Системные вирусы - чума компьютерного века. Что такое компьютерный вирус? Виды компьютерных вирусов

Чтобы понять, как удалить системный вирус , следует помнить, что самый распространенный отказ – это фатальная ошибка. Когда система не допускает вмешательство извне, установить причину, вызвавшую отказ, невозможно.

• Первая: в программном коде вируса допущена ошибка.
• Вторая: несовместимость вируса с системой либо с установленным на ПК сторонним программным обеспечением.
• Третья: преднамеренная аварийная ситуация, запланированная для вывода ПК из строя.

Другими словами, программа-вирус умышленно запрограммирована для полной парализации компьютерной системы. Ввиду этого, удаление системного вируса, вероятно, произойдет вместе с полной переустановкой операционной системы.

На данный момент для операционных систем семейства Windows существуют целая группа вирусов, которая автоматически прописывается в автозагрузку. Узнать среди запущенных системой файлов конкретный вирус не так-то просто - название вражеского объекта является двойником настоящего файла.

Ручное удаление файлов вирусов

1. Не каждый пользователь может распознать среди запущенных файлов опасное приложение, даже если на вашем компьютере есть антивирусное программное обеспечение. Почему так происходит? Практически изо дня в день в свет выходят новые версии вирусов, и они хотят максимально приблизиться к системным файлам на вашем жестком диске. Все, что они делают - создают файл с похожим названием и размещают там заветное приложение. Иногда это приложение прописывается в автозагрузку, и после этого пользователя ждут проблемы разного рода.

2. Как можно узнать о присутствии системного вируса? Некоторые программы у вас не буду запускаться, вас автоматически будет «выбивать» из профилей в социальных сетях и т.д. Поэтому в первую очередь вам необходимо проверить список автозагрузки. Для этого нажмите сочетание клавиш Win + R, в открывшемся окне введите команду msconfig и нажмите клавишу Enter.

3. Перейдите к вкладке «Автозагрузка» и просмотрите все файлы, которые загружаются из системных папок, например, Windows. Довольно часто встречаются случаи, когда в этом списке появляется файл с названием sv*chost.exe. Вместо знака «*» может быть любая буква (как и ее отсутствие). Таким образом, пользователи путают оригинальный системный файл svchost.exe с его вредоносными копиями. Больше всего удручает отношение большинства антивирусных приложений - при нахождении такого файла они засчитывают его за системный и пропускают.

4. Снимите отметку с пункта этого файла, нажмите кнопки «Применить» и «Перезагрузить сейчас». При загрузке данный файл уже не будет задействован, но все-таки следует его проверить на «вшивость». Откройте браузер и перейдите по следующей ссылке http://www.virustotal.com/index . html . Нажмите кнопку «Обзор» и укажите место расположения зараженного файла, затем нажмите кнопку Send. Спустя некоторое время вы увидите список результатов проверки данного файла популярными программами антивирусной защиты.

5. Если среди результатов есть строки красного цвета, следовательно, было обнаружено присутствие вируса. Удалите файл с жесткого диска минуя корзину, нажав клавиши Shift + Enter. Также рекомендуется иметь в наличии специальные диски, которыми проверяют зараженные объекты.

Бытовые вирусы сектора начальной загрузки. Программы, записывающиеся в хвост программы начальной загрузки диска С: либо замещающие её, выполняя с момента заражения и её, и свои функции. Эти вирусы попадают на машину при загрузке с инфицированной дискеты. Когда считывается и запускается программа начальной загрузки, вирус загружается в память и инфицирует всё, для чего он “предназначен”.

Бутовые вирусы главной загрузочной записи. Инфицируют главную загрузочную запись системы (Master Boot Record) на жестких дисках и сектор начальной загрузки на дискетах. Этот тип вируса берет контроль над системой на самом низком уровне, перехватывая инструкции между аппаратными средствами компьютера и операционной системой.

• · Макровирусы: в некоторых компьютерных программах используются макроязыки, которые позволяют автоматизировать часто выполняемые процедуры. Поскольку компьютеры стали более мощными, решаемые задачи усложняются. Некоторые макроязыки дают возможность записывать файлы форматов, отличных от оригинального документа. Эта особенность может использоваться авторами вирусов для создания макрокоманд, которые инфицируют документы. Макровирусы обычно распространяются через файлы Microsoft Word и Excel.
• · Комбинированные вирусы: вирусы, проявляющие комбинацию перечисленных выше свойств. Они могут инфицировать и файлы, и сектора начальной загрузки, и главные загрузочные записи.
• · Файловые вирусы: рассмотрим теперь схему работы простого файлового вируса. В отличие от загрузочных вирусов, которые практически всегда резидентны, файловые вирусы совсем не обязательно резидентны. Рассмотрим схему функционирования нерезидентного файлового вируса. Пусть у нас имеется инфицированный исполняемый файл. При запуске такого файла вирус получает управление, производит некоторые действия и передает управление «хозяину»

Какие же действия выполняет вирус? Он ищет новый объект для заражения - подходящий по типу файл, который еще не заражен. Заражая файл, вирус внедряется в его код, чтобы получить управление при запуске этого файла. Кроме своей основной функции - размножения, вирус вполне может сделать что-нибудь замысловатое (сказать, спросить, сыграть) - это уже зависит от фантазии автора вируса. Если файловый вирус резидентный, то он установится в память и получит возможность заражать файлы и проявлять прочие способности не только во время работы зараженного файла. Заражая исполняемый файл, вирус всегда изменяет его код - следовательно, заражение исполняемого файла всегда можно обнаружить. Но, изменяя код файла, вирус не обязательно вносит другие изменения:

• · он не обязан менять длину файла
• · неиспользуемые участки кода
• · не обязан менять начало файла

Наконец, к файловым вирусам часто относят вирусы, которые «имеют некоторое отношение к файлам», но не обязаны внедряться в их код.

Таким образом, при запуске любого файла вирус получает управление (операционная система запускает его сама), резидентно устанавливается в память и передает управление вызванному файлу.

• · Загрузочно-файловые вирусы: мы не станем рассматривать модель загрузочно-файлового вируса, ибо никакой новой информации вы при этом не узнаете. Но здесь представляется удобный случай кратко обсудить крайне «популярный» в последнее время загрузочно-файловый вирус OneHalf, заражающий главный загрузочный сектор (MBR) и исполняемые файлы. Основное разрушительное действие - шифрование секторов винчестера. При каждом запуске вирус шифрует очередную порцию секторов, а, зашифровав половину жесткого диска, радостно сообщает об этом. Основная проблема при лечении данного вируса состоит в том, что недостаточно просто удалить вирус из MBR и файлов, надо расшифровать зашифрованную им информацию.
• · Полиморфные вирусы: Большинство вопросов связано с термином «полиморфный вирус». Этот вид компьютерных вирусов представляется на сегодняшний день наиболее опасным. Объясним же, что это такое.

Полиморфные вирусы - вирусы, модифицирующие свой код в зараженных программах таким образом, что два экземпляра одного и того же вируса могут не совпадать ни в одном бите.

Такие вирусы не только шифруют свой код, используя различные пути шифрования, но и содержат код генерации шифровщика и расшифровщика, что отличает их от обычных шифровальных вирусов, которые также могут шифровать участки своего кода, но имеют при этом постоянный код шифровальщика и расшифровщика.

Полиморфные вирусы - это вирусы с самомодифицирующимися расшифровщиками. Цель такого шифрования: имея зараженный и оригинальный файлы, вы все равно не сможете проанализировать его код с помощью обычного дизассемблирования. Этот код зашифрован и представляет собой бессмысленный набор команд. Расшифровка производится самим вирусом уже непосредственно во время выполнения. При этом возможны варианты: он может расшифровать себя всего сразу, а может выполнить такую расшифровку «по ходу дела», может вновь шифровать уже отработавшие участки. Все это делается ради затруднения анализа кода вируса.

· Стелс-вирусы: В ходе проверки компьютера антивирусные программы считывают данные - файлы и системные области с жестких дисков и дискет, пользуясь средствами операционной системы и базовой системы ввода/вывода BIOS. Ряд вирусов, после запуска оставляют в оперативной памяти компьютера специальные модули, перехватывающие обращение программ к дисковой подсистеме компьютера. Если такой модуль обнаруживает, что программа пытается прочитать зараженный файл или системную область диска, он на ходу подменяет читаемые данные, как будто вируса на диске нет.

Стелс-вирусы обманывают антивирусные программы и в результате остаются незамеченными. Тем не менее, существует простой способ отключить механизм маскировки стелс-вирусов. Достаточно загрузить компьютер с не зараженной системной дискеты и сразу, не запуская других программ с диска компьютера (которые также могут оказаться зараженными), проверить компьютер антивирусной программой.

При загрузке с системной дискеты вирус не может получить управление и установить в оперативной памяти резидентный модуль, реализующий стелс-механизм. Антивирусная программа сможет прочитать информацию, действительно записанную на диске, и легко обнаружит вирус.

· Троянские кони, программные закладки и сетевые черви: Троянский конь (см. приложение 2 рис. 2) - это программа, содержащая в себе некоторую разрушающую функцию, которая активизируется при наступлении некоторого условия срабатывания. Обычно такие программы маскируются под какие-нибудь полезные утилиты. Вирусы могут нести в себе троянских коней или "троянизировать" другие программы - вносить в них разрушающие функции.

«Троянские кони» представляют собой программы, реализующие помимо функций, описанных в документации, и некоторые другие функции, связанные с нарушением безопасности и деструктивными действиями. Отмечены случаи создания таких программ с целью облегчения распространения вирусов. Списки таких программ широко публикуются в зарубежной печати. Обычно они маскируются под игровые или развлекательные программы и наносят вред под красивые картинки или музыку.

· Программные закладки также содержат некоторую функцию, наносящую ущерб ВС, но эта функция, наоборот, старается быть как можно незаметнее, т.к. чем дольше программа не будет вызывать подозрений, тем дольше закладка сможет работать.

Если вирусы и «троянские кони» наносят ущерб посредством лавинообразного саморазмножения или явного разрушения, то основная функция вирусов типа «червь», действующих в компьютерных сетях, - взлом атакуемой системы, т.е. преодоление защиты с целью нарушения безопасности и целостности.

В более 80% компьютерных преступлений, расследуемых ФБР, "взломщики" проникают в атакуемую систему через глобальную сеть Internet. Когда такая попытка удается, будущее компании, на создание которой ушли годы, может быть поставлено под угрозу за какие-то секунды.

Этот процесс может быть автоматизирован с помощью вируса, называемого сетевой червь.

· Червями называют вирусы, которые распространяются по глобальным сетям, поражая целые системы, а не отдельные программы. Это самый опасный вид вирусов, так как объектами нападения в этом случае становятся информационные системы государственного масштаба. С появлением глобальной сети Internet этот вид нарушения безопасности представляет наибольшую угрозу, т. к. ему в любой момент может подвергнуться любой из 40 миллионов компьютеров, подключенных к этой сети.

Компьютерный вирус - это специально написанная, как прави­ло, на языке программирования низкого уровня, небольшая по разме­рам программа, которая может «приписывать» себя к другим про­граммам и выполнять различные нежелательные для пользователя действия на компьютере.

Жизненный цикл вируса Жизненный цикл вируса включает четыре основных этапа:

• внедрение;
• инкубационный период (прежде всего для скрытия источника проникновения);
• репродуцирование (саморазмножение);
• деструкция (искажение и/или уничтожение информации).

Заметим, что использование медицинской (вирусологической) терминологии связано с тем, что по характеру жизнедеятельности и проявлениям программы-вирусы сходны с настоящими (живыми) вирусами. В этой связи естественным является применение той же терминологии и для способов и средств борьбы с компьютерными вирусами: «антивирус», «карантин», «вакцина », «фаг» и т.п., о чем более подробно будет сказано далее.

Следует различать две основные фазы, выполняемые компьютерным вирусом: его размножение и проявление . Размножение обычно является первым и обязательным действием вируса при получении им управления. Фаза проявления, на которой выполняются несанкционированные действия, может начинаться через определенный период или при сочетании некоторых условий, например при наступлении определенной даты. Нежелательные и вредные действия фазы проявления включают в себя визуальные или звуковые эффекты, повреждения файловой системы (стирание файлов, разрушение каталогов, форматирование диска, шифрование данных на диске).

К признакам вируса можно отнести:

1. замедление работы ПК
2. не возможность загрузки ОС
3. частые «зависания» и сбои в работе ПК
4. прекращение работы или неправильная работа ранее успешно функционировавших программ
5. увеличение количества файлов на диске
6. изменение размеров файлов
7. периодическое появление на экране монитора неуместных
8. системных сообщений
9. уменьшение объема свободной оперативной памяти
10. заметное возрастание времени доступа к жесткому диску
11. изменение даты и времени создания файлов
12. разрушение файловой структуры
13. загорание сигнальной лампочки дисковода, когда к нему
14. нет обращения.

Основные виды вирусов

В настоящее время известно более 5000 программных вирусов, их можно классифицировать по следующим признакам (рис. 1):

• среде обитания;
• способу заражения среды обитания;
• воздействию;
• особенностям алгоритма.

Рис. 1. Классификация компьютерных вирусов:

В зависимости от среды обитания вирусов классифицируется на загрузочные, файловые, системные, сетевые, файлово-загрузочные.

Загрузочные вирусы – внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

Файловые вирусы – внедряются в основном в исполняемые файлы с расширением.com и.exe.

Системные вирусы – проникают в системные модули и драйверы периферийных устройств, программы - интерпретаторы.

Сетевые вирусы обитают в компьютерных сетях, файлово – загрузочные поражают загрузочные сектора дисков и файлы прикладных программ.

Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая за тем при каждом обращении к ОС и другим объектам внедряется в них и выполняет свои разрушительные действия до выключения или перезагрузки компьютера.

В компьютерных сетях распространены «программы – черви». Они вычисляют адреса сетевых компьютеров и « записываются по ним», поддерживая между собой связь. В случае прекращения существования «червя», на каком – либо ПК оставшемся отыскивают свободный компьютер и внедряют в него такую же программу.

«Троянский конь» - маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь не догадывается (собирает информацию об именах и паролях, записывая в специальные файл, доступный лишь создателя вируса).

«Логическая бомба» – встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого ее логический механизм начинает действовать.

Например, такая вирусная программа начинает работать после некоторого числа запусков прикладной программы.

«Программы – мутанты», самовоспроизводятся, воссоздают копии, которые отличаются от оригинала.

КОМПЬЮТЕРНЫЕ ВИРУСЫ, ИХ КЛАССИФИКАЦИЯ. АНТИВИРУСНЫЕ ПРОГРАММНЫЕ СРЕДСТВА

Компьютерный вирус - это специальная программа, Способная самопроизвольно присоединяться к другим программам и при запуске последних выполнять различные нежелательные действия: порчу файлов и каталогов; искажение результатов вычислений; засорение или стирание памяти; создание помех в работе компьютера. Наличие вирусов проявляется в разных ситуациях.

1. Некоторые программы перестают работать или начинают работать некорректно.
2. На экран выводятся посторонние сообщения, сигналы и другие эффекты.
3. Работа компьютера существенно замедляется.
4. Структура некоторых файлов оказывается испорченной.

Имеются несколько признаков классификации существующих вирусов:

• по среде обитания;
• по области поражения;
• по особенности алгоритма;
• по способу заражения;
• по деструктивным возможностям.

По среде обитания различают файловые, загрузочные, макро- и сетевые вирусы.

Файловые вирусы - наиболее распространенный тип вирусов. Эти вирусы внедряются в выполняемые файлы, создают файлы-спутники (companion-вирусы) или используют особенности организации файловой системы (link-вирусы).

Загрузочные вирусы записывают себя в загрузочный сектор диска или в сектор системного загрузчика жесткого диска. Начинают работу при загрузке компьютера и обычно становятся резидентными.

Макровирусы заражают файлы широко используемых пакетов обработки данных. Эти вирусы представляют собой программы, написанные на встроенных в эти пакеты языках программирования. Наибольшее распространение получили макровирусы для приложений Microsoft Office.

Сетевые вирусы используют для своего распространения протоколы или команды компьютерных сетей и электронной почты. Основным принципом работы сетевого вируса является возможность самостоятельно передать свой код на удаленный сервер или рабочую станцию. Полноценные компьютерные вирусы при этом обладают возможностью запустить на удаленном компьютере свой код на выполнение.

На практике существуют разнообразные сочетания вирусов - например, файлово-загрузочные вирусы, заражающие как файлы, так и загрузочные секторы дисков, или сетевые макровирусы, которые заражают редактируемые документы и рассылают свои копии по электронной почте.

Как правило, каждый вирус заражает файлы одной или нескольких ОС. Многие загрузочные вирусы также ориентированы на конкретные форматы расположения системных данных в загрузочных секторах дисков. По особенностям алгоритма выделяют резидентные; вирусы, стелс-вирусы, полиморфные и др. Резидентные вирусы способны оставлять свои копии в ОП, перехватывать обработку событий (например, обращение к файлам или дискам) и вызывать при этом процедуры заражения объектов (файлов или секторов). Эти вирусы активны в памяти не только в момент работы зараженной программы, но и после. Резидентные копии таких вирусов жизнеспособны до перезагрузки ОС, даже если на диске уничтожены все зараженные файлы. Если резидентный вирус является также загрузочным и активизируется при загрузке ОС, то даже форматирование диска при наличии в памяти этого вируса его не удаляет.

К разновидности резидентных вирусов следует отнести также макровирусы, поскольку они постоянно присутствуют в памяти компьютера во время работы зараженного редактора.

Стелс-алгоритмы позволяют вирусам полностью или частично скрыть свое присутствие. Наиболее распространенным стелс-алгоритмом является перехват запросов ОС на чтение/запись зараженных объектов. Стелс-вирусы при этом либо временно лечат эти объекты, либо подставляют вместо себя незараженные участки информации. Частично к стелс-вирусам относят небольшую группу макровирусов, хранящих свой основной код не в макросах, а в других областях документа - в его переменных или в Auto-text.

Полиморфность (самошифрование) используется для усложнения процедуры обнаружения вируса. Полиморфные вирусы - это трудно выявляемые вирусы, не имеющие постоянного участка кода. В общем случае два образца одного и того же вируса не имеют совпадений. Это достигается шифрованием основного тела вируса и модификациями программы-расшифровщика.

При создании вирусов часто используются нестандартные приемы. Их применение должно максимально затруднить обнаружение и удаление вируса.

По способу заражения различают троянские программы, утилиты скрытого администрирования, Intended-вирусы и т. д.

Троянские программы получили свое название по аналогии с троянским конем. Назначение этих программ - имитация каких-либо полезных программ, новых версий популярных утилит или дополнений к ним. При их записи пользователем на свой компьютер троянские программы активизируются и выполняют нежелательные действия.

Разновидностью троянских программ являются утилиты скрытого администрирования. По своей функциональности и интерфейсу они во многом напоминают системы администрирования компьютеров в сети, разрабатываемые и распространяемые различными фирмами - производителями программных продуктов. При инсталляции эти утилиты самостоятельно устанавливают на компьютере систему скрытого удаленного управления. В результате возникает возможность скрытого управления этим компьютером. Реализуя заложенные алгоритмы, утилиты без ведома пользователя принимают, запускают или отсылают файлы, уничтожают информацию, Эрезагружают компьютер и т. д. Возможно использование этих утилит для обнаружения и передачи паролей и ной конфиденциальной информации, запуска вирусов, ничтожения данных.

К Intended-вирусам относятся программы, которые не способны размножаться из-за существующих в них ошибок. К этому классу также можно отнести вирусы, которые размножаются только один раз. Заразив какой-либо файл, они теряют способность к дальнейшему размножению через него.

По деструктивным возможностям вирусы разделяются на:

1. неопасные, влияние которых ограничивается уменьшением свободной памяти на диске, замедлением работы компьютера, графическим и звуковыми эффектами;
2. опасные, которые потенциально могут привести к нарушениям в структуре файлов и сбоям в работе компьютера;
3. очень опасные, в алгоритм которых специально заложены процедуры уничтожения данных и возможность обеспечивать быстрый износ движущихся частей механизмов путем ввода в резонанс и разрушения головок чтения/записи некоторых НЖМД.

Для борьбы с вирусами существуют программы, которые можно разбить на основные группы: мониторы, детекторы, доктора, ревизоры и вакцины.

Программы-мониторы (программы-фильтры) располагаются резидентно в ОП компьютера, перехватывают и сообщают пользователю об обращениях ОС, которые используются вирусами для размножения и нанесения ущерба. Пользователь имеет возможность разрешить или запретить выполнение этих обращений. К преимуществу таких программ относится возможность обнаружения неизвестных вирусов. Использование программ-фильтров позволяет обнаруживать вирусы на ранней стадии заражения компьютера. Недостатками программ являются невозможность отслеживания вирусов, обращающихся непосредственно к BIOS, а также загрузочных вирусов, активизирующихся до запуска антивируса при загрузке DOS, и частая выдача запросов на выполнение операций.

Программы-детекторы проверяют, имеется ли в файлах и на дисках специфическая для данного вируса комбинация байтов. При ее обнаружении выводится соответствующее сообщение. Недостаток - возможность защиты только от известных вирусов.

Программы-доктора восстанавливают зараженные программы путем удаления из них тела вируса. Обычно эти программы рассчитаны на конкретные типы вирусов и основаны на сравнении последовательности кодов, содержащихся в теле вируса, с кодами проверяемых программ. Программы-доктора необходимо периодически обновлять с целью получения новых версий, обнаруживающих новые виды вирусов.

Программы-ревизоры анализируют изменения состояния файлов и системных областей диска. Проверяют состояние загрузочного сектора и таблицы FAT; длину, атрибуты и время создания файлов; контрольную сумму кодов. Пользователю сообщается о выявлении несоответствий.

Программы-вакцины модифицируют программы и риски так, что это не отражается на работе программ, но вирус, от которого производится вакцинация, считает программы или диски уже зараженными. Существующие антивирусные программы в основном относятся к классу гибридных (детекторы-доктора, доктора-ревизоры и пр.).

В России наибольшее распространение получили антивирусные программы Лаборатории Касперского (Anti-IViral Toolkit Pro) и ДиалогНаука (Adinf,Dr.Web). Антивирусный пакет AntiViral Toolkit Pro (AVP) включает AVP Сканер, резидентный сторож AVP Монитор, программу администрирования установленных компонентов. Центр управления и ряд других. AVP Сканер помимо традиционной проверки выполняемых файлов и файлов документов обрабатывает базы данных электронной почты. Использование сканера позволяет выявить вирусы в упакованных и архивированных файлах (не защищенных паролями). Обнаруживает к удаляет макровирусы, полиморфные, стеле, троянские, а также ранее неизвестные вирусы. Это достигается, например, за счет использования эвристических анализаторов. Такие анализаторы моделируют работу процессора и выполняют анализ действий диагностируемого файла. В зависимости от этих действий и принимается решение о наличии вируса.

Монитор контролирует типовые пути проникновения вируса, например операции обращения к файлам и секторам.

AVP Центр управления - сервисная оболочка, предназначенная для установки времени запуска сканера, автоматического обновления компонент пакета и др.

При заражении или при подозрении на заражение компьютера вирусом необходимо:

1. оценить ситуацию и не предпринимать действий, приводящих к.потере информации;
2. перезагрузить ОС компьютера. При этом использовать специальную, заранее созданную и защищенную от записи системную дискету. В результате будет предотвращена активизация загрузочных и резидентных вирусов с жесткого диска компьютера;
3. запустить имеющиеся антивирусные программы, пока не будут обнаружены и удалены все вирусы. В случае невозможности удалить вирус и при наличии в файле ценной информации произвести архивирование файла и подождать выхода новой версии антивируса. После окончания перезагрузить компьютер.

Сейчас насчитывается несколько десятков тысяч. компьютерных вирусов.

В зависимости от среды обитания вирусы подразделяются на загрузочные, файловые, системные, сетевые, файлово-загрузочные.

Загрузочные вирусы внедряются в загрузочный сектор диска или в сектор, содержащий программу загрузки системного диска.

Файловые вирусы внедряются в основном в исполняемые файлы с расширением.COM и.EXE.

Системные вирусы проникают в системные модули и драйверы периферийных устройств, таблицы размещения файлов и таблицы разделов.

Сетевые вирусы обитают в компьютерных сетях; файлово– загрузочные (многофункциональные) поражают загрузочные сектора дисков и файлы прикладных программ.

По способу заражения среды обитания вирусы подразделяются на резидентные и на нерезидентные.

Резидентные вирусы при заражении компьютера оставляют в оперативной памяти свою резидентную часть, которая затем перехватывает обращение операционной системы к другим объектам заражения, внедряется в них и выполняет свои разрушительные действия вплоть до выключения или перезагрузки компьютера. Нерезидентные вирусы не заражают оперативную память ПК являются активными ограниченное время.

Алгоритмическая особенность построения вирусов оказывает влияние на их проявление и функционирование. Так, репликаторные программы благодаря своему быстрому воспроизводству приводят к переполнению основной памяти, при этом уничтожение программ–репликаторов усложняется, если воспроизводимые программы не являются точными копиями оригинала. В компьютерных сетях распространены программы -"черви ". Они вычисляют адреса сетевых компьютеров и рассылают по этим адресам свои копии, поддерживая между собой связь. В случае прекращения существования "червя" на каком-либо ПК оставшиеся отыскивают свободный компьютер и внедряют в него такую же программу.

"Троянский конь " – это программа, которая, маскируясь под полезную программу, выполняет дополнительные функции, о чем пользователь и не догадывается (например, собирает информацию об именах и паролях, записывая их в специальный файл, доступный лишь создателю данного вируса), либо разрушает файловую систему.

Логическая бомба – это программа, которая встраивается в большой программный комплекс. Она безвредна до наступления определенного события, после которого реализуется ее логический механизм. Например, такая вирусная программа начинает работать после некоторого числа прикладной программы, комплекса; при наличии или отсутствии определенного файла или записи файла и т.д.

Программы-мутанты, самовоспроизводясь, воссоздают копии, которые явно отличаются от оригинала.

Вирусы-невидимки , или стелс-вирусы перехватывают обращения операционной системы к пораженным файлам и секторам дисков и подставляют вместо себя незараженные объекты. Такие вирусы при обращении к файлам используют достаточно оригинальные алгоритмы, позволяющие "обманывать" резидентные антивирусные мониторы.

Макро-вирусы используют возможности макро-языков, встроенных в офисные программы обработки данных (текстовые редакторы, электронные таблицы и т.д.).

По степени воздействия на ресурсы компьютерных систем и сетей, или деструктивным возможностям, выделяются безвредные, неопасные, опасные и разрушительные вирусы.

Безвредные вирусы не оказывают разрушительного влияния на работу ПК, но могут переполнять оперативную память в результате своего размножения.

Неопасные вирусы не разрушают файлы, но уменьшают свободную дисковую память, выводят на экран графические эффекты, создают звуковые эффекты и т.д. Опасные вирусы нередко приводят к различным серьезным нарушениям в работе компьютера; разрушительные – к стиранию информации, полному или частичному нарушению работы прикладных программ. Необходимо иметь в виду, что любой файл, способный к загрузке и выполнению кода программы, является потенциальным местом, куда может внедриться вирус.