Понятие «вирус» встречается не только в биологии, но и в информационных технологиях. Как и «в жизни», соответствующие элементы классифицируются и выполняют свою роль – заражают носителя. Такое поведение может привести к непредсказуемым и весьма плачевным последствиям. Пример – если произошло заражение устройства в банковской системе.
В данной статье предстоит поговорить о вирусах в компьютере: что это вообще такое, как они действуют, на какие типы и виды разделяются. А еще постараемся разобраться с принципами борьбы с вредоносными программами. Все это пригодится как программистам/системным администраторам, так и обычным ПК-пользователям.
Терминология
Компьютерный вирус – это разновидность компьютерной программы, способной создавать свои копии и внедрять их в файлы, системные области, а также компьютерные сети. Она также осуществляет иные деструктивные действия. Копии такой программы не обязательно будут совпадать с оригиналом, но они тоже наделены возможностью дальнейшего распространения. Вирус – это вредоносная программа. Некоторые ее виды не опасные, а какие-то губительны для устройства.
Компьютерным вирусом является тип вредоносной программы, которая при выполнении воспроизводит себя, изменяя иные приложения на компьютере. Рассматриваемый элемент вставляет в имеющийся на компьютере софт собственный код. Если внедрение происходит успешно, соответствующий участок будет считаться «зараженным».
Сегодня под термином «вирус» понимается практически любая вредоносная программа. Это не совсем правильно, но именно такая концепция сложилась в мире IT-технологий.
Цели и задачи
Вирус может выполнять различные действия, попадая на компьютер или ноутбук. Основной его целью является распространение. Среди сопутствующих функций выделяют нарушение работы программно-аппаратных комплексов:
- удаление файлов или операционной системы;
- приведение в непригодность структур размещения данных;
- нарушение работоспособности сетевых структур;
- кража платежных и личных данных;
- блокировки работы пользователей системы;
- вымогательство;
- слежка за действиями пользователя и так далее.
Вредоносная программа может приводить к компьютерным сбоям даже тогда, когда разработчик вируса не заложил такой «функционал» по умолчанию. Связано это с неучтенными тонкостями взаимодействия с ОС и другим программным обеспечением. Вредоносный код обычно занимает определенное место на накопителе информации, а также потребляет системные ресурсы.
Классификация
Существуют различные типы и виды вредоносных программ. Все они различаются как по ключевому способу распространения, так и по встроенному функционалу. Изначально код вируса распространялся через дискеты и иные носители. В 21 веке появился интернет – теперь они могут попасть на компьютер пользователя удаленно. Также с каждым годом возрастает функциональность вредоносных программ, что делает антивирус без своевременного обновления все более бесполезным.
Единой системы классификации вирусов, как и их именования (хотя такие попытки предпринимались, когда на дворе был 1191 год) нет. Приняты следующие методики разделения вирусов по:
- пораженным объектам;
- механизму заражения (относится только к файловым вирусам);
- используемым технологиям;
- операционным системам, которые будут заражены вредоносным кодом (и платформам в том числе);
- языкам, на которых автор написал вирус;
- дополнительным вредоносным возможностям.
Пользователь может заразить свой компьютер, перенеся на устройство уже пораженные «плохой» программой файлы и документы. Чаще всего «инфицирование» осуществляется по локальным и глобальным сетям (интернет). Занести рассматриваемое ПО на комп можно и посредством перехода на «ненадежный» веб-сайт. Он будет заражен по умолчанию, а при открытии такой страницы – загрузится на устройство в фоновом режиме. Именно поэтому при установке новой операционной системы нужно всегда обеспечивать на ней антивирус. И отключать его при работе в интернете не рекомендуется. Это поможет снизить вероятность вирусной атаки, независимо от его вида.
По способу заражения
Перед тем как обеспечивать безопасность компьютера, нужно знать, какими бывают «плохие» программы. С возможными классификациями ознакомиться уже удалось. Теперь необходимо рассмотреть каждый вариант отдельно.
Резидентные
Резидентные вирусы находятся в первичной памяти устройства (RAM). Они активируются при непосредственном включении компьютера. Поражают все файлы, запущенные на рабочем столе «на данным момент времени». Работа такой программы осуществляется непрерывно, до совершения работы среди, в которой она выполняется. С переходом на Windows проблема остаться в памяти почти потеряла свою актуальность: опасные приложения для этой ОС почти всегда резидентные. Резидентные программы встречаются преимущественно в виде файловых DOS-вирусов.
Резидентный вирус загружает свой модуль репликации в основную память. Это позволяет ему оставаться активным и заражать файлы даже если он не запущен непосредственно. Активируется автоматически при запуске ПК.
Разделяется на:
- Быстрые инфекторы. Программы, которые создаются для того, чтобы быстрее испортить как можно больше документов. Просты в обнаружении. Выдают себя путем изменения работы операционной системы.
- Медленные инфекторы. Они снижают производительность устройства, но делают это постепенно. Более распространенный вариант резидентных вирусов. Связано это с тем, что такое ПО может долгое время оставаться незамеченным.
Большинство антивирусов с легкостью справляются с поиском и удалением резидентных вирусных приложений. Также антивирусные системы могут иметь дополнительные плагины, которые можно загрузить на флеш-карту, после чего запустить модуль защиты без инициализации на другом устройстве.
Нерезидентные
В попытках классифицировать вирусы в компьютерах, специалисты пришли к мнению, что есть нерезидентное вредоносное ПО. Оно производит разовый поиск «жертв», после чего передает управление зараженному объекту. Они:
- активны непродолжительное время – только в момент запуска зараженной программы;
- для распространения ищут «здоровые» файлы, после чего записываются в них;
- почти не представляют опасности для пользователя.
Наиболее распространенный тип нерезидентного характера – это script virus. В случае заражения устройства подобными вредоносными программами часто проще удалить поврежденное ПО или его документы с диска полностью, чем использовать антивирусы. Это помогает предотвратить повторную загрузку пораженных файлов вирусом.
По степени воздействия
Вредоносные программы могут обладать различной степенью «опасности». Здесь выделяют следующие варианты:
- Безвредные. Вирусы в компьютере, которые никак не влияют на работу устройства. Они только уменьшают свободную память на диске. Их ключевая цель – непосредственное размножение. Если устройство заражается безвредным вирусом, обнаружение «заразы» может быть затруднено. Долгое время такие коды остаются незамеченными.
- Неопасные. Умеют уменьшать память – оперативную и на диске. Работе компьютера не мешают. Действия данной категории вредоносных программ проявляются в графических и звуковых эффектах.
- Опасные. Приводят к тем или иным нарушениям работы устройства. Иногда – к весьма серьезным сбоям.
- Очень опасные. Такие вредоносные программы могут привести к потере приложений, уничтожению данных, стиранию информации на жестком диске.
Последние вирусы весьма активны. Они умеют не просто повреждать данные и избавляться от них, а полностью разрушать операционную систему. Иногда являются достаточно сложными в обнаружении. В отдельных ситуациях могут поражать компьютер настолько серьезно, что пользоваться им уже будет невозможно.
По методу маскировки
Вирусы могут применять несколько видов шифрования. Для сокрытия вредоносных программ авторы используют различные концепции. При подобной классификации выделяют следующие виды вирусных приложений:
- Шифровальный. Такая программа использует простое шифрование со случайным ключом, а также неизменный шифратор. По сигнатуре последнего найти такое вредоносное ПО проще простого. Его обнаружит любой антивирус.
- Шифровальщик.
- Полиморфный. Использует метаморфный шифратор для шифрования основного тела вируса со случайными ключами. Часть информации, используемая для получения новых копий тоже может быть зашифрована.
Шифровальщики стоит рассмотреть более подробно. Они встречаются в 21 веке достаточно часто.
Вирус-шифровальщик
В основном такой вирус в компьютере появляется благодаря электронной почте. Он размещается в письме в виде вложения от незнакомца. Злоумышленники чаще стали маскировать такое ПО под имена известных банков или крупных организаций.
Обычно шифровальщики распространяют так, чтобы пользователь обратил на них внимание. По электронной почте присылают письмо с темой вроде «Акут проверки», «Обнаружена задолженность…» или «Налог просрочен». Написано может быть все, что угодно – лишь бы замотивировать пользователя открыть вложение.
После того, как жертва поведется на уловку, произойдет моментальный запуск вируса-шифровальщика. Он незаметно зашифрует всего документы. Обнаружить заражение можно по «внешнему виду» документов – знакомые значки превратятся в иконки файлов неизвестного типа. За расшифровку злоумышленники обычно требуют деньги, но даже их отправка – не гарант восстановления информации.
Зараженные файлы-вложения на деле чаще всего имеют форматы архивов:
- .7z;
- .zip;
- .rar.
Если на компьютере отключена опция отображения расширения файлов, получатель письма увидит лишь документы, вложенные в архив. Название у вирусного документа может быть любым – «Акт1.xls», «Файл.doc» и так далее. Сначала такие файлы выглядят весьма безобидно. И ничего не подозревающий пользователь сам попадется в ловушку.
Если включить отображение расширения документов, сразу станет понятно, что перед клиентом – исполняемый файл (программа) или скрипты. Опасными расширениями являются:
- exe;
- bat;
- cmd;
- wbs;
- hta.
Это – только начало. Современные злоумышленники стали сообразительнее. Они пересылают по электронной почте зараженные файлы MS Word. Внутри – не только текст, а еще и изображение, гиперссылка (на непонятный сайт в интернете). Возможно наличие встроенного OLE-объекта. В результате клика по соответствующим элементам или открытия файла формата .doc вирусные программы мгновенно заражают устройство.
Вирус-шифровальщик – один из самых популярных по сей день. Он получил широкое распространение в 2013 году. К 2016 году появилась информация о том, что соответствующие программы вышли на новый уровень. Если раньше они шифровали отдельные документы, то теперь вирусы «кодируют» таблицу MFT файловой системы. Это приводит к тому, что ОС не может обнаружить файлы на диске. Хранилище данных оказывается зашифрованным полностью. Называется такой шифровальщик Petya (Петя).
Среда обитания
Среда обитания – это системные области компьютера, операционные системы или приложения, в элементы которых внедряется вредоносное ПО. Они разделяются на:
- загрузочные вирусы;
- файловые;
- макро-вирусы;
- скрипты.
Раньше было распространено использование файлово-загрузочных вирусов – во время DOS. С массовым переходом на Windows и другие ОС соответствующие viruses утратили свою актуальность. Загрузочные вредоносные приложения тоже ушли в небытие.
Файловый тип
Для размножения тем или иным способом используют определенную файловую систему. Они:
- внедряются в исполняемые файлы разными методами (самый распространенный вариант);
- создают двойников;
- распространяют собственные копии в каталогах;
- используют разные особенности организации файловой системы (link-вирусы).
Если компьютер подключен к интернету, вирус файлового типа на него попадет с вероятностью 90%. Но это утверждение не распространяется на устройства, защищенные антивирусом.
Причиной появления вредоносного ПО на компьютере часто становятся файлы с расширениями EXE, HTML, PHP.
Загрузочные
Записываю себя в загрузочный сектор или сектор, в котором есть загрузчик винчестера. Такие программы могут поменять указатель на активный boot-сектор.
С переходом на 32-битные операционные системы утратил актуальность в связи с отказом от использования дискет в виде основного носителя информации. Загрузочные вирусы могут теоретически размещаться на дисках и флеш-картах, но пока что такие вариации не обнаружены.
Макровирус
Макровирусы – программы на макро-языках, содержащие код, позволяющий переносить вредоносное ПО из одного зараженного документа в другие. Предназначаются для:
- повреждения данных;
- форматирования жесткого диска;
- передачи управления более опасным вирусам;
- отправки документов;
- перемещения текста.
Это – популярный интернет-вирус, который попадает на комп через фишинговые электронные письма. В основном поражают MS Office.
Скрипты
Это – подгруппа файловых вирусов. Они написаны на скрипт-языках. Скрипт-вирус – программа, способная заражать документы других форматов. В основном записываются в другие скрипт-программы (командные и служебные). Включены в состав более сложных, многокомпонентных вирусных приложений.
Делятся на две группы:
- постоянные – могут выдавать себя за пользователя, приводят к серьезным последствиям (пример – важные скрытые сведения станут доступны злоумышленникам);
- непостоянные – атакуют пользователей незаметно, в фоновом режиме.
Вторая категория скрипт-вирусов может долгое время не проявлять себя. Ее в отличие от загрузочных вредоносных программ, бывает весьма проблематично обнаружить.
Способ заражения
На комп вирусы могут попасть различными способами. В этом плане тоже существует своя собственная классификация. Знать о ней должен каждый пользователь, чтобы безопасно работать в интернете и просто за компьютером.
Перезаписывающие
Самый простой метод записи на устройство: вирус внедряет свой код вместо кода исходного файла. Содержимое последнего уничтожается. Пораженный документ не восстанавливается, а также перестает работать.
Перезаписывающие вирусные программы обнаруживаются первыми – они приводят к тому, что отдельные документы и приложения перестают функционировать. Часто быстро становятся причиной выхода операционной системы из строя.
Паразитические
Что такое размножение компьютерных вирусов, понятно – это процесс их записи и создания клонов. Каждая вредоносная программа имеет свой собственный тип заражения. Вторая категория в соответствующей классификации – вирусы-паразиты.
Сюда относят все файловые вредоносные программы. Они при распространении своих копий изменяют содержимое документов. Это приводит к тому, что файлы становятся полностью или частично работоспособными.
Основные типы таких вирусов:
- записывающиеся в начало файлов;
- размещающие в середине документа;
- записывающиеся в конец.
Еще один вариант тут – это вирус без точки входа. Они не меняют адрес точки старта в заголовке исполняемых документов. Долгие годы такие вредоносные программы могут «спать» внутри файла, появляясь только при определенных, сильно ограниченных условиях.
Компаньоны
Вредоносная программа, способная не менять заражаемые документы. Алгоритм работы вирусов-компаньонов заключается в том, что в процессе работы коды создаются двойник. При запуске зараженного документа управление переходит к копии вируса, а не к непосредственному первичному источнику проблемы.
Ссылки
Link-вирусы не изменяют физическое содержимое документов. При запуске «инфицированного» принудительно заставляют операционную систему исполнить код. Подобный результат может быть достигнут за счет модификации тех или иных полей файловой системы.
Черви
Не связывают свое присутствие с выполняемыми документами на устройстве. Они «берут количеством»: копируют собственные коды в каталоги в надежде, что дубликаты когда-нибудь будут запущены клиентом. Иногда дают «специальные имена», чтобы заинтересовать пользователя. Пример – Install.exe иди winstart.bat.
Некоторые файловые черви могут записываться в архивы. Есть также сетевые черви. Они распространяются онлайн и поражают систему защиты устройства.
В исходных текстах
Задумываясь над тем, какие файлы заражают вирусы, нужно понимать – все зависит от типа вредоносного приложения. Есть ПО, заражающее:
- библиотеки компиляторов;
- модули объектов;
- исходные тексты программ.
Это наименее распространенная категория вредоносных программ. Они записывают код в формате модулей или библиотек. Файл не сможет распространять вредоносный код путем копирования. «Живой» вирус будет носить COM или EXE-документ, который будет получен путем линковки «инфицированного» компонента.
Распространение
Основная часть вирусов не использует сетевые сервисы для того, чтобы проникнуть на другие компьютеры. Копия попадает на удаленные устройства, если зараженный объект активируется. Примеры:
- Состоялось заражение доступных дисков, вследствие чего вирус поник в файлы, размещенные на сетевых ресурсах.
- Вирус скопировал себя на съемный носитель. Как вариант – заразил файлы на нем.
- Пользователь отослал письмо с «инфицированным» вложением.
Распространяются вредоносные программы по различным каналам. Сюда можно отнести:
- дискеты;
- электронная почта;
- накопители (компактные в том числе);
- мессенджеры;
- веб-страницы;
- локальные сети.
Самый популярный способ распространения вирусов – через Всемирную паутину. Именно поэтому нужно знать не только о том, какое вредоносное ПО существует, но и как грамотно защитить устройство.
Советы по обеспечению безопасности
Чтобы не пришлось задумываться, какие файлы заражают вирусы, а также как их «вылечить», рекомендуется соблюдать следующие правила работы за компьютером:
- Установить антивирус. Какой именно, каждый выбирает самостоятельно.
- Не отключать антивирус при установке приложений, работе в интернете. А еще необходимо своевременно обновлять его.
- Отказаться от запуска незнакомых файлов и программ. Документы из сомнительных источников тоже лучше не активировать.
- Не работать под привилегированными учетными записями (под именем администратора) без крайней надобности.
- Потенциально опасные функциональности системы (вроде сокрытия файлов и папок, их расширений) отключать.
- Отказаться от посещения подозрительных файлов. При работе в интернете – всегда обращать внимание на URL. Даже с виду знакомый адрес может оказаться проделкой злоумышленников.
- Пользоваться проверенными и легальными дистрибутивами. Нужно отказаться от пиратских приложений – они находятся в «группе риска».
- Своевременно и на регулярной основе выполнять резервное копирование данных. Стоит отдать предпочтение носителям, с которых невозможно стереть документы.
А еще не нужно устанавливать на одно устройство несколько систем защиты. Они будут гарантированно конфликтовать друг с другом.
Хотите освоить современную IT-специальность? Огромный выбор курсов по востребованным IT-направлениям есть в Otus!