Жизненный цикл компьютерных вирусов
Следует различать два основных действия (фазы), выполняемые компьютерным вирусом: размножение и проявление.
🕛 10.02.2009, 13:56
Размножение обычно является первым и обязательным действием вируса при получении им управления. Фаза проявления, на которой выполняются несанкционированные действия, может чередоваться с размножением, начинаться через определенный (инкубационный) период или при сочетании некоторых условий. Она может заключаться в изощренных визуальных или звуковых эффектах, включать или исключительно состоять из нанесения повреждений файловой системе. Повреждения могут быть массированными, когда, например, стирается FAT и другие системные блоки, или наоборот, распределенными, когда довольно часто выполняются небольшие, трудно обнаруживаемые повреждения. У ряда вирусов фаза проявления отсутствует, т.е. помимо размножения они никаких несанкционированных действий не выполняют. В то же время любой вирус обладает рядом побочных эффектов, которые не были предусмотрены при создании вируса, но которые фактически относятся к его проявлениям. Наиболее частым побочным эффектом является зависание операционной системы или потеря работоспособности некоторых (чаще всего резидентных) программ. Другим важным побочным эффектом является появление некоторых "необъяснимых" сообщений операционной системы. Например, если при попытке запуска программы с защищенной дискеты появляется хорошо знакомое любому пользователю MS DOS сообщение Abort, Retry..., то это должно настораживать.Наряду с указанными действиями, вирус может обладать определенной латентной фазой, в течение которой никаких действий по своему размножению или проявлению не предпринимается. Латентная фаза может быть обусловлена определенным временным периодом (например, определенным месяцем или годом), конфигурацией (например, вирус может активизироваться только при попадании на винчестер) или аппаратными особенностями (например, только на клонах IBM PC).
Длина пути от первоначально зараженной программы до программы, в которой этот вирус был впервые обнаружен, может быть довольно большой. Практика показывает, что обычно в качестве первичного носителя вируса выступает популярная игровая программа или новая версия популярного программного продукта. Вопросы использования программных средств, затрудняющих или делающих невозможным размножение вируса, рассматриваются ниже.