Классификация
компьютерных вирусов
|
Компьютерные вирусы
(Computer viruses) - это программы или фрагменты программного
кода, которые, попав на компьютер, могут вопреки воле
пользователя выполнять различные операции на этом компьютере
- создавать или удалять объекты, модифицировать файлы
данных или программные файлы, осуществлять действия
по собственному распространению по локальным вычислительным
сетям или по сети Интернет. Модификация программных
файлов, файлов данных или загрузочных секторов дисков
таким образом, что последние сами становятся носителями
вирусного кода и в свою очередь могут осуществлять вышеперечисленные
операции, называется заражением (инфицированием) и является
важнейшей функцией компьютерных вирусов.
При именовании компьютерных вирусов компания "Доктор
Веб" использует следующие суффиксы:
"HLL.": High Level Language - компьютерные
вирусы, написанные на языках программирования высокого
уровня, таких как C, C++, Pascal, Basic и другие.
В некоторых случаях вирусный код компилированных HLL
- вирусов сжимают с использованием различных утилит
уплотнения (PKLITE, LZEXE, DIET и др). В группе HLL-вирусов
выделяют несколько классов:
-
"HLLC."
(High Level Language Companion) - компьютерный
вирус-компаньон, написанный на языке программирования
высокого уровня. Такой вирус использует алгоритм
инфицирования, который базируется на манипулировании
именами файлов в файловой системе. Обычно HLLC
- вирус переименовывает оригиналы исполняемых
файлов (или перемещает их в другие директории),
а затем использует названия оригинальных исполняемых
файлов для создания на их месте вирусной копии.
- "HLLO." (High Level Language
Overwriting) - перезаписывающий компьютерный вирус,
написанный на языке программирования высокого уровня.
HLLO - вирус перезаписывает данные файла-жертвы.
- "HLLP." (High Level Language
Parasitic) - паразитический компьютерный вирус,
написанный на языке программирования высокого уровня.
HLLP - компьютерный вирус поражает исполняемые файлы,
не повреждая оригинальные данные файла - жертвы.
- "HLLW." (High Level Language
Worm) - вирусная программа-червь, написанная на
языке программирования высокого уровня. Для распространения
эти вирусы не нуждаются в хост-файле, а копируют
себя в системные директории.
- "HLLM." (High Level Language
MassMailing Worm) - вирусные программы-черви массовой
рассылки, написанные на языке программирования высокого
уровня.
Макро-вирусы для MS Office.
Эти вирусы используют особенности форматов
файлов и встроенные макро-языки приложений MS Office
(Word Basic для MS Word 6.0-7.0; VBA3 для MS Excel 5.0-7.0;
VBA5 для MS Office'97; VBA6 для MS Office'2000):
- "WM." - инфицированию подвергаются
документы и шаблоны MS Word 6.0-7.0;
- "XM." - инфицированию подвергаются
документы MS Excel 5.0-7.0 ;
- "W97M." - инфицированию подвергаются
документы и шаблоны MS Word 8.0-9.0 (MS Office'97/2000);
- "X97M." - инфицированию подвергаются
документы MS Excel 8.0-9.0 (MS Office'97/2000) ;
- "A97M." - инфицированию подвергаются
базы данных MS Access'97/2000;
- "O97M." - мультиплатформенные
макро-вирусы, инфицированию которыми подвергаются
одновременно несколько приложений MS Office.
Троянские кони:
- "Trojan." - общее название для различных
Троянских коней (Троянцев) :
- "PWS." - Троянский конь, который ворует
пароли. Как правило, префикс такой вирусной программы
дополняется словом "Trojan." - "Trojan.PWS."
- "Backdoor." - вирусная троянская программа,
которая содержит в себе RAT-функцию (RAT - Remote
Administration Tool - утилита удаленного администрирования).
Скрипт-вирусы. Такие компьютерные
вирусы пишутся на различных языках сценариев. Как правило,
это VBS-, JS- и WScript- вирусные программы-черви, которые
распространяются через электронную почту:
- "VBS." - компьютерные вирусы, написанные
на языке Visual Basic Script;
- "JS." - компьютерные вирусы, написанные
на языке Java Script language;
- "WScript." - VBS- и/или JS- черви обычно
встроены в HTML-файлы.
- "BAT." - компьютерные вирусы, написанные
на языке командного интерпретатора MS-DOS
Вирусы поражающие различные операционные
системы:
- "Win." - поражает 16 битовые исполняемые
программы (NE) в операционной системе Windows NE
- NewExe - формат исполняемых файлов операционной
системы Windows 3.xx . Некоторые из этих компьютерных
вирусов могут работать не только в среде Windows'3.xx
но также и в Win'95/98/NT.
- "Win95." - поражает 32 битовые исполняемые
программы (PE и LE(VxD) операционной системы Windows
и только в среде Windows 95/98
- "WinNT." - поражает 32 битовые исполняемые
программы (PE) операционной системы Windows и действуют
только в среде Windows NT;
- "Win32." - поражает 32 битовые исполняемые
программы (PE) операционной системы Windows и действуют
в различных средах - Windows 95/98/NT;
- "OS2." - поражают исполняемые программы
(LX) операционной системы OS/2 и действуют только
в среде OS/2;
- "Linux." - поражают исполняемые программы
операционной системы Linux и действуют только в
среде Linux;
- "Java." - вирусы написанные на языке программирования
Java;
Silly-вирусы. Вирусы, которые
не обладают никакими особенными характеристиками (такими
как текстовые строки, специальные эффекты и т.д.)
вследствие чего нет возможности присвоить таким вирусам
особенные названия.
- "SillyC." - не резидентные в памяти
компьютерные вирусы, объектами поражения которых
являются только COM-файлы;
- "SillyE." - не резидентные в памяти
компьютерные вирусы, объектами поражения которых
являются только EXE-файлы;
- "SillyCE." - не резидентные в памяти
компьютерные вирусы, объектами поражения которых
являются только COM- и EXE-файлы;
- "SillyRC." - резидентные в памяти компьютерные
вирусы, объектами поражения которых являются только
COM-файлы;
- "SillyRE." - резидентные в памяти компьютерные
вирусы, объектами поражения которых являются только
EXE-файлы;
- "SillyRCE." - резидентные в памяти
компьютерные вирусы, объектами поражения которых
являются только COM- и EXE-файлы;
- "SillyO." -не резидентные в памяти
компьютерные вирусы, которые перезаписывают файлы;
- "SillyOR." - резидентные в памяти компьютерные
вирусы, которые перезаписывают файлы.
Другие :
- "IRC." - вирусные программы-черви,
которые распространяются, используя среду Internet
Relayed Chat channels.
Также при именовании вирусов компания "Доктор Веб"
использует следующие суффиксы:
- ".generator" - так называемый «Вирусный
конструктор»
- ".based" - этот суффикс означает, что
вирус был сгенерирован специальной программой
«Вирусный конструктор» или что компьютерный вирус
был создан как модификация какого-то "basic" вирусного
кода
- ".dropper" - общее название для «инсталлятора»
компьютерного вируса. Не является сам вирусом.
При запуске производит вирус и инсталлирует его
в операционную систему (в исполняемый файл, документ,
загрузочный сектор и т.д.)
|