Классификация компьютерных вирусов

Серьезность и долговременный характер проблемы защиты от компьютерных вирусов уже практически ни у кого не вызывают сомнений.

🕛 11.02.2009, 11:58

Поэтому необходимо организовать оперативный обмен информацией по данной проблеме и наладить взаимодействие работающих в этой области специалистов. Это, в свою очередь, требует решения ряда подзадач, одной из которых является выработка стандартной классификации компьютерных вирусов.

Стандартная классификация существенно облегчает накопление и распространение знаний в любой области, и компьютерные вирусы не являются исключением. Применительно к компьютерной вирусологии она помогает решению такой важной задачи, как однозначное определение типа обнаруженного вируса. При этом должен использоваться ограниченный набор сравнительно простых и непротиворечивых признаков, не требующих проведения глубокого анализа зараженных программ и элементов операционной системы. Существующие в настоящее время классификации, как правило, основаны на "кличках" - распространенных среди программистов названиях, отражающих то или иное свойство вируса. Анализируя имеющиеся неформальные названия, можно выявить четыре основные тенденции их образования. Первая основана на указании места обнаружения или разработки вируса (Lehigh, Jerusalem, Vienna, Alameda), вторая - на содержащихся в теле вируса текстовых строках (Vacsina, Eddie, Dark Avenger, Disk Killer, sUMsDos), третья - на вызываемом вирусом эффекте (Time Bomb, DOS-62, Cascade, Black Fridaу) и, наконец, четвертая - на длине тела вируса или на приращении длины файла при заражении (524, 648, 1800, 2000 и т.д.). При этом один и тот же вирус может иметь множество названий, и новое название, использованное разработчиком той или иной антивирусной программы, далеко не всегда соответствует новому вирусу.

Для широко известных вирусов перечень названий напоминает список имен арабского шейха. Например, автор встречал более десяти названий вируса, обнаруженного в декабре 1987 г. в Иерусалимском университете (RСE-1813.IER по предлагаемой ниже классификации), среди которых три: Israeli virus (Израильский), Jerusalem (Иерусалим) и PLO (ООП) - относятся к первому типу, два названия (sUMsDos и sU) - ко второму типу, и, наконец, еще четыре: Black Hole (Черная дыра), Black Friday (Черная пятница), Friday 13 (Тринадцатая пятница) и Вирус замедления - к третьему типу (данный вирус "вырезает" в левом углу экрана черную дыру, удаляет все запускаемые файлы по пятницам, пришедшимся на 13 число и, кроме того, примерно через 20 мин после запуска зараженной программы искусственно замедляет работу компьютера в несколько сотен раз).

Конечно же, такое многообразие названий создает определенные затруднения, особенно если учитывать, что данный вирус имеет несколько отличающихся по деталям функционирования штаммов. Поэтому необходим какой-то выход из создавшейся ситуации. На определенном этапе среди разработчиков антивирусных средств наблюдалась стихийная тенденция к использованию в качестве основных названий, применяемых известным зарубежным полидетектором Scan (фирма McAfee Associates, США); однако он, естественно, запаздывает с классификацией болгарских вирусов, не говоря уже о вирусах отечественного изготовления. Поэтому набор обнаруживаемых им вирусов не соответствует советским условиям, а используемые строки для контекстного поиска (сигнатуры) часто неудачны (например, дают много ложных срабатываний). При этом для ранних версий Scan неоднократно наблюдались случаи, когда наиболее актуальные для нас вирусы могут классифицироваться неверно (как это было с подгруппой Vacsine группы ТР-вирусов) или попадали в две группы сразу (например, Vacsine и Yankee Doodle). В последнем случае создавалось ложное впечатление о том, что файл заражен двумя вирусами сразу. Кроме того, недавно появился другой достаточно мощный полидетектор TNTVirus (фирма Carmel Software Engineering), в котором в ряде случаев используются другие названия. Не исключено, что будет третий, четвертый и т.д. Поэтому необходим какой-то менее субъективный и учитывающий нашу информационную изолированность (отсутствие сетей, слабое развитие и низкое качество телефонной связи) подход.