|
Характеристика на вирусите |
|
|
Характеристики |
Описание |
|
Armored ("бронирани") Пример: Whale |
Тези вируси разполагат със сложни техники за прикриване като шифриране и преместване на вирусния код, за да се избегне откриването и премахването им. |
|
Boot - sector infector (BSI) Пример: Form |
Тези вируси инфектират сектора за начално зареждане на дискове. Вируси, които заразяват главния запис за начално зареждане (Master Boot Record - MBR), може да инфектират сектора за зареждане на дискети. Ефективното премахване на вируси BSI се осъществява с форматирането на заразения диск. Вируси на MBR не може да бъдат премахнати с форматиране на диска. |
|
Encrypting (шифрирани) Пример: Monkey |
Някои вируси използват шифриране на данни или само шифриране, както се забелязва при полиморфните вируси. Вирусът Monkey заразява основния запис за начално зареждане на твърди дискове и шифрира данните за дялове (partition) на устройството. Файловете на това устройство може да бъдат разглеждани само когато вирусът е зареден в паметта , за да дешифрира данните на твърдия диск. Премахването на вируса Monkey отстранява и възможността за разчитане на шифрирани данни за разпределяне на диска., което на практика изтрива съдържанието на устройството. Вируси като Monkey трябва да се отстраняват с помощта на специални инструменти и техники. |
|
File (файлови) Пример: Jerusalem |
Този тип вируси инфектират файлове например изпълними (.exe) програми или документи (.doc) на Microsoft Word. Когато бъде отворен заразен файл или е стартирана заразена програма, вирусът се изпълнява заедно с инструкциите в съответния файл. "Заразите" на документите на Microsoft Word са познати като "макро вируси". Определени типове файлове като например изображения (JPEG, GIF) или филми (MPEG) не са изпълними и не може да пренасят зараза. Но, от друга страна, някои вируси се маскират като такива "безопасни" файлове, например JPEG, за да проникват безпрепятствено в системата. |
|
Macro (макро
вируси) Пример: Concept |
Макро вирусите може да се изпълняват само в програми, които поддържат макроси. Microsoft Word и Microsoft Excel са най - често използваните програми за заразяване с макро вируси, създавани на Visual Basic for Applications или WordBasic. От появата на първия макро вирус през 1995 г. - Concept, макро вирусите започват стремително разпространение. Днес те са преобладаващия тип вируси "на свобода". |
|
Master Boot Record
(MBR) Пример: AntiCMOS |
Всички твърди дискове съдържат главен запис за начално зареждане (Master Boot Record - MBR), към който се обръща компютърът при стартиране. MBR вирусите заразяват този запис на твърдия диск с вирусен код, когато системата зареди от заразена дискета. Често срещан начин на заразяване е когато потребителят забрави заразена дискета във флопидисковото устройство при изключване на компютърът. Следващия път, когато включи компютъра, той се опитва да зареди операционната система от дискетата, като заразява твърдия диск с вируса MBR. Впоследствие вирусът се изпълнява заедно с нормалния код на MBR всеки път когато системата се зарежда от вече заразения твърд диск. После вирусите MBR се опитват да заразят секторите за начално зареждане на дискети и дискове, когато бъдат използвани. MBR вирусите не се отстраняват от диска в процес на форматиране. Тъй като MBR се намира на различно място в диска, един вирус MBR трябва да бъде премахван с инструмент като FDISK или като системата се зареди от чиста стартова дискета, преди да бъде използвана антивирусна програма. |
|
Polymorphic (полиморфни) Пример: Hare |
Както подсказва името им ("поли" - много и "морфос" - форма), полиморфните вируси съдържат сложни инструкции, които позволяват на вирусите да мутират в нови и различни форми в рамките на същото семейство вируси. Разкриването на добре програмиране полиморфни вируси е изключително трудно. Новите евристични методи подпомагат откриването и премахването на нови и по - рано неоткриваеми полиморфни вируси на свобода. За съжаление евристичните методи понякога отчитат "лъжливи положителни" резултати или неправилно разпознаване, когато търсят "подобен на вирус" код. |
|
Stealth ("потайни") Пример: One_Half |
Тези вируси се опитват да скрият присъствието си на заразената система, така че да могат да се репродуцират и да останат неразкрити дълго време. Прикритите вируси могат да прихващат системни съобщения за проверка и да ги връщат обратно с отчет за незаразен документ, като така препятстват разкриването им. Налични са няколко добре познати, но рядко срещани експертни техники за прикриване, които включват "брониране", "дълбане" и "тунелиране". |
|
Terminate and stay
resident (TSR) Пример: Jerusalem |
Тези вируси за DOS се зареждат в паметта, когато бъдат стартирани, независимо че първоначално приела ги програма може да е прекратила работата си. След първоначалното заразяване много TSR вируси са създадени така, че да се зареждат в паметта при всяко стартиране на системата. |
| Tunneling (тунелиране) | Такива вируси могат директно да викат оригиналните манипулатори на прекъсване (interrupt handlers) в DOS и BIOS, като заобикалят програмите за мониторинг, които се изпълняват с цел откриване на вирусна активност. Интересното в случая е, че някои антивирусни програми също използват техника на тунелиране, за да заобикалят вируси, които евентуално се изпълняват в паметта. |
|
Multipartite (многокомпонентни) Пример: Pieck
|
Многокомпонентните вируси се опитват да се разпространят с голяма скорост, като заразяват по няколко различни начина едновременно. Най - честия прийом на многокомпонентните вируси е да заразяват както програми, така и главния запис за начално зареждане. Този тип вируси често се разпространяват успешно на свобода, но понастоящем са рядкост. |