8. Klasyfikacja Wirusów

• Wirusy plikowe (ang. Traditional file viruses)

Każdy wirus przed dokonaniem szkód najpierw ulega replikacji oraz dołącza się do pliku nosiciela. Początkowo na atak wirusów tego typu narażone były tylko pliki wykonywalne (*.exe, *.com) oraz wsadowe (*.bat). Pierwsze wirusy tego typu atakowały jedynie aplikacje 16-bitowe i nie pracowały w środowisku 32-bitowym. Jednak rozwój technologii wirusów spowodował powstanie wirusów 32-bitowych i powiększył grono zagrożonych plików o zbiory zawierające fragment kodu, biblioteki, sterowniki urządzeń (*.bin, *.dll, *.drv, *.lib, *.obj, *.ovl, *.sys, *.vxd).

• Wirusy sektora startowego dysku (ang. Boot sector viruses)

Kolejnym nosicielem wirusa może być sektor startowy nośnika danych taki jak MBR – Master Boot Record dla dysku twardego lub Boot sector dla dyskietki. Wirusy tego typu są szczególnie groźne. Wynika to z faktu, iż po uruchomieniu, komputer próbuje wczytać system, który jest zapisany w pierwszym sektorze dysku lub dyskietki. Należy mieć świadomość, że każda sformatowana dyskietka, nawet niezawierająca plików systemowych, posiada boot sector, a więc jako taka może zawierać wirusa. Tego typu “robaki” nie mogą jednak rozprzestrzeniać się w sieci komputerowej.

Wirus tego typu może ulokować się w MBR i np. zniszczyć jego zawartość, uniemożliwiając tym samym dostęp do dysku. W innym przypadku wirus przenosi kod inicjujący system z sektora startowego w inny obszar dysku i zajmuje jego miejsce, co powoduje jego załadowanie jeszcze przed startem systemu, a więc także przed uruchomieniem jakiegokolwiek oprogramowania antywirusowego. Działanie tego typu umożliwia wirusom przejęcie kontroli nad oprogramowaniem przeznaczonym do ich zwalczania.

• Wirusy Tablicy Alokacji Plików

Do replikacji wirusy mogą także wykorzystywać jednostki alokacji plików, na jakie tablica FAT dzieli DOS-ową partycję dysku twardego. W celu uzyskania dostępu do plików odszukuje się w tablicy FAT numer jego pierwszej jednostki alokacji, po czym kolejno (zgonie z FAT) wczytuje wszystkie jednostki zajmowane przez plik.

Wirusy atakujące za pomocą tej metody zmieniają wartość pierwszej jednostki alokacji jednego lub wielu plików na numer wskazujący jednostkę alokacji swojego kodu. Wczytanie takiego pliku powoduje uruchomienie wirusa, który w dalszej kolejności może, ale nie musi, załadować właściwy program.

• Makrowirusy

Makrowirusy należą do najmłodszej rodziny wirusów. Ich powstanie związane jest z wprowadzeniem do pakietów biurowych (MS Office, Lotus Smart Suite czy Corel WordPerfect) języków pozwalających na tworzenie makr, takich jak np. Visual Basic for Applications. Makrowirusy dołączają się do dokumentów i mogą się rozprzestrzeniać przy wykorzystaniu poczty elektronicznej.

Większość makrowirusów Word'a wykorzystuje fakt, ze szablony dokumentów mogą zawierać makra. Wirus uaktywnia się w chwili otwarcia zainfekowanego dokumentu, po czym zaraża zdrowe zbiory z rozszerzeniem *.doc i zapisuje ją jako szablony (dokumenty nie mogą zawierać makr). W ostatnim kroku jedno lub kilka automatycznie wykonywanych makr zostaje zastąpionych kodem wirusa.

• Wirusy typu Stealth i wirusy Polimorficzne

W zasadzie wszystkie wymienione wcześniej wirusy mogą (choć nie muszą) należeć do tej grupy. Ich powstanie związane jest postępem w dziedzinie ich wykrywania. W pierwszych latach obecności wirusów każdy miał swoją sygnaturę (charakterystyczny tylko dla siebie ciąg bajtów). Sytuacja zmieniła się, gdy Bułgar o pseudonimie Dark Avenger opracował metodę pozwalającą tworzyć wirusy mutujące się. Wirusy polimorficzne nie mają stałej sygnatury, ponieważ ich kod zmienia się samoczynnie przy każdej infekcji. Wirusy stealth są to wirusy, które podczas próby dostępu do zarażonego pliku lub sektora dysku przez program antywirusowy potrafią “w locie”, chwilowo naprawić uszkodzone dane i zatuszować swoją obecność.