Компьютерный вирус представляет собой самовоспроизводящуюся программу, которая способна внедрять свои копии в файлы, системные области, вычислительные сети и т.д. и приводить к нарушению нормального функционирования компьютера. Копии вирусной программы также сохраняют способность дальнейшего распространения.
Вирусы принято классифицировать по следующим признакам:
По среде обитания вирусы разделяют на файловые, загрузочные, сетевые и файлово-загрузочные.
1) Файловые вирусы внедряются в файлы, чаще всего выполняемые, или файлы документов текстовых процессоров и рабочих книг табличных процессоров.
2) Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор системного загрузчика жесткого диска.
3) Сетевые вирусы распространяются по компьютерной сети.
4) Существуют также файлово-загрузочные вирусы, которые заражают файлы и загрузочные секторы.
Способ заражения среды обитания зависит от самой среды. В частности, тело файлового вируса может при заражении размещаться в конце, начале, середине или хвостовой (свободной) части последнего кластера файла. Наиболее просто реализуется внедрение вируса в конец файла типа соm. Наиболее сложна имплантация вируса в середине файла, поскольку для этого должна быть известна структура заражаемого файла, чтобы можно было внедриться, к примеру, в область стека. При внедрении загрузочного вируса (ввиду малых размеров среды обитания) используется размещение головы тела вместо загрузочного сектора диска или сектора системного загрузчика, а хвост вируса и следующий за ним загрузочный сектор размещаются в других кластерах или секторах.
По способу активации вирусы подразделяют на резидентные, нерезидентные.
1) Резидентные вирусы при заражении оставляют в оперативной памяти резидентную часть, которая затем перехватывает обращения операционной системы к объектам заражения (файлам, загрузочным секторам и т.п.), и внедряется в них. Резидентные вирусы сохраняют свою активность вплоть до выключения или перезагрузки компьютера.
2) Нерезидентные вирусы являются активными ограниченное время и активизируются в определенные моменты, например, при запуске зараженных выполняемых программ или при обработке документов текстовым процессором. Некоторые нерезидентные вирусы оставляют в оперативной памяти небольшие резидентные программы.
По деструктивным возможностям вирусы разделяют на безвредные, неопасные, опасные, очень опасные.
1) Безвредные вирусы проявляются только в том, что уменьшают объем памяти на диске в результате своего распространения.
2) Неопасные вирусы, кроме отмеченного проявления, порождают графические, звуковые и другие эффекты.
3) Опасные вирусы могут привести к нарушениям нормальной работы компьютера, например к зависанию, или к неправильной печати документа.
4) Очень опасные вирусы могут привести к уничтожению программ и данных, стиранию информации в системных областях памяти и даже приводить к выходу из строя движущихся частей жесткого диска при вводе в резонанс.
По особенностям алгоритмов различают: вирусы-спутники, вирусы-черви, паразитические вирусы, студенческие вирусы, стелс-вирусы, вирусы-призраки.
1) Вирусы-спутники файлы не изменяют, а для выполнимых программ (ехе), создают одноименные программы типа (com), которые при выполнении исходной программы запускаются первыми, а затем передают управление исходной выполняемой программе.
2) Вирусы-черви распространяются в компьютерных сетях, вычисляют адреса сетевых компьютеров и создают там свои копии.
3) Паразитические вирусы при распространении меняют содержимое дисковых секторов и файлов и, как следствие, легко обнаруживаются.
4) Студенческие вирусы представляют собой простейшие легко обнаруживаемые вирусы.
5) Стелс-вирусы (название происходит от STEALTH – названия проекта создания самолетов-невидимок) перехватывают обращение операционной системы к пораженным файлам и секторам дисков и подставляют незараженные участки диска, затрудняя тем самым их обнаружение.
6) Вирусы-призраки представляют собой трудно обнаруживаемые вирусы, которые имеют зашифрованное с помощью алгоритмов шифровки-расшифровки тело вируса, благодаря чему две копии одного вируса не имеют одинаковых участков кода (сигнатур).