Алгоритми роботи вірусів
Розглядаючи комп’ютерні віруси і боротьбу з ними, окремо варто сказати кілька слів про те, які саме принципи роботи використовують сучасні загрози. Серед загальних ознак, за якими проводиться класифікація в цьому напрямку, зазвичай виділяють такі:
- резидентність;
- наявність або відсутність стелс-маскування;
- самошифрування;
- поліморфізм;
- застосування нестандартних прийомів.
Зрозуміти поділ вірусів за резидентному ознакою дуже просто. На відміну від нерезидентного вірусу, резидентний загроза при впливі на систему як би залишає частину виконуваного коду безпосередньо в оперативній пам’яті, то є якась її частина постійно присутня у вигляді завантажуваних і виконуваних в ОЗП компонентів. За великим рахунком, ті ж макровіруси в певному сенсі теж можна назвати резидентними, але вони активні лише в період роботи певного редактора, в якому відбувається відкриття зіставлених йому документів.
Технології стелс, думається, пояснювати не потрібно. Стосовно до вірусів це та ж сама маскування, призначена для того, щоб сховатися в системі, підміняючи себе іншими об’єктами у вигляді нібито незаражених ділянок інформації. Дуже часто це проявляється ще й у перехоплення запитів операційної системи на читання, запис і перезапис заражених об’єктів. Наприклад, ті ж макровіруси використовують популярну методику встановлення заборон на відключення макросів або на виклик меню їх перегляду.
Певною мірою самошифрування, прямо пов’язане з поліморфізмом, теж можна віднести до маскувальним атрибутів, тільки застосовувана методика полягає в тому, щоб максимально ускладнити розпізнавання загрози захисними засобами за рахунок шифрування тіла оригінального шкідливого коду з створенням його поліморфної (модифікованої) копії таким чином, що всі наступні клони можуть бути абсолютно несхожі на вихідний об’єкт.
До нестандартних методів можна віднести дещо відмінні від загальноприйнятих принципи максимально глибокого проникнення в ядро системи з метою утруднення їх детекції. Особливо яскравими прикладами можна назвати відому загрозу «ЗАРАЗА» і деякі різновиди вірусу «ТРУО».
