Неисполняемые вирусы

Новые поколения вирусов

Создатели компьютерных вирусов становятся все более квалифицированными и изощренными. Они разрабатывают вирусы, которые все труднее обнаружить. Например, вирус-невидимка скрывает созданные им изменения в файле или загрузочных записях с помощью изменения системных функций, используемых программами для чтения файлов или физических блоков с информационного носителя, чтобы программы, пытающиеся прочитать эти области, "видели" исходную, неинфицированную форму соответствующего файла, а не фактическую, инфицированную форму. В результате, вирусные модификации оказываются невидимыми для антивирусных программ. Для этого, однако, требуется, чтобы вирус находился в памяти, когда выполняется ваша антивирусная программа.

Кроме того, создатели вирусов разрабатывают полиморфные вирусы, которые продуцируют непохожие друг на друга (хотя и полностью работоспособные) копии самих себя, в расчете на то, что программы-сканеры не смогут обнаружить все разновидности этого вируса. Один из методов изготовления полиморфного вируса заключается в использовании различных схем шифрования, требующих разных программ дешифровки. Для надежного обнаружения вируса такого типа вирусному сканеру придется использовать несколько сигнатур (по одной для каждого возможного метода шифрования). Более сложный полиморфный вирус изменяет в этих копиях последовательность команд, чередуя их с "шумовыми командами", переставляя взаимно-независимые команды или даже используя разные последовательности команд, приводящие к одинаковому результату. Вирусный сканер, основанный на использовании сигнатур не позволяет надежно обнаруживать этот тип вируса.

Самой сложной на сегодня формой полиморфизма является вирус MtE "Mutation Engine", разработанный одним болгарским специалистом по прозвищу Dark Avenger. Этот вирус имеет форму объектного модуля.

Появление полиморфных вирусов еще больше усложнило и без того трудную и дорогостоящую задачу сканирования вирусов; добавление все новых строк поиска в простые сканеры не является адекватным ответом на появление этих вирусов.

Не всегда оказывается возможным провести четкое разграничение между исполняемыми и неисполняемыми файлами. Некоторые файлы, не являющиеся непосредственно исполняемыми, содержат код или данные, которые могут - при определенных условиях - выполняться или интерпретироваться.

В настоящее время вирусы могут инфицировать загрузочные сектора, главные загрузочные записи, СОМ-файлы, ЕХЕ-файлы, ВАТ-файлы и драйверы устройств. PostScript-файлы также могут быть носителями вируса (правда, этого нельзя сказать ни об одном из известных в данный момент вирусов).

В тоже время некоторые компьютерные вирусы являются просто плодом человеческой фантазии.