Читаем Кибероружие и кибербезопасность. О сложных вещах простыми словами полностью

Принцип их действия очень прост — вирус записывает себя в DOT-файл, в котором содержатся все глобальные макросы, часть из которых он подменяет собой. После этого все файлы, сохраненные в этой программе, будут содержать макровирус. При этом он может выполнять множество различных деструктивных действий — вплоть до удаления всех документов или изменения их содержаний.

Макровирусы поражают документы, выполненные в некоторых прикладных программах, имеющих средства для исполнения макрокоманд. К таким документам относятся файлы, созданные с помощью пакета программ Microsoft Office, который поддерживает создание макросов на языке программирования Visual Basic for Application. Весьма полезно перед открытием незнакомого файла, созданного в таких программах, как Word или Excel, удостовериться, что поддержка макросов отключена (Сервис — Параметры — Безопасность макросов). Либо, для версии Microsoft Word 2010, в разделе «Безопасность программы» проверьте, включен ли режим защищенного просмотра файлов и предотвращения выполнения данных.

Однако, можно сказать, что современный вирус зачастую можно отнести сразу к нескольким группам вирусов. Такими сочетаниями являются, например, файловые загрузочные вирусы или файловые сетевые черви. Пример последнего: сетевой макро-вирус, который не только заражает документы, созданные в программах Word или Excel, но и рассылает свои копии по электронной почте.

Сетевые вирусы. Главной особенностью этих вирусов является возможность работы с различными сетевыми протоколами. Это значит, что они могут различными путями записывать свой код на удаленном компьютере. Наибольшее распространение получили так называемые интернет-черви. Эти вирусы чаще всего используют для своей работы электронную почту, «прицепляясь» к письму. При этом на новом компьютере они либо автоматически выполняются, либо различными способами подталкивают пользователя к своему запуску.

Сетевые вирусы, которые ещё называют сетевыми червями, имеют своим основным местом «проживания» и функционирования локальную сеть. Сетевой вирус, попадая на компьютер пользователя, самостоятельно копирует себя и распространяется по другим компьютерам, входящим в сеть. Они используют для своего распространения электронную почту, системы обмена мгновенными сообщениями (например, ICQ), сети обмена данными, а также недостатки в конфигурации сети и ошибки в работе сетевых протоколов.

Еще одним классификационным признаком является вид операционной системы, так как любой вирус ориентирован на заражение файлов или выполнение несанкционированных действий в определенной операционной системе.

По алгоритмам работы выделяют резидентные вирусы и вирусы, использующие стелс-алгоритмы или полиморфичность.

По «особенностям алгоритмов» вирусы сложно четко классифицировать из-за их большого разнообразия, но специалисты по компьютерной безопасности обычно используют следующие основные градации (термины).

Простейшие вирусы — так называемые паразитические, они изменяют содержимое файлов и секторов диска и могут быть достаточно легко обнаружены и уничтожены. Здесь можно отметить их основную разновидность — вирусы-репликаторы, называемые червями, которые мгновенно распространяются по компьютерным сетям по команде злоумышленника, безошибочно вычисляют адреса сетевых компьютеров и записывают по этим адресам свои копии.

Стелс-вирусы (stealth — невидимка). Это вирусы, которые умеют очень хорошо скрывать свое присутствие в атакуемой системе. Обнаружить их очень сложно, поскольку стелс-вирусы используют различные способы обеспечения «невидимости». Наиболее распространен следующий вариант: атакующий вирус состоит из двух частей. Одна из которых резидентная (постоянная) и постоянно находится в памяти компьютера. В этом случае если атакуемая операционная система обращается к зараженному файлу, то этот условный «резидент» перехватывает это обращение и просто удаляет из файла код вируса. Таким образом, приложение оказывается «чистым». Но после того как это конкретное приложение завершает свою работу, «резидент» снова «заражает» его.

Применение стелс-алгоритмов базируется на перехвате запросов ОС на чтение или запись зараженных объектов. При этом происходит временное лечение этих объектов, либо замена их незаряженными участками информации. Это позволяет вирусам скрыть себя в системе.

Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.