітною, або дуже агресивною. Вірус міг навіть знищити дані у флеш-BIOS, чого було достатньо, щоб змусити користувача замінити материнську плату. А це у грошовому еквіваленті те саме, що купити новий комп'ютер.

Отже, зрозуміло, що не можна одразу визначити міру шкідливості вірусу. Це справа фахівців. Але знати типи вірусів, які можуть загрожувати комп'ютеру, необхідно кожному користувачу.

Сучасні фахівці, зокрема Євген Касперський, поділяють комп'ютерні віруси на такі типи:

• файлові;• бутові;• поліморфні;• макровіруси;• невидимі;• резидентні;• хробаки;• мережеві.

Вірусологи поділяють віруси не тільки на типи, а й на класи за такими властивостями: середовище розповсюдження вірусу; операційна система, в якій він може існувати; ступінь агресивних дій та особливості алгоритму роботи вірусу (див. таблицю).

Таблиця: Класифікація комп'ютерних вірусів

Клас вірусу за властивістю	Тип вірусу	Спосіб зараження

За середовищем розповсюдження вірусу	файлові; бутові; макровіруси мережеві; комбіновані	Файлові віруси будь-яким чином вбудовуються у файли.cow,.exe або створюють файли-клони (компаньйони) чи використовують особливості будови файлової системи (лінковані). Бутові (або завантажувальні) віруси вбудовують себе у завантажувальний сектор диска або змінюють вказівку на активний бут-сектор диска. Макровіруси вбудовуються у файли документів офісних прикладних програм, таких як Word, Excel, Access. Мережеві віруси використовують для свого розповсюдження протоколи мереж та електронної пошти. Комбіновані віруси: а) файлово-бутові віруси, заражають файли та бут-сектори дисків; б) мережеві макровіруси, заражають документи офісних програм і розповсюджують свої копії електронною поштою
За операційною системою, в якій може існувати вірус	файлові; бутові; макровіруси; мережеві	Файлові віруси заражають певні файли операційної системи, наприклад, можуть бути заражені exe-файли ОС Windows-95, а сусідній комп'ютер у мережі, який працює в ОС Linux, не матиме жодного зараженого exe-файла. Бутові віруси також заражають тільки певні формати даних бут-секторів певної ОС. Макровіруси заражають тільки певні файли певних форматів певної ОС. Мережеві віруси заражають тільки файли певних форматів певної ОС
За ступенем агресивних дій	зовсім безпечні; безпечні; небезпечні; дуже небезпечні	Зовсім безпечні віруси ніяк не впливають на роботу комп'ютера (якщо не враховувати зменшення вільного простору на диску через розмноження вірусів). Безпечні віруси діють так само, як і зовсім безпечні, але можуть виявлятися через будь-які аудіо- або графічні ефекти. Небезпечні віруси можуть призвести до будь-яких значних збоїв у роботі комп'ютерної системи, «зависання» тощо. Дуже небезпечним вірусам характерні значні деструктивні дії, наприклад: знищення частини даних, файлів і навіть програм, ушкодження системних ділянок дисків, виведення з ладу системи BIOS тощо
За особливостями алгоритму роботи вірусу	резиденті; невидимі; поліморфні	Резидентні віруси заражають пам'ять комп'ютера: під час інфікування комп'ютера вірус залишає в оперативній пам'яті резиденту частину, яка перехоплює звернення ОС до об'єктів зараження та вбудовується в них. Отже, нерезиденті віруси не заражають пам'ять. Невидимі, або стелс-віруси перехоплюють запити ОС на читання/запис заражених об'єктів і підставляють у цьому об'єкті замість себе незаражену ділянку об'єкта; маскування (використання стелс-алгоритмів) дає змогу вірусам сховатися. Поліморфні віруси (або ті, що самошифруються) постійно змінюються, і дві копії одного й того самого вірусу можуть зовсім не збігатися. Віруси використовують змінність для того, щоб їх було складніше виявити