9.2. Класифікація комп'ютерних вірусів інформаційних систем

В залежності від механізмів впровадження і впливу на систему віруси поділяють на три основні групи.

До першої групи відносяться віруси, що впроваджуються в програму початкового завантаження ОС, яка зберігається в стартовому секторі системного диску. При запуску ОС віруси цієї групи перехоплюють управління і контролюють систему під час всього сеансу роботи. Виконуючи функцію розмноження, вони звичайно записуються в резервний нульовий сектор на всі дискети, що вставляються в комп'ютер, і якщо в подальшому одна з цих дискет використовується в якості системної на іншому комп'ютері, то він також заражається вірусом.

До цієї групи відноситься один з найбільш розповсюджених вірусів (біля 15% загальної кількості виявлених заражень), розроблений в Пакистані в 1986 році, що отримав назву, “PAKISTANI BRAIN”. Цей вірус повністю замінює вміст стартового сектора і використовує 6 додаткових секторів, що відзначає в FAT диску як дефектні. Заражені дискети одержують нове ім'я COPYRIGHT @ BRAIN. Наслідками зараження цим вірусом можуть бути: уповільнена завантаження ОС, часті збої в системі, часткова втрата даних.

Біля 5% заражень, що виявляються, падає на “ALAMEDA VIRUS”, який також відноситься до цієї групи. Цей вірус заміщає вміст стартового сектора, переписуючи оригінал, що зберігався в ньому, в перший вільний сектор на диску. Механізм і наслідки зараження цим вірусом ті ж, що і в випадку “PAKISTANI BRAIN”.

Для очистки заражених дисків від вірусів цієї групи звичайно буває достатнім, користуючись командою SYS, ще раз скопіювати на заражені диски системні модулі MS DOS.

До другої групи відносяться віруси, що впроваджуються в модулі ОС і, зокрема, в програми-драйвери приладів вводу-виводу. Наслідками зараження вірусами цієї групи можуть бути часті збої в роботі системи, невірне виконання команд, в тому числі команд вводу-виводу даних, часткова або повна втрата даних.

До вірусів цієї групи відносяться “LEHIGH” (6-7% в загальній кількості заражень, що виявляються), який впроваджується в файл COMMAND. COM і збільшує його розмір приблизно на 20 байт, а також змінює дату і час створення цього файлу. Ці признаки можуть бути використані для відкриття вірусу - стежте за розміром файлу COMMAND.COM. Вірус активізується після 4 циклів зараження, наслідки важкі - втрата усіх даних системи. Короткий період вегетації ускладнює вчасне розпізнавання.

Як і в першому випадку, для вилучення вірусів 2 групи звичайно буває достатньо шляхом команди SYS ще раз записати на системний диск файл COMMAND. COM.

Віруси третьої групи можуть впровадитися в будь-яку прикладну програму (звичайно в її кінець або на вільне місце всередині). При виклику зараженої програми вірус, отримавши управління, переглядає диски комп'ютера, відшукує на них файли типу EXE, COM, BAT виконувані модулі - та впроваджується в них. На цьому етапі вірус може себе виявити високою частотою звернення до дискових приладів, не відповідним функціям викликаної для виконання програми.

До цієї групи відноситься один з найбільш розповсюджених вірусів “ISRAELI VIRUS” (біля 10% виявлень). “ISRAELI VIRUS” поражає програми типів CОM і EXE. Укорінюючись в них, вірус збільшує їхній розмір на 1813 байт (інколи, посилаючись на віруси цієї групи, їм дають відповідні назви: вірус-1813, вірус-1704 і т.д.). В первісному варіанті вірус не відрізняв заражену програму від незараженої, тому кількість приросту обсягу заражених програм звичайно відповідала числу їхніх викликів. Зі збільшенням обсягу виконання зараженої програми уповільнювалося і в кінці кінців ставало неможливим із-за занадто великого обсягу. Ці властивості заражених програм дозволяли достатньо легко встановлювати факт і приблизно дату зараження. Сучасні версії вірусу не мають цього недоліку і тому більш небезпечні. Атака вірусу починається 13-го числа, що приходиться на п'ятницю. Зрозуміло, що невтомні хаккери можуть легко змінити цю умову і породити безліч інших модифікацій вірусу. Наслідками вірусної атаки є часткова або повна втрата програм і даних на дисках комп'ютерів інформаційної системи.

Гарантована очистка системи від вірусів 3 групи звичайно припускає попереднє копіювання файлів даних з дисків з метою зберегти їх, переформатування дисків і наступне відновлення на них програм, що зберігалися та даних з дисків-оригіналів і дисків-копій.