Viiruste liigid

•  Buutsektori viirused 

Need olidki esimest tüüpi arvutiviirused, mis nägid kunagi ilmavalgust. 
Buutsektori viirused peituvad kõvaketta laadesektoris (DBR) ning laaditakse mällu enne süsteemifaile. Seega saavad nad täieliku kontrolli alla PC katkestused ning võivad modifitseerida katkestuste töötluse mooduleid. Maskeerimiseks väljastab viirus alglaadimisel normaalseid teateid. Kui viirus laadesektorisse ei mahu, paigutab ta ülejäägi mujale, märkides vastava osa kõlbmatuteks klastriteks. 
Tavaliselt liigitatakse sellesse viiruserühma ka sektsioonitabeli (partition table) viirused, mis nakatavad kõvaketta füüsilise nullsektori (DBR). Levimiseks nakatavad kõik selle rühma viirused diskettide laadesektorit. Kui PC alglaadimisel on draivis viirusega diskett, kandub viirus sealt üle kõvakettale. Niisuguste viiruste üldarv on ainult 200 ümber, kuid nende arvele langeb kuni 75% kõigist viirusnakkustest. Tuntumaid esindajaid: Brain, Form, Mlchelangelo, Stoned. 
Buutsektori viiruse modifikatsioone on mitmeid. Starship loob nakatamisel uue MBR-sektori, säilitades endise ja säilitades ka programmi koodi MBR-sektoris, kuid muutes MBRis viita nii, et kõigepealt käivitatakse viiruse DBRja alles seejärel algne DBR. Viirus DIR II muuda failijaotustabelit (FAT) ja katalooge nii, et kõik failid on ristviidete kaudu seotud viirusega. 

•  Failiviirused e parasiitviirused 
Failiviirused e parasiitviirused nakatavad programmifaile - tavaliselt COM-, EXE- või SYS-faile, kuid mõned viirused ka seadmedraivereid ja (OVL- või OVR-) ülekattefaile (on teada ka OBJ-failide viirus). 
Seega muutub fail viiruse koodi võrra pikemaks. Viirus kasutab ära faili alguses olevat käsku JMP, mida muudetakse nii, et see osutaks kõigepealt viiruse koodile faili lõpus ja seejärel käivitaks selle. Õige JMP-käsk kopeeritakse aga viiruse koodi lõppu. Pärast seda, kui viirus on nakatanud veel mõned EXE- või COM-failid, pannakse käima õige programm. Üsna tihti ei sisalda need viirused hävitavat koodi. Ainus asi, mis annab märku viiruse olemasolust, on faili suurenemine viiruse koodi võrra ja mingi viirusele iseloomulik string faili lõpus. Kuid uuematel viirustel ei peagi faili suurus kasvama, sest peremees-faili kood pakitakse kokku. 

•  Residentsed failiviirused 
Residentsed failiviirused nakatavad programmifaile kolmel erineval moel. Esimene viis on kirjutada programmifaili algus viiruselise koodiga iile, jättes originaalse faili sisu salvestamata. Niisugused viirused on oma ehituselt väga labased ja pole elujõulised. Nende põhjustatud kahju pole ka reeglina võimalik hüvitada, kuna originaalne fail rikutakse. Aitab vaid varukoopiate tegemine. Ülekirjutavate viiruste olemasolu on väga kergelt avastatav - programmifailid ei lähe lihtsalt käima või ei tee enam seda, mida nad peaksid tegema. Faili alguses on mingi võõras programmilõik. Teine nakatamise viis, mis töötab COM-failide puhul, on põhimõtteliselt sama alglaadimissektori viiruste tööpõhimõttega. Viirus salvestab originaalse faili alguse ja asendab selle viiruselise koodiga. Igal käivitusel kutsutakse seetõttu originaali asemel välja viiruseline kood, mis kontrollib, ega viirust juba mälus pole: kui on, siis käivitab kohe salvestatud originaalse programmi; kui pole, siis esmalt loeb end mällu ja käivitab alles seejärel algse programmi. Kolmandaks, EXE-faile nakatatakse programmi algusaadressi ümbersuunamisega viiruselisele koodile, mis on harilikult lisatud programmifaili lõppu. Ülejäänud tööpõhimõtted on tal samad, mis COM-faili viirustel. Kui viirus on mälus, siis seal haaratakse tavaliselt enda kätte mõni failidega opereerimisega tegelev katkestus, mis asendatakse faile nakatava programmilõiguga. Algne katkestus muidugi salvestatakse ja kutsutakse peale nakatamist vahelejäämise vältimiseks välja. Nagu näha, tegutsevad viirused suhteliselt märkamatult, tehes kõik ära kasutaja selja taga; ideaalse viiruse puhul võib täheldada vaid fakti, et mõnede programmide sisselugemine võtab rohkem aega, kui ta võtma peaks. Kiirnakatajate hulka kuuluvad näiteks Dark Avenger ja Green Caterpillar. Residentsete hulka kuulub ka levinuim failiviirus Jerusalem (ehk Friday 13th) oma paljude variantidega (Apocalypse, Barcelona, Nemesis, Payday jt). 

•  Mitteresidentsed failiviirused 
Mitteresidentsed failiviirused on ehituselt lihtsamad ja suhteliselt vähe levinud (1% nakkusjuhtudest). Need on peaaegu sama tööpõhimõttega nagu residentsed failiviirused, ainuke vahe seisneb selles, et nakatav kood ei asetse mõnel katkestusel arvuti mälus, vaid käivitub ainult nakatunud programmifaili käivitamisel, otsides viiruse algtekstis määratud algoritmiga kettalt nakatamata faile ja nakatades neid. Kui vaadata viirusega nakatunud faili, siis hakkab seal kohe silma, et programmi alguses on pikk hüpe kuskile faili lõppu. Üldse võib programmifaili tegevuse kõige elementaarsemal sammhaaval jälgimisel viiruselise koodi kergelt avastada-lihtsamatel juhtudel saab viiruse elimineerimisega hakkama isegi kõige vähemate assemblerkeele alaste teadmistega kasutaja. Selle vastu on viirusekirjanikud aga välja nuputanud stealth-viirused. Stealth-viirus haarab enda kätte lisaks failide käivitamise katkestusele ka teisi kettaoperatsioone teostavaid katkestusi: tema tööpõhimõte seisneb BIOS-i rutiinide saboteerimises nii, et nad annaks ketta kohta valeinformatsiooni. Lihtsamad stealth viirused näitavad nakatunud faili suuruse asemel algse faili suurust, põhjalikumad aga võltsivad lausa failide sisu, näidates viiruse asemel algset sisu. Tuntuim esindaja on Vienna oma arvukate variantidega (Apocalypse, Barcelona, Payday jt). 

•  Kaasfailiviirused (companion virus) 
Esimene kaasfailiviirus avastati 1990.aasta aprillis. Selleks oli AIDS II. See oli esimene teadaolev viirus, mis kasutas "korrespondeeriva faili tehnikat", nii et nakatatav sihtmärk: EXE-fail jäi tegelikult muutmata. Viirus kasutas ära DOS-i omapära lugeda kõigepealt COM-faili ja seejärel alles EXE-faili, juhul kui nad on samanimelised. 
Viirus ei nakatanud tegelikult EXE-faili. Ta lõi samanimelise korrespondeeriva viiruse koodi sisaldava COM-faili suurusega 8,064 baiti. Uus fail asetses tavaliselt samanimelise EXE-failiga ühes kataloogis, kuid see ei ole kõikide kaasfailiviiruste puhul nii. Mõned neist võisid COM- faili luua täiesti suvalisse DOS-i pathi. 
Viirus ise levis nii: kui inimene otsustas käivitada mõnd programmi, millel oli juba olemas korrespondeeriv COM-fail, siis käivitus kõigepealt viiruse koodi sisaldav COM-fail. Kõigepealt lõi viirus veel nakatamata EXE- failidele samanimelised aga viiruse koodi sisaldavad korrespondeerivad COM-failid. Pärast uute COM-failide loomist mängis AIDS II mingi meloodia ja kuvas ekraanile järgmise teate: 
"Your computer is infected with ... ? Aids Virus II ? - Signed WOP & PGI of DutchCrack -" 
Seejärel käivitas viirus EXE-faili ning programm käivitus probleemideta. Pärast töö lõpetamist programmiga võttis AIDS II jälle kontrolli enda kätte. Monitorile kuvati järgmine teade: 
"Getting used to me? Next time, use a Condom . . . . ." 
Viiruse koodis need teated nähtavad ei ole. Kuna EXE-fail töötas tõrgeteta, siis mõned viirusetõrje programmid ei suutnud viirust leida. 

•  Hübriidviirus (multiple-infector virus, multipartite virus) 
Hübriidviirus on buutsektori viiruse ja failiviiruse kombinatsioon. See liik ei ole eriti arvukas, kuid tema arvele langeb üsna suur hulk kahjustusi. Tuntumaid esindajaid: Tequila, Anticad, Anthrax. 

•  Peitviirused (stealth virus) ehk soomusviirused (armoured virus) 
Peitviirused ehk soomusviirused kasutavad mitmesuguseid aktiivseid petmismeetodeid enda avastamise vältimiseks. Juba 1986. a leidus viiruseid, mis manipuleerisid DOSi katkestusvektoriga, suunates katkestuse viitama viiruse residentkoodile, millel on nüüd kõik võimalused häirida diagnostikatoiminguid. Süstee-36 mikutsete hõivamine võimaldab kasutajale esitada algse nakatamata faili või buutsektori (koos õige kontrollkoodiga), seejärel aga jätkata kahjustavat tegevust. Mitmed viirused sekkuvad DOSi kataloogifunktsiooni, esitades kataloogiandmetes faili algse pikkuse jm algrekvisiidid. 

•  Polümorfsed ehk mutatsioonviirused 
Polümorfsed ehk mutatsioonviirused on peitviiruste uus põlvkond, mis ilmus 1990tel aastatel. Nendes on rakendatud vahendeid peitumiseks mitte ainult lihtsa diagnostika, vaid ka viirusetõrjeprogrammide eest. Kuna niisugused tõrjeprogrammid põhinevad teatavate iseloomulike koodi-lõikude tuvastusel, on kood näiteks permuteeritud, üle külvatud juhusliku jaotusega tühikäskudega (NOP) või krüpteeritud. Igal nakatamisel rakendatakse juhuslikkusel põhinevat mehhanismi uuesti, nii et viiruse eri eksemplarid oma välimuselt ei kattu. Tuntumad krüpteerivate viiruste polümorfismimootorid on MtE (Mutation Engine) ja 1992. a lõpul ilmunud TPE (Trident Polymorphic Engine). 

•  Vaktsiinihävitusviirused (bounty hunter) 
Vaktsiinihävitusviirused on peitviiruste edasiarendus. Nad tuvastavad viirusetõrjeprogramme ja hävitavad või nakatavad neid. Selliseid viiruseid on praegu üsna vähe, kuid mõned neist on osutunud väga tõhusateks. 

•  Võrguviirused 
Võrguviirused on spetsialiseeritud ründama võrguoperatsioonisüsteemi (nt NetWare) ja kasutama seejärel võrku enda levitamiseks. Keskmiselt kulub kohtvõrgu järgmise tööjaama nakatamiseks 10-20 minutit, niisiis piisab mõnest tunnist kogu allüksuse või ettevõtte halvamiseks. 

•  Makroviirused 
Kõige vähem kahju tekitav viirusetüüp. Makroviirused on rakendusprogrammi makrokeeles kirjutatud makrod, mis nakatavad vastavate rakenduste dokumendifaile. Alles hiljuti peeti dokumendifaile viiruste leviku mõttes ohututeks, ehkki esimesed makroviirused kirjutati katseks juba 1980te aastate alguses. Nad levivad väga kiiresti, sest paljusid neist saadetakse e-mail dokumentidena ja paljusid neist kasutatkse ka saitides. 
Suurima rühma moodustasid 1997. a keskel Microsoft Wordi makro viirused; neid on teada paarkümmend, tuntuimad on Concept (esimene tegelik makroviirus, ilmus sügisel 1994), Nuclear, DMV, Colors, Hot,Atom ja Xenixos. Levinuim on Concept, mis nakatab MS Wordi (v. 6.0 jj) dokumendi- ja mallifaile (tavaliselt laienditega .DOC ja .DOT) kõigil ta platvormidel. Kuna viirus on kirjutatud Wordi makrokeeles, ei saa ta toimida teistes teksti protsessorites, mis Wordi dokumente loevad ja konverteerivad (WordPerfect, AmiPro). Viirus koosneb makrodest AAAZAO, AAAZFS, AutoOpen, FileSaveAs ja PayLoad (vt joonis). Nakatatud dokumendi avamisel installeerib viirus end globaalsesse makroteeki (kui teda seal veel ei ole), mis harilikult asub failis NORMAL.DOT. Pärast seda nakatatakse iga dokument või mall, mis salvestatakse käsuga Save As. 

Juulis 1996 ilmus MS Exceli makroviirus ExcelMacro/Laroux, mis on kirjutatud VBA-makrokeeles ning koosneb kahest moodulist: auto_open (PERSONAL.XLS!auto_open, BOOK1!auto_open) ja checkjiles (PERSONAL.XLS/check-files, BOOK1.'checkjiles). Viirus toimib alates Exceli versioonist 5, ta ei nakata varasemates ega ka Macintoshi versioonides. 
Jaanuaris 1996 avastati Lotus AmiPro makroviirus Green Stripe, mis loob iga SAM-faili juurde samanimelise SMM-makrofaili ja lingib selle SAM-failiga. 
Põhimõtteliselt saab makroviiruseid kirjutada kõigile makrokeelt sisaldavatele rakenduspakettidele. 
Pseudoviirused on võrgufolkloori saadus. Aeg-ajalt võib Useneti uudise gruppides leida hoiatusi mingite fantastiliste omadustega viiruste kohta (Good Times panevat teda sisaldava meili lugemisel protsessori lõputusse tsüklisse jne). Ühel WWW-leheküljel paiknes 1996. a Javascriptis programmijupp, mis pakkus „viiruse" Psychic Neon Buddha Jesus tuvastust. Pseudoviirused ei kujuta endast ohtu tavalises mõttes, kuid võivad tekitada paanikat vilumatu personali hulgas ja põhjustada töö seisakuid või vääraid toiminguid. 

Allikas 

 
 
 
 
 

 

Jäta oma kommentaarid

Lisa kommentaar külalisena

0
kasutustingimustega.
  • Ühtegi kommentaari ei leitud