Haittaohjelmat ja virukset (makrovirukset, stealth- ja polymorfiset virukset). Virustorjunta Mitä komentosarjavirukset voivat saastuttaa

Makrovirukset ovat ohjelmia kielillä (makrokielillä), jotka on sisäänrakennettu joihinkin tietojenkäsittelyjärjestelmiin (tekstieditorit, laskentataulukot jne.), sekä kirjoituskielillä, kuten VBA ( Visual Basic sovelluksille), JS (Java Script). Toistaakseen tällaiset virukset käyttävät makrokielten ominaisuuksia ja niiden avulla siirtävät itsensä yhdestä tartunnan saaneesta tiedostosta (asiakirjasta tai taulukosta) muihin. Microsoft Officen makrovirukset ovat yleisimpiä. On myös makroviruksia, jotka saastuttavat Ami Pro -asiakirjoja ja tietokantoja. Jotta virukset voivat esiintyä tietyssä järjestelmässä (editorissa), järjestelmään on oltava sisäänrakennettu makrokieli, jolla on seuraavat ominaisuudet:

1. makrokielen ohjelman linkittäminen tiettyyn tiedostoon;
2. makroohjelmien kopioiminen tiedostosta toiseen;
3. kyky hallita makroohjelmaa ilman käyttäjän toimia (automaattiset tai vakiomakrot).

Nämä ehdot täyttyvät Microsoftin editorit Word, Office ja AmiPro sekä laskentataulukko Excel ja tietokanta Microsoft Access. Nämä järjestelmät sisältävät makrokieliä: Word - Word Basic; Excel, Access - VBA. Jossa:

1. makroohjelmat on sidottu tiettyyn tiedostoon (AmiPro) tai sijaitsevat tiedoston sisällä (Word, Excel, Access);
2. makrokielen avulla voit kopioida tiedostoja (AmiPro) tai siirtää makroohjelmia järjestelmäpalvelutiedostoihin ja muokattavissa oleviin tiedostoihin (Word, Excel);
3. työskenneltäessä tiedoston kanssa tietyissä olosuhteissa (avaaminen, sulkeminen jne.) kutsutaan makroohjelmia (jos sellaisia ​​on), jotka on määritelty erityisellä tavalla (AmiPro) tai joilla on vakionimet (Word, Excel).

Tämä makrokielten ominaisuus on tarkoitettu automaattiseen tietojenkäsittelyyn suurissa organisaatioissa tai maailmanlaajuisissa verkoissa ja mahdollistaa niin sanotun "automaattisen asiakirjavirran" järjestämisen. Toisaalta tällaisten järjestelmien makrokieliominaisuudet sallivat viruksen siirtää koodinsa muihin tiedostoihin ja siten saastuttaa ne. Virukset saavat hallintaansa, kun tartunnan saanut tiedosto avataan tai suljetaan, ja ne sieppaavat standardin tiedostotoiminnot ja saastuttaa sitten tiedostot, joita käytetään jollakin tavalla. Analogisesti MS-DOS:n kanssa voidaan sanoa, että useimmat makrovirukset ovat pysyviä: ne eivät ole aktiivisia vain tiedoston avaamisen/sulkemisen hetkellä, vaan niin kauan kuin itse editori on aktiivinen.

Word/Excel/Office-virukset: yleistä tietoa

Viruksen fyysinen sijainti tiedoston sisällä riippuu sen muodosta, mikä Microsoftin tuotteiden tapauksessa on erittäin monimutkainen - jokainen Word-asiakirjatiedosto ja Excel-taulukko on sarja tietolohkoja (joista jokaisella on myös oma muoto), jotka on yhdistetty toisiinsa. käyttämällä suurta määrää palveludataa. Tätä muotoa kutsutaan nimellä OLE2 - Object Linking and Embedding.

Word-, Excel- ja Office (OLE2) -tiedostojen rakenne muistuttaa monimutkaista tiedostojärjestelmä levyt: asiakirjatiedoston tai taulukon "juurihakemisto" osoittaa eri tietolohkojen pääalihakemistot, useat FAT-taulukot sisältävät tietoa tietolohkojen sijainnista dokumentissa jne. Lisäksi Word- ja Excel-standardeja tukeva Office Binder -järjestelmä mahdollistaa tiedostojen luomisen, jotka sisältävät samanaikaisesti yhden tai useamman Word-muotoisen asiakirjan ja yhden tai useamman Excel-muodon taulukon. Samaan aikaan Word-virukset voivat saastuttaa Word-asiakirjoja ja Excel-virukset Excel-taulukoita, ja kaikki tämä on mahdollista saman levytiedoston sisällä. Sama koskee Officea. Useimmat tunnetut Wordin virukset eivät ole yhteensopivia Wordin kansallisten (mukaan lukien venäläisten) versioiden kanssa tai päinvastoin – ne on suunniteltu vain lokalisoiduille Wordin versioille eivätkä ne toimi englanninkielinen versio. Asiakirjassa oleva virus pysyy kuitenkin edelleen aktiivisena ja voi tartuttaa muita tietokoneita, joihin on asennettu vastaava Wordin versio. Word-virukset voivat tartuttaa minkä tahansa luokan tietokoneita. Infektio on mahdollinen, jos Tämä tietokone on asennettu tekstieditori, joka on täysin yhteensopiva Microsoft Word versio 6 tai 7 tai uudempi (esimerkiksi MS Word for Macintosh).

Sama pätee Exceliin ja Officeen. On myös huomattava, että Word-asiakirjamuotojen, Excel-laskentataulukoiden ja erityisesti Officen monimutkaisuus on seuraava ominaisuus: dokumenttitiedostoissa ja taulukoissa on "ylimääräisiä" tietolohkoja, ts. tiedot, jotka eivät liity mitenkään muokattuun tekstiin tai taulukoihin tai ovat kopioita muista tiedostotiedoista, jotka ovat vahingossa päätyneet sinne. Syynä tällaisten tietolohkojen esiintymiseen on tietojen klusteriorganisaatio OLE2-dokumenteissa ja -taulukoissa - vaikka vain yksi merkki tekstiä syötettäisiin, sille varataan yksi tai jopa useita tietoklustereita. Kun dokumentteja ja taulukoita tallennetaan klustereihin, jotka eivät ole täytetty "hyödyllisillä" tiedoilla, jäljelle jää "roskaa", joka päätyy tiedostoon muiden tietojen mukana. Tiedostojen "roskien" määrää voidaan vähentää peruuttamalla Word/Excelin "Salli nopea tallennus" -asetus, mutta tämä vain vähentää "roskien" kokonaismäärää, mutta ei poista sitä kokonaan. Seurauksena on se, että dokumenttia muokatessa sen koko muuttuu riippumatta siitä, mitä siihen tehdään - uutta tekstiä lisättäessä tiedostokoko voi pienentyä, ja kun osa tekstistä poistetaan, se voi kasvaa.

Sama koskee makroviruksia: kun tiedosto on saanut tartunnan, sen koko voi pienentyä, kasvaa tai pysyä muuttumattomana. On myös huomattava, että joissakin OLE2.DLL:n versioissa on pieni virhe, jonka seurauksena Word-, Excel- ja erityisesti Office-asiakirjojen kanssa työskennellessä satunnaiset tiedot levyltä, mukaan lukien luottamukselliset, voivat päästä roskalohkoihin. ( poistetut tiedostot, luettelot jne.). Näihin lohkoihin voidaan sisällyttää myös viruskomentoja. Seurauksena on, että tartunnan saaneiden asiakirjojen desinfioinnin jälkeen aktiivinen viruskoodi poistetaan tiedostosta, mutta osa sen komennoista saattaa jäädä "roskalohkoihin". Tällaiset viruksen esiintymisen jäljet ​​näkyvät joskus tekstieditoreilla ja voivat jopa aiheuttaa reaktion joissakin virustorjuntaohjelmissa. Nämä viruksen jäänteet ovat kuitenkin täysin vaarattomia: Word ja Excel eivät kiinnitä niihin mitään huomiota.

Word/Excel/Office virukset: toimintaperiaatteet

Kun työskentelet Word-asiakirjan versioiden 6 ja 7 tai uudempien kanssa, suorittaa erilaisia ​​toimintoja: avaa asiakirjan, tallentaa, tulostaa, sulkee jne. Samaan aikaan Word etsii ja suorittaa vastaavat "sisäiset makrot" - kun tiedosto tallennetaan File/Save-komennolla, kutsutaan FileSave-makro, kun tallennetaan File/SaveAs-komennolla - FileSaveAs, kun tulostetaan asiakirjoja. - FilePrint jne., jos tietysti makroja on määritelty. On myös useita "automakroja", joita kutsutaan automaattisesti eri olosuhteissa. Esimerkiksi avattaessa Word-asiakirja tarkistaa, onko siinä AutoOpen-makro. Jos tällainen makro on olemassa, Word suorittaa sen. Asiakirjaa suljettaessa Word suorittaa AutoClose-makron, Wordia käynnistettäessä kutsutaan AutoExec-makro, sammutettaessa - AutoExit ja uutta dokumenttia luotaessa - AutoNew.

Samanlaisia ​​mekanismeja (mutta eri nimillä makroja ja funktioita) käytetään Excel/Officessa, jossa automaattisten ja sisäänrakennettujen makrojen roolia suorittavat automaattiset ja sisäänrakennetut toiminnot, jotka ovat kaikissa makroissa tai makroissa, ja useat sisäänrakennetut voivat olla yhdessä makro- ja automaattitoiminnoissa. Mihin tahansa näppäimeen tai ajankohtaan tai päivämäärään liittyvät makrot/toiminnot suoritetaan myös automaattisesti (eli ilman käyttäjän toimia), ts. Word/Excel kutsuu makroa/funktiota, kun tiettyä näppäintä (tai näppäinyhdistelmää) painetaan tai kun tietty aika saavutetaan. Officessa tapahtumien sieppausmahdollisuuksia on jonkin verran laajennettu, mutta periaate on sama.

Word-, Excel- tai Office-tiedostoja saastuttavat makrovirukset käyttävät yleensä yhtä kolmesta yllä luetellusta tekniikasta - virus sisältää joko automaattisen makron (automaattisen toiminnon) tai ohittaa jonkin vakiojärjestelmämakroista (johonkin valikkokohtaan liittyy) tai virusmakro kutsutaan automaattisesti, kun painat mitä tahansa näppäintä tai näppäinyhdistelmää. On myös puoliviruksia, jotka eivät käytä kaikkia näitä tekniikoita ja lisääntyvät vain, kun käyttäjä käynnistää ne itsenäisesti. Näin ollen, jos asiakirja on saanut tartunnan, Word kutsuu asiakirjaa avattaessa tartunnan saaneen automaattisen makron AutoOpen (tai AutoClose, kun asiakirja suljetaan) ja suorittaa siten viruskoodin, ellei DisableAutoMacros-järjestelmämuuttuja ole poistanut sitä käytöstä. Jos virus sisältää vakionimiä makroja, niitä ohjataan, kun vastaavaa valikkokohtaa kutsutaan (Tiedosto/Avaa, Tiedosto/Sulje, Tiedosto/Tallenna nimellä). Jos jokin näppäimistösymboli ohitetaan, virus aktivoituu vasta, kun vastaavaa näppäintä painetaan.

Useimmat makrovirukset sisältävät kaikki toimintonsa tavallisina Word/Excel/Office-makroina. On kuitenkin viruksia, jotka käyttävät tekniikoita koodinsa piilottamiseen ja koodin tallentamiseen ei-makrojen muodossa. Tunnettuja tekniikoita on kolme, jotka kaikki käyttävät makrojen kykyä luoda, muokata ja suorittaa muita makroja. Tällaisissa viruksissa on yleensä pieni (joskus polymorfinen) virusmakrolataaja, joka kutsuu sisäänrakennetun makroeditorin, luo uuden makron, täyttää sen pääviruksen koodilla, suorittaa sen ja sitten pääsääntöisesti tuhoaa sen. (viruksen jälkien piilottamiseksi). Tällaisten virusten pääkoodi on joko itse virusmakrossa muodossa tekstijonoja(joskus salattu) tai tallennettu asiakirjan muuttuja-alueelle tai Auto-text-alueelle.

Word-makrovirusten algoritmi

Useimmat tunnetuimmat Word-virukset siirtävät käynnistettäessä koodinsa (makronsa) dokumentin globaalille makroalueelle ("yleiset" makrot). Tätä varten ne käyttävät makrokopiointikomentoja MacroCopy, Organizer.Copy tai makroeditorin avulla - virus kutsuu sitä ja luo uuden makron, lisää siihen koodisi, jonka se tallentaa dokumenttiin. Kun suljet Wordin, globaalit makrot (myös virusmakrot) kirjoitetaan automaattisesti globaalien makrojen DOT-tiedostoon (yleensä NORMAL.DOT). Näin ollen, kun seuraavan kerran käynnistät MS-Word-editorin, virus aktivoituu sillä hetkellä, kun WinWord lataa globaaleja makroja, ts. heti. Sitten virus ohittaa (tai sisältää jo) yhden tai useamman vakiomakron (esimerkiksi FileOpen, FileSave, FileSaveAs, FilePrint) ja sieppaa siten komentoja tiedostojen käsittelyä varten. Kun näitä komentoja kutsutaan, virus saastuttaa käytettävän tiedoston. Tätä varten virus muuntaa tiedoston mallimuotoon (mikä tekee tiedostomuotoon muut muutokset mahdotonta, eli muuntaminen ei-mallimuotoon mahdotonta) ja kirjoittaa makronsa tiedostoon, mukaan lukien Auto-makro. Näin ollen, jos virus sieppaa FileSaveAs-makron, jokainen viruksen sieppaaman makron kautta tallennettu DOC-tiedosto saa tartunnan. Jos FileOpen-makro siepataan, virus kirjoitetaan tiedostoon, kun se luetaan levyltä.

Toista menetelmää viruksen viemiseksi järjestelmään käytetään paljon harvemmin - se perustuu niin kutsuttuihin "lisäosa"-tiedostoihin, ts. tiedostot, jotka ovat palvelulisäyksiä Wordiin. Tässä tapauksessa NORMAL.DOT ei muutu, ja Word lataa virusmakrot käynnistettäessä tiedostosta (tai tiedostoista), jotka on määritelty "lisäosaksi". Tämä menetelmä toistaa lähes täysin globaalien makrojen tartunnan, paitsi että virusmakrot ei tallenneta NORMAL.DOT-tiedostoon, vaan johonkin muuhun tiedostoon. Virus on myös mahdollista viedä STARTUP-hakemistossa oleviin tiedostoihin - Word lataa automaattisesti mallitiedostot tästä hakemistosta, mutta tällaisia ​​viruksia ei ole vielä tavattu. Edellä käsitellyt menetelmät järjestelmään viemiseksi ovat jonkinlaisia ​​DOS-virusten analogeja. Ei-asumisen analogi ovat makrovirukset, jotka eivät siirrä koodiaan järjestelmämakrojen alueelle - tartuttaakseen muita dokumenttitiedostoja, he joko etsivät niitä sisäänrakennetulla Word-funktiot käsitellä tiedostoja tai käyttää äskettäin muokattujen tiedostojen luetteloa (Äskettäin käytettyjen tiedostojen luettelo). Nämä virukset sitten avaavat asiakirjan, saastuttavat sen ja sulkevat sen.

Algoritmi Excel työ makrovirukset

Excel-virusten toistomenetelmät ovat yleensä samanlaisia ​​kuin Word-virusten. Erot ovat makrokopiokomentoissa (esim. Sheets.Copy) ja NORMAL.DOT:n puuttumisessa - sen tehtävän (viraalisessa mielessä) suorittavat Excelin STARTUP-hakemistossa olevat tiedostot. On huomattava, että niitä on kaksi mahdollisia vaihtoehtoja makroviruskoodin sijainti Excel-taulukoissa. Suurin osa näistä viruksista kirjoittaa koodinsa VBA (Visual Basic for Applications) -muodossa, mutta on viruksia, jotka tallentavat koodinsa vanhaan Excel-version 4.0 muotoon. Tällaiset virukset eivät pohjimmiltaan eroa VBA-viruksista, lukuun ottamatta eroja Excel-taulukoiden viruskoodien sijainnin muodossa. Vaikka Excelin uudemmat versiot (versiosta 5 alkaen) käyttävät kehittyneempiä tekniikoita, kyky suorittaa makroja vanhemmista Excel-versioista on säilytetty yhteensopivuuden säilyttämiseksi. Tästä syystä kaikki Excel 4 -muodossa kirjoitetut makrot ovat täysin toimivia kaikissa myöhemmissä versioissa huolimatta siitä, että Microsoft ei suosittele niiden käyttöä eikä sisällytä tarvittavaa dokumentaatiota Exceliin.

Viruksen toimintaalgoritmi Accessille

Koska Access on osa Office Pro -pakettia, Accessin virukset ovat samoja Visual Basic -makroja kuin muut virukset, jotka tartuttavat Office-sovelluksia. Tässä tapauksessa järjestelmä sisältää kuitenkin automaattisten makrojen sijaan automaattisia komentosarjoja, joita järjestelmä kutsuu eri tapahtumien yhteydessä (esimerkiksi Autoexec). Nämä komentosarjat voivat sitten kutsua erilaisia ​​makroohjelmia. Näin ollen, kun tietokannat ovat saastuneet Käytä tietoja viruksen on korvattava jokin automaattinen komentosarja ja kopioitava makronsa tartunnan saaneeseen tietokantaan. Skriptien tartuttaminen ilman lisämakroja ei ole mahdollista, koska skriptikieli on varsin primitiivinen eikä sisällä tähän tarvittavia toimintoja.

On huomattava, että Access-termeissä komentosarjoja kutsutaan makroiksi (makroiksi) ja makroja moduuleiksi (moduuliksi), mutta jatkossa käytetään yhtenäistä terminologiaa - komentosarjat ja makrot. Access-tietokantojen käsittely on vaikeampi tehtävä kuin muiden makrovirusten poistaminen, koska Accessin tapauksessa on tarpeen neutraloida virusmakrojen lisäksi myös automaattiset komentosarjat. Koska merkittävä osa Accessin työstä on uskottu komentosarjoille ja makroille, minkä tahansa elementin virheellinen poistaminen tai deaktivointi voi johtaa siihen, että tietokannan kanssa ei voi toimia. Sama pätee viruksiin – automaattisten komentosarjojen virheellinen korvaaminen voi johtaa tietokantaan tallennettujen tietojen menetykseen.

AmiPro virukset

Kun työskentelet minkä tahansa asiakirjan kanssa, AmiPro-editori luo kaksi tiedostoa - itse asiakirjatekstin (nimitunniste SAM) ja lisätiedoston, joka sisältää asiakirjamakroja ja mahdollisesti muita tietoja (nimitunniste - SMM). Molempien tiedostojen muoto on melko yksinkertainen - ne ovat tavallisia tekstitiedostoja, joissa sekä muokattava teksti että ohjauskomennot ovat tavallisten tekstimerkkijonojen muodossa. Asiakirja voidaan määrittää mille tahansa makrolle SMM-tiedostosta (AssignMacroToFile-komento). Tämä makro on analoginen MS Wordin AutoOpen- ja AutoClose-makrojen kanssa, ja AmiPro-editori kutsuu sitä avattaessa tai suljettaessa tiedostoa. Ilmeisesti AmiPro ei pysty sijoittamaan makroja "yhteiselle" alueelle, joten AmiPron virukset voivat saastuttaa järjestelmän vain avattaessa tartunnan saaneen tiedoston, mutta eivät järjestelmää ladattaessa, kuten tapahtuu MS-Wordille NORMAALI-tiedoston saastuttamisen jälkeen. .DOT-tiedosto. Kuten MS Word, AmiPro antaa sinun ohittaa järjestelmämakrot (esimerkiksi SaveAs, Save) ChangeMenuAction-komennolla. Kun ohitettuja toimintoja (valikkokomentoja) kutsutaan, ohjataan tartunnan saaneita makroja, ts. viruskoodi.

Hiljaiset virukset

Tämän luokan edustajat käyttävät erilaisia ​​keinoja naamioidakseen läsnäolonsa järjestelmässä. Tämä saavutetaan yleensä sieppaamalla useita tiedostojen käsittelystä vastaavia järjestelmätoimintoja. "Stealth"-tekniikat tekevät viruksen havaitsemisen mahdottomaksi ilman erikoistyökaluja. Virus peittää sekä vaikutuksen alaisen objektin (tiedoston) pituuden lisäyksen että sen rungon siinä "korvaamalla" tiedoston "terveen" osan tilalleen.

Kun tarkistat tietokonettasi virustorjuntaohjelmat lue tiedot - tiedostot ja järjestelmäalueet - mistä Kovalevyt ja levykkeitä työkalujen avulla käyttöjärjestelmä ja BIOS. Stealth-viruksia tai näkymättömiä viruksia jätetään sisään RAM-muisti tietokoneen erikoismoduulit, jotka sieppaavat ohjelmia, jotka käyttävät tietokoneen levyalijärjestelmää. Jos tällainen moduuli havaitsee, että käyttäjäohjelma yrittää lukea tartunnan saaneen tiedoston tai järjestelmän levyalueen, se korvaa luettavan tiedon lennossa ja pysyy siten havaitsematta ja pettää virustorjuntaohjelmia.

Hiljaiset virukset voivat myös piiloutua säikeiden muodossa järjestelmässä ja muissa prosesseissa, mikä tekee niistä myös paljon vaikeampaa tunnistaa. Tällaisia ​​stealth-viruksia ei voi edes nähdä kaikkien käynnissä olevien virusten luettelossa, Tämä hetki, prosessijärjestelmässä.

On yksinkertainen tapa poistaa Stealth-virusten naamiointimekanismi käytöstä. Riittää, kun käynnistät tietokoneen saastumattomalta järjestelmän levykkeeltä ja tarkistat tietokoneen virustorjuntaohjelmalla käynnistämättä ohjelmia tietokoneen levyltä (ne voivat olla saastuneita). Tässä tapauksessa virus ei pääse hallintaansa ja asentaa RAM-muistiin pysyvää moduulia, joka toteuttaa stealth-algoritmin; virustorjunta lukee levylle todellisuudessa kirjoitetut tiedot ja tunnistaa helposti "basillin".

Useimmat virustentorjuntaohjelmat vastustavat varkaiden virusten yrityksiä jäädä huomaamatta, mutta jotta niille ei annettaisi yhtäkään mahdollisuutta, tietokone on käynnistettävä levykkeeltä, jolle virustorjuntaohjelmat tulee olla, ennen kuin tietokone tarkistetaan virustorjuntaohjelmalla. kirjoitettu. Monet virustentorjuntaohjelmat vastustavat niin hyvin salaperäisiä viruksia, että ne havaitsevat ne yrittäessään naamioitua. Tällaiset ohjelmat lukevat skannattavat ohjelmatiedostot levyltä käyttämällä useita erilaisia ​​menetelmiä- esimerkiksi käyttöjärjestelmän ja BIOSin kautta: jos poikkeavuuksia havaitaan, päätellään, että RAM-muistissa on luultavasti stealth-virus.

Polymorfiset virukset

Polymorfisiin viruksiin kuuluvat virukset, joita ei voida havaita (tai jotka ovat erittäin vaikeita) käyttämällä niin kutsuttuja virustunnisteita - tietylle virukselle spesifisiä vakiokoodin osia. Tämä saavutetaan kahdella päätavalla - salaamalla pääviruskoodi ei-pysyvällä avaimella ja satunnaisella joukolla salauksenpurkukomentoja tai muuttamalla itse suoritettavaa viruskoodia. On myös muita, melko eksoottisia esimerkkejä polymorfismista - esimerkiksi DOS-virus "Bomber" on salaamaton, mutta komentosarja, joka siirtää hallinnan viruskoodiin, on täysin polymorfinen.

Polymorfismia, jonka monimutkaisuusaste vaihtelee, löytyy kaikenlaisista viruksista - käynnistys- ja tiedosto DOS-viruksista Windows-viruksiin ja jopa makroviruksiin.

Useimmat kysymykset liittyvät termiin "polymorfinen virus". Tämänkaltainen tietokonevirukset näyttää olevan vaarallisin tänään.

Polymorfiset virukset ovat viruksia, jotka muokkaavat koodiaan tartunnan saaneissa ohjelmissa siten, että saman viruksen kaksi kopiota eivät välttämättä täsmää yhdessä bitissä.

Tällaiset virukset eivät vain salaa koodiaan käyttämällä erilaisia ​​salauspolkuja, vaan sisältävät myös salaus- ja salauksenpurkukoodin, mikä erottaa ne tavallisista salausviruksista, jotka voivat myös salata osia koodistaan, mutta joilla on samaan aikaan jatkuva salaus- ja salauksenpurkukoodi. .

Polymorfiset virukset ovat viruksia, joissa on itsemuovautuvat salauksenpurkut. Tällaisen salauksen tarkoitus: jos sinulla on tartunnan saanut ja alkuperäinen tiedosto, et silti pysty analysoimaan sen koodia säännöllisen purkamisen avulla. Tämä koodi on salattu ja se on merkityksetön joukko komentoja. Virus itse suorittaa salauksen purkamisen suorituksen aikana. Tässä tapauksessa vaihtoehdot ovat mahdollisia: hän voi purkaa itsensä kerralla tai hän voi suorittaa tällaisen salauksen "lennossa", hän voi salata uudelleen jo käytettyjä osia. Kaikki tämä tehdään viruskoodin analysoinnin vaikeuttamiseksi.

Polymorfiset salauksenpurkut

Polymorfiset virukset käyttävät monimutkaisia ​​​​algoritmeja luomaan salauksenpurkajiensa koodin: ohjeet (tai niiden vastineet) järjestetään uudelleen tartunnasta tartunnaksi, laimennettuna komennoilla, jotka eivät muuta mitään, kuten NOP, STI, CLI, STC, CLC, DEC unused register, XCHG käyttämättömät rekisterit jne. d.

Täydelliset polymorfiset virukset käyttävät vieläkin monimutkaisempia algoritmeja, minkä seurauksena virussalauksen purkaja voi sisältää operaatioita SUB, ADD, XOR, ROR, ROL ja muita mielivaltaisessa lukumäärässä ja järjestyksessä. Avainten ja muiden salausparametrien lataaminen ja muuttaminen suoritetaan myös mielivaltaisella toimintosarjalla, josta lähes kaikki ohjeet löytyvät Intel prosessori(ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP...) kaikilla mahdollisilla osoitetiloilla. Myös polymorfisia viruksia ilmaantuu, joiden salauksen purkaja käyttää ohjeita Intel386 asti, ja kesällä 1997 löydettiin 32-bittinen polymorfinen virus, joka saastuttaa Windows95 EXE -tiedostoja. Nyt on jo olemassa polymorfisia viruksia, jotka voivat käyttää myös nykyaikaisten prosessorien erilaisia ​​komentoja.

Tämän seurauksena tällaisen viruksen saastuttaman tiedoston alussa on joukko ohjeita, jotka ovat ensi silmäyksellä merkityksettömiä, ja joitain varsin toimivia yhdistelmiä ei oteta patentoiduissa purkajissa (esimerkiksi yhdistelmä CS:CS : tai CS:NOP). Ja tämän komentojen ja datan "sotkusta" välillä lipsahtaa MOV, XOR, LOOP, JMP - ohjeet, jotka todella "toimivat".

Polymorfismin tasot

Polymorfiset virukset on jaettu tasoihin riippuen näiden virusten salauksenpurkuohjelmista löytyvän koodin monimutkaisuudesta. Tätä jakoa ehdotti ensimmäisenä Dr. Alan Solomon, jonkin ajan kuluttua Vesselin Bonchev laajensi sitä.

Taso 1: virukset, joilla on tietty joukko salauksenpurkulaitteita, joilla on vakiokoodi ja jotka tartunnan saaneena valitsevat niistä yhden. Tällaiset virukset ovat "puolipolymorfisia" ja niitä kutsutaan myös "oligomorfisiksi". Esimerkkejä: "Cheeba", "Slovakia", "Valas".
Taso 2: Viruksen salauksenpurkuohjelma sisältää yhden tai useamman pysyvän käskyn, mutta pääosa on ei-pysyvä.
Taso 3: salauksen purkaja sisältää käyttämättömiä ohjeita - "roskaa", kuten NOP, CLI, STI jne.
Taso 4: Salauksen purkaja käyttää vaihdettavia ohjeita ja uudelleenjärjestys (sekoitus) -käskyjä. Salauksen purkualgoritmi ei muutu.
Taso 5: kaikkia yllä olevia tekniikoita käytetään, salauksenpurkualgoritmi ei ole vakio, viruskoodi on mahdollista salata uudelleen ja jopa itse salauksenpurkukoodi osittain salata.
Taso 6: permutoivat virukset. Viruksen pääkoodia voidaan muuttaa - se on jaettu lohkoihin, jotka tartunnan saaneena järjestetään uudelleen satunnaisessa järjestyksessä. Virus toimii edelleen. Tällaisia ​​viruksia ei välttämättä salata.

Yllä oleva jako ei ole vapaa puutteista, koska se on tehty yhden kriteerin mukaan - kyky havaita virus salauksenpurkukoodilla käyttämällä virusmaskien standarditekniikkaa:

Taso 1: viruksen havaitsemiseksi riittää, että sinulla on useita maskeja

Taso 2: maskin tunnistus käyttämällä "jokerimerkkejä"

Taso 3: tunnistus maskilla "roska"-ohjeiden poistamisen jälkeen

Taso 4: maski sisältää useita mahdollisia koodivaihtoehtoja, esim. muuttuu algoritmiseksi
Taso 5: kyvyttömyys havaita virusta maskin avulla

Tällaisen jakautumisen riittämättömyys on osoitettu polymorfismin 3. tason viruksessa, jota kutsutaan "tasoksi 3". Tämä virus, joka on yksi monimutkaisimmista polymorfisista viruksista, kuuluu yllä olevan jaon mukaan tasolle 3, koska sillä on jatkuva salauksenpurkualgoritmi, jota edeltää suuri määrä "roska"-komentoja. Tässä viruksessa roskien generointialgoritmi on kuitenkin saatu täydellisyyteen: lähes kaikki i8086-prosessorin ohjeet löytyvät salauksenpurkukoodista.

Jos jaetaan tasoihin virustentorjuntaohjelmien näkökulmasta, jotka käyttävät järjestelmiä viruskoodin automaattiseen purkamiseen (emulaattorit), jako tasoihin riippuu viruskoodin emuloinnin monimutkaisuudesta. Virus on mahdollista havaita muilla menetelmillä, esimerkiksi salauksen purkaminen matemaattisten alkeislakien avulla jne.

Siksi minusta näyttää objektiivisemmalta jaostolta, jossa virusnaamioiden kriteerin lisäksi myös muut parametrit osallistuvat:

Polymorfisen koodin monimutkaisuusaste (prosenttiosuus kaikista prosessorin käskyistä, jotka löytyvät salauksenpurkukoodista)
Käyttämällä anti-emulaatiotekniikoita
Salauksenpurkualgoritmin johdonmukaisuus
Salauksenpurkulaitteen pituuden pysyvyys

Suoritettavan koodin muuttaminen

Useimmiten tätä polymorfismin menetelmää käyttävät makrovirukset, jotka luodessaan itsestään uusia kopioita vaihtavat satunnaisesti muuttujiensa nimiä, lisäävät tyhjiä rivejä tai muuttavat koodiaan jollain muulla tavalla. Siten viruksen algoritmi pysyy ennallaan, mutta viruskoodi muuttuu lähes kokonaan tartunnasta tartunnaksi.

Monimutkaiset käynnistysvirukset käyttävät tätä menetelmää harvemmin. Tällaiset virukset ruiskuttavat käynnistyssektoreihin vain melko lyhyen menettelyn, joka lukee pääviruskoodin levyltä ja siirtää hallinnan sille. Tämän menettelyn koodi valitaan useista eri vaihtoehdoista (jotka voidaan myös sekoittaa "tyhjä"-komentoihin), komennot järjestetään uudelleen jne.

Tämä tekniikka on vielä harvinaisempi tiedostovirusten kanssa - loppujen lopuksi niiden on vaihdettava koodinsa kokonaan, ja tämä vaatii melko monimutkaisia ​​algoritmeja. Tähän mennessä tunnetaan vain kaksi tällaista virusta, joista toinen ("Ply") siirtää satunnaisesti komentojaan kehossaan ja korvaa ne JMP- tai CALL-komennoilla. Toinen virus ("TMC") käyttää monimutkaisempaa menetelmää - joka kerta, kun se saa tartunnan, virus vaihtaa koodinsa ja datansa lohkoja, lisää "roskaa", asettaa uudet offset-arvot tiedoille kokoonpanoohjeissaan, muuttaa vakioita, jne. Tämän seurauksena, vaikka virus ei salaa koodiaan, se on polymorfinen virus - koodissa ei ole jatkuvaa komentosarjaa. Lisäksi virus muuttaa pituuttaan luodessaan itsestään uusia kopioita.

Virukset tuhoavan toiminnan tyypin mukaan

Ulkonäön perusteella tuhoisia tekoja Virukset voidaan jakaa kolmeen ryhmään:

Tietovirukset (ensimmäisen sukupolven virukset)

Ns. ensimmäisen sukupolven virukset ovat kaikki tällä hetkellä olemassa olevia viruksia, joiden toiminnan tarkoituksena on tuhota, muuttaa tai varastaa tietoa.

Laitteistovirukset (toisen sukupolven virukset)

Tämäntyyppinen virus voi vahingoittaa tietokoneen laitteistoa. Esimerkiksi tyhjennä BIOS tai korruptoi se, häiritse kiintolevyn loogista rakennetta siten, että se on vain mahdollista palauttaa matalan tason muotoilu(eikä aina). Tämän lajin ainoa edustaja on vaarallisin koskaan ollut virus, Win95.CIH "Chernobly"-virus. Kerran tämä virus sammutti miljoonia tietokoneita. Hän poisti ohjelman BIOSista, mikä sammutti tietokoneen, ja sama tuhosi kaikki tiedot kovalevy joten sen palauttaminen oli lähes mahdotonta.

Tällä hetkellä "villiä" laitteistoviruksia ei ole havaittu. Asiantuntijat kuitenkin ennustavat jo tällaisten uusien virusten ilmaantumista, jotka voivat saastuttaa BIOSin. Suojatakseen tällaisilta viruksilta jokaiselle emolevylle on tarkoitus asentaa erityiset jumpperit, jotka estävät kirjoittamisen BIOSiin.

Psykotrooppiset virukset (kolmannen sukupolven virukset)

Nämä virukset voivat tappaa ihmisen vaikuttamalla häneen tietokoneen näytön tai kaiuttimien kautta. Toistamalla tiettyjä ääniä, tiettyä taajuutta tai tiettyä eri värien välkkymistä näytöllä psykotrooppiset virukset voivat aiheuttaa epileptisen kohtauksen (tälle alttiilla ihmisillä), sydämenpysähdyksen tai aivoverenvuotoa.

Onneksi tällaisten virusten todellista olemassaoloa ei nykyään tunneta. Monet asiantuntijat kyseenalaistavat tämän tyyppisen viruksen yleisen olemassaolon. Mutta yksi asia on varma. Psykotrooppisia tekniikoita on jo pitkään keksitty vaikuttamaan ihmiseen äänen tai kuvan kautta (ei pidä sekoittaa kehykseen 25). Epileptinen kohtaus on erittäin helppo aiheuttaa sellaiselle henkilölle. Useita vuosia sitten joissakin tiedotusvälineissä puhuttiin uudesta viruksesta nimeltä "666". Tämä virus näyttää jokaisen 24 kuvan jälkeen näytöllä erityisen väriyhdistelmän, joka voi muuttaa katsojan elämän. Seurauksena on, että ihminen joutuu hypnoottiseen transsiin, aivot menettävät hallinnan kehon toiminnasta, mikä voi johtaa tuskalliseen tilaan, sydämen toimintatavan muutokseen, verenpaineeseen jne. Mutta nykyään väriyhdistelmät eivät ole laissa kiellettyjä. Siksi ne voivat esiintyä näytöillä aivan laillisesti, vaikka niiden vaikutuksen seuraukset voivat olla katastrofaalisia meille kaikille.

Esimerkki tällaisesta vaikutuksesta on sarjakuva "Pokemon"; sen jälkeen, kun yksi jaksoista näytettiin Japanissa, sadat lapset joutuivat sairaalaan hirveän päänsäryn ja aivoverenvuodon vuoksi. Jotkut heistä ovat kuolleet. Sarjakuvassa oli kehyksiä, joissa oli tietyn väripaletin kirkas sukupolvi, yleensä nämä ovat punaisia ​​välähdyksiä mustalla taustalla tietyssä järjestyksessä. Tämän tapauksen jälkeen tämä sarjakuva KIELLETTIIN näytettäväksi Japanissa.

Vielä yksi esimerkki voidaan antaa. Kaikki varmaan muistavat mitä Moskovassa tapahtui jalkapallomaajoukkueemme Japanin maajoukkueen ottelun lähetyksen jälkeen (jos en erehdy). Mutta päälle suuri näyttö He näyttivät vain videon, jossa mies törmäsi autoa lepakolla. Tämä on myös psykotrooppinen vaikutus, koska videon "ihmiset" näkeminen alkoi tuhota kaikkea ja kaikkia heidän tiellään.

Materiaalit ja tiedot on otettu lähteistä:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

  • Jos haluat lähettää kommentteja, kirjaudu sisään tai rekisteröidy

Melkein jokainen tietokoneen omistaja, vaikkei hän vielä olisikaan perehtynyt viruksiin, on varmasti kuullut niistä erilaisia ​​tarinoita ja tarinoita. Useimmat niistä ovat tietysti muiden aloittelevien käyttäjien liioiteltuja.

Joten mikä on virus?

Virus on itseään replikoituva ohjelma. Monet virukset eivät tee tietokoneellesi mitään tuhoisaa; jotkut virukset esimerkiksi tekevät pientä pahaa: näyttävät kuvan näytöllä, käynnistävät tarpeettomia palveluita, avaavat Internet-sivuja aikuisille jne. Mutta on myös sellaisia, jotka voivat aiheuttaa tietokone vioittuu, levy alustetaan tai vioittuu Bios emolevy maksuja.

Aluksi on luultavasti syytä ymmärtää suosituimmat myytit Internetissä leijuvista viruksista.

1. Virustorjunta - suoja kaikkia viruksia vastaan

Valitettavasti se ei ole. Jopa kehittyneellä virustorjuntaohjelmalla viimeinen tukikohta- et ole immuuni virushyökkäykseltä. Olet kuitenkin enemmän tai vähemmän suojattu tunnetuilta viruksilta; vain uudet, virustentorjuntatietokannan tuntemattomat, muodostavat uhan.

2. Virukset leviävät tiedostojen mukana

Tämä on väärin. Esimerkiksi musiikin, videoiden, kuvien kanssa virukset eivät leviä. Mutta usein käy niin, että virus naamioituu näiksi tiedostoiksi ja pakottaa kokemattoman käyttäjän tekemään virheen ja käynnistämään haittaohjelman.

3. Jos saat virustartunnan, tietokoneesi on vakavassa vaarassa

Tämä ei myöskään pidä paikkaansa. Useimmat virukset eivät tee mitään. Heille riittää, että he yksinkertaisesti saastuttavat ohjelmia. Mutta joka tapauksessa kannattaa kiinnittää huomiota tähän: tarkista ainakin koko tietokone virustorjuntaohjelmalla, jossa on uusin tietokanta. Jos he saivat tartunnan toiseen, miksi he eivät voineet saada toista?!

4. Älä käytä postia - turvallisuuden tae

Pelkään, että tämä ei auta. On mahdollista, että saat kirjeitä postitse tuntemattomista osoitteista. On parasta olla avaamatta niitä, poistaa ne ja tyhjentää roskakori välittömästi. Yleensä virus tulee kirjeessä liitteenä, ja jos käynnistät sen, tietokoneesi saa tartunnan. Itsesi suojaaminen on melko helppoa: älä avaa tuntemattomilta tulleita kirjeitä... On myös hyvä ottaa käyttöön roskapostisuodattimet.

5. Jos kopioit tartunnan saaneen tiedoston, olet saanut tartunnan

Yleensä, kunnes suoritat suoritettavaa tiedostoa, virus, kuten tavallinen tiedosto, yksinkertaisesti makaa levylläsi eikä tee sinulle mitään pahaa.

Tietokonevirusten tyypit

Ensimmäiset virukset (historia)

Tämä tarina alkoi noin 60-70-luvulla joissakin laboratorioissa Yhdysvalloissa. Tietokoneessa oli tavallisten ohjelmien lisäksi myös sellaisia, jotka toimivat itsenäisesti, joita kukaan ei ohjannut. Ja kaikki olisi hyvin, jos he eivät kuormittaisi raskaasti tietokonetta ja tuhlaa resursseja.

Kymmenen vuotta myöhemmin, 80-luvulla, tällaisia ​​ohjelmia oli jo useita satoja. Vuonna 1984 itse termi "tietokonevirus" ilmestyi.

Tällaiset virukset eivät yleensä peitä läsnäoloaan käyttäjältä millään tavalla. Useimmiten he puuttuivat hänen työhönsä näyttämällä hänelle joitain viestejä.

Vuonna 1985 ilmestyi ensimmäinen vaarallinen (ja mikä tärkeintä nopeasti leviävä) tietokonevirus, Brain. Vaikka se oli kirjoitettu hyvillä aikomuksilla - rangaista merirosvoja, jotka kopioivat ohjelmia laittomasti. Virus toimi vain ohjelmistojen laittomissa kopioissa.

Brain-viruksen perilliset olivat olemassa vielä noin kymmenen vuotta ja sitten heidän lukumääränsä alkoi laskea jyrkästi. He eivät toimineet älykkäästi: he yksinkertaisesti tallensivat kehonsa ohjelmatiedostoon, mikä lisäsi sen kokoa. Virustentorjuntaohjelmat oppivat nopeasti määrittämään koon ja löytämään tartunnan saaneet tiedostot.

Ohjelmistovirukset

Ohjelman runkoon kiinnitettyjen virusten jälkeen alkoi ilmestyä uusia tyyppejä - erillisen ohjelman muodossa. Mutta suurin vaikeus on kuinka pakottaa käyttäjä suorittamaan tällainen haittaohjelma? Se osoittautuu hyvin yksinkertaiseksi! Riittää, kun kutsut sitä jonkinlaiseksi ohjelman katkaisijaksi ja laitat sen verkkoon. Monet ihmiset vain lataavat sen, ja kaikista virustorjuntavaroituksista huolimatta (jos sellainen on), he käynnistävät sen silti...

Vuosina 1998-1999 maailmaa ravisteli vaarallisin virus - Win95.CIH. Se poisti Biosin käytöstä emolevy. Tuhannet tietokoneet ympäri maailmaa sammutettiin.

Virus leviää sähköpostin liitetiedostojen kautta.

Vuonna 2003 SoBig-virus pystyi saastuttamaan satoja tuhansia tietokoneita, koska se itse oli liitetty käyttäjän lähettämiin kirjeisiin.

Tärkein taistelu tällaisia ​​viruksia vastaan: päivitä Windows-käyttöjärjestelmä säännöllisesti ja asenna virustorjunta. Kieltäytyä myös suorittamasta epäilyttävistä lähteistä saatuja ohjelmia.

Makrovirukset

Monet käyttäjät eivät todennäköisesti edes epäile sitä suoritettavan tiedoston lisäksi exe-tiedostoja tai com, tavalliset Microsoft Wordin tai Excelin tiedostot voivat muodostaa erittäin todellisen uhan. Kuinka tämä on mahdollista? VBA-ohjelmointikieli oli vain aikoinaan sisäänrakennettu näihin editoreihin, jotta asiakirjoihin voitiin lisätä makroja. Jos siis korvaat ne omalla makrollasi, saatat päätyä virukseen...

Nykyään lähes kaikki toimisto-ohjelmien versiot kysyvät ennen asiakirjan käynnistämistä tuntemattomasta lähteestä ehdottomasti uudelleen, haluatko todella suorittaa makroja tästä asiakirjasta, ja jos napsautat "ei" -painiketta, mitään ei tapahdu, edes jos asiakirjassa oli virus. Paradoksi on, että useimmat käyttäjät itse napsauttavat "kyllä"-painiketta...

Yksi tunnetuimmista makroviruksista voidaan pitää Mellis'y, joka saavutti huippunsa vuonna 1999. Virus tartutti asiakirjoja ja lähetti tartunnan saaneen kirjeen ystävillesi Outlookin kautta. Näin ollen se sai lyhyessä ajassa kymmeniä tuhansia tietokoneita ympäri maailmaa!

Script virukset

Makrovirukset kuuluvat tiettynä tyyppinä komentosarjavirusten ryhmään. Tässä on kysymys siitä, että Microsoft Office ei vain käytä skriptejä tuotteissaan, vaan myös muut ohjelmistopaketit sisältävät niitä. Esimerkiksi Media Player, Internet Explorer.

Suurin osa näistä viruksista leviää kirjeiden liitteiden ja sähköpostin välityksellä. Usein sijoitukset naamioituvat joksikin uudeksi kuvaksi tai musiikiksi. Älä missään tapauksessa käynnistä, tai vielä parempaa, älä edes avaa liitteitä tuntemattomista osoitteista.

Usein tiedostopäätteet johdattavat käyttäjiä harhaan... Onhan se jo pitkään ollut tiedossa, että kuvat ovat turvassa, niin miksi et voi avata postissa lähetettyä kuvaa... Oletuksena Explorer ei näytä tiedostopäätteitä . Ja jos näet kuvan nimen, kuten "interesnoe.jpg", tämä ei tarkoita, että tiedostolla on täsmälleen sama tiedostopääte.

Näet laajennukset ottamalla käyttöön seuraavan vaihtoehdon.

Esitetään esimerkkinä Windows 7. Jos siirryt mihin tahansa kansioon ja napsautat "organise/folder and search options", pääset "View"-valikkoon. Siellä on arvokas valintamerkkimme.

Poista valinta "piilota rekisteröityjen tiedostotyyppien laajennukset" ja ota myös käyttöön "näytä piilotetut tiedostot ja kansiot."

Jos nyt katsot sinulle lähetettyä kuvaa, saattaa hyvinkin käydä ilmi, että "interesnoe.jpg" muuttui yhtäkkiä "interesnoe.jpg.vbs". Siinä koko temppu. Monet aloittelevat käyttäjät ovat langenneet tähän ansaan useammin kuin kerran ja sortuvat siihen jatkossakin...

Pääsuoja komentosarjaviruksia vastaan ​​on päivittää käyttöjärjestelmä ja virustorjunta oikea-aikaisesti. Vältä myös katsomasta epäilyttäviä sähköposteja, varsinkin sellaisia, jotka sisältävät käsittämättömiä tiedostoja... Muuten, se ei muuten haittaisi tehdä tätä säännöllisesti varmuuskopion tallennus tärkeitä tietoja. Silloin olet 99,99 % suojassa kaikilta uhilta.

Troijalaiset

Vaikka tämä laji on luokiteltu virukseksi, se ei ole suoraan sellainen. Niiden tunkeutuminen tietokoneeseesi on monella tapaa samanlainen kuin virukset, vain niiden tehtävät ovat erilaisia. Jos viruksen tavoitteena on saastuttaa mahdollisimman monta tietokonetta ja suorittaa poistotoimia, avata ikkunoita jne., Troijalaisohjelmalla on pääsääntöisesti yksi tavoite - kopioida salasanasi eri palveluista ja saada tietoja. Usein tapahtuu, että troijalaista ohjelmaa voidaan ohjata verkon kautta, ja omistajan määräyksestä se voi käynnistää tietokoneesi välittömästi uudelleen tai, mikä vielä pahempaa, poistaa joitain tiedostoja.

On myös syytä huomata vielä yksi ominaisuus. Jos virukset tarttuvat usein muihin suoritettavat tiedostot, Troijalaiset eivät tee tätä, se on omavarainen erillinen ohjelma, joka toimii itsenäisesti. Hän naamioi itsensä usein jonkinlaiseksi järjestelmäprosessi, joten aloittelevan käyttäjän olisi vaikea saada sitä kiinni.

Välttääksesi joutumasta troijalaisten uhriksi, älä ensinnäkin lataa tiedostoja, kuten Internetin hakkerointia, joidenkin ohjelmien hakkerointia jne. Toiseksi, virustorjunnan lisäksi tarvitset myös erikoisohjelma, esimerkiksi: Cleaner, Trojan Remover, AntiViral Toolkit Pro jne. Kolmanneksi ei olisi tarpeetonta asentaa palomuuria (ohjelma, joka ohjaa muiden sovellusten pääsyä Internetiin) manuaalinen asetus, jossa estät kaikki epäilyttävät ja tuntemattomat prosessit. Jos troijalainen ohjelma ei pääse verkkoon, puolet työstä on jo tehty, ainakaan salasanasi eivät katoa mihinkään...

Yhteenvetona haluaisin sanoa, että kaikki toimenpiteet ja suositukset ovat hyödyttömiä, jos käyttäjä itse uteliaisuudesta käynnistää tiedostoja, poistaa virustorjuntaohjelmat käytöstä jne. Paradoksi on, että virustartuntaa esiintyy 90 %:ssa tapauksista. tietokoneen omistajan itsensä takia. No, jotta et joutuisi noiden 10 prosentin uhriksi, riittää joskus tuottaa. Silloin voit olla lähes 100 % varma, että kaikki on hyvin!

Tietokonevirusten tyypit

Nykyään ei ole ketään, joka ei olisi kuullut tietokoneviruksista. Mikä se on, mitä ne ovat? tietokonevirustyyppejä ja haittaohjelmia, yritetään selvittää ne tässä artikkelissa. Joten tietokonevirukset voidaan jakaa seuraaviin tyyppeihin:

Mainos- ja tiedotusohjelmilla tarkoitetaan ohjelmia, jotka päätehtävänsä lisäksi näyttävät myös mainosbannereita ja kaikenlaisia ​​ponnahdusikkunoita. Tällaisia ​​mainosviestejä voi joskus olla melko vaikea piilottaa tai poistaa käytöstä. Tällaiset mainosohjelmat riippuvat tietokoneen käyttäjien käyttäytymisestä ja ovat melko ongelmallisia järjestelmän turvallisuussyistä.

Takaovet

Piilotettujen hallintaohjelmien avulla voit ohittaa turvajärjestelmät ja asettaa asennetun käyttäjän tietokoneen hallintaasi. Hiljaisessa tilassa toimiva ohjelma antaa hakkereille rajattomat oikeudet hallita järjestelmää. Tällaisten takaovien ohjelmien avulla on mahdollista päästä käsiksi käyttäjän henkilökohtaisiin ja yksityisiin tietoihin. Usein tällaisia ​​ohjelmia käytetään järjestelmän saastuttamiseen tietokoneviruksilla ja haittaohjelmien salaa asentamiseen käyttäjän tietämättä.

Käynnistysvirukset

Usein tärkein käynnistyssektori erityiset käynnistysvirukset vaikuttavat kiintolevyllesi. Tämän tyyppiset virukset korvaavat järjestelmän sujuvan käynnistyksen kannalta välttämättömät tiedot. Yksi tällaisen haittaohjelman seurauksista on kyvyttömyys käynnistää käyttöjärjestelmää...

Bottiverkko

Bottiverkko on täysimittainen verkko Internetissä, joka on hyökkääjän hallinnassa ja koostuu useista tartunnan saaneista tietokoneista, jotka ovat vuorovaikutuksessa keskenään. Tällaista verkkoa valvotaan käyttämällä viruksia tai troijalaisia, jotka tunkeutuvat järjestelmään. Toiminnan aikana haittaohjelmat eivät ilmene millään tavalla ja odottavat hyökkääjän komentoja. Tällaisia ​​verkkoja käytetään roskapostiviestien lähettämiseen tai järjestämiseen DDoS-hyökkäykset tarvittaville palvelimille. Mielenkiintoista on, että tartunnan saaneiden tietokoneiden käyttäjät eivät välttämättä tiedä, mitä verkossa tapahtuu.

Käyttää hyväkseen

Hyökkäys (kirjaimellisesti tietoturva-aukko) on komentosarja tai ohjelma, joka hyödyntää käyttöjärjestelmän tai minkä tahansa ohjelman tiettyjä aukkoja ja haavoittuvuuksia. Samalla tavalla järjestelmään tunkeutuvat ohjelmat, joiden avulla voidaan saada järjestelmänvalvojan käyttöoikeudet.

Huijaus (kirjaimellisesti vitsi, valhe, huijaus, vitsi, petos)

Monet Internetin käyttäjät ovat saaneet jo useiden vuosien ajan sähköpostit viruksista, joita väitetään levitettäneen sähköpostitse. Tällaisia ​​varoituksia lähetetään joukoittain kyynelisen pyynnön kanssa, että ne lähetetään kaikille henkilökohtaisella luettelollasi oleville yhteyshenkilöille.

Ansoja

Honeypot (honey pot) on verkkopalvelu, jonka tehtävänä on valvoa koko verkkoa ja tallentaa hyökkäyksiä taudinpurkauksen sattuessa. Keskivertokäyttäjä on täysin tietämätön tällaisen palvelun olemassaolosta. Jos hakkeri tutkii ja tarkkailee verkkoa aukkojen varalta, hän voi hyödyntää tällaisen ansan tarjoamia palveluita. Tämä tallentaa lokitiedostoihin ja laukaisee myös automaattisen hälytyksen.

Makrovirukset

Makrovirukset ovat hyvin pieniä ohjelmia, jotka on kirjoitettu sovellusmakrokielellä. Tällaiset ohjelmat jaetaan vain niiden asiakirjojen kesken, jotka on luotu erityisesti tätä sovellusta varten.

Tällaisten haittaohjelmien aktivoimiseksi sovellus on käynnistettävä sekä tartunnan saaneen makrotiedoston suorittaminen. Ero tavallisiin makroviruksiin on se, että tartunta tapahtuu sovellusasiakirjoissa, ei sovellusten käynnistystiedostoissa.

Maatalous

Pharming on selaimen isäntätiedoston piilotettu manipulointi käyttäjän ohjaamiseksi väärennetylle verkkosivustolle. Huijarit ylläpitävät suuria palvelimia; tällaiset palvelimet tallentavat suuren tietokannan väärennetyistä Internet-sivuista. Kun käsittelet isäntätiedostoa troijalaisen tai viruksen avulla, on täysin mahdollista manipuloida tartunnan saanutta järjestelmää. Tämän seurauksena tartunnan saanut järjestelmä lataa vain väärennettyjä sivustoja, vaikka syötät osoitteen oikein selaimeen.

Tietojenkalastelu

Tietojenkalastelu tarkoittaa kirjaimellisesti käyttäjän henkilökohtaisten tietojen pyytämistä Internetissä. Hyökkääjä lähettää toimillaan potentiaalisen uhrin luo sähköposti, jossa ilmoitetaan, että henkilötiedot on lähetettävä vahvistusta varten. Usein tämä on käyttäjän etu- ja sukunimi, vaaditut salasanat, PIN-koodit päästäksesi käyttäjätileihin verkossa. Tällaisten varastettujen tietojen avulla hakkeri saattaa esiintyä toisena henkilönä ja suorittaa mitä tahansa toimia hänen puolestaan.

Polymorfiset virukset

Polymorfiset virukset ovat viruksia, jotka käyttävät työssään naamiointia ja transformaatiota. Prosessin aikana he voivat muuttaa omia ohjelmakoodi itseään ja siksi niitä on erittäin vaikea havaita, koska allekirjoitus muuttuu ajan myötä.

Ohjelmistovirukset

Tietokonevirus on yleinen ohjelma, joka voi liittyä itsenäisesti muihin käynnissä oleviin ohjelmiin ja vaikuttaa siten niiden toimintaan. Virukset jakavat itsenäisesti kopioita itsestään, mikä erottaa ne merkittävästi troijalaisista. Erona viruksen ja madon välillä on myös se, että toimiakseen virus tarvitsee ohjelman, johon se voi liittää koodinsa.

Rootkit

Rootkit on tietty joukko ohjelmisto, joka asennetaan salaisesti käyttäjän järjestelmään varmistaen, että kyberrikollisen henkilökohtainen kirjautuminen ja erilaiset prosessit piilotetaan, samalla kun tiedoista kopioidaan.

Käsikirjoitusvirukset ja madot

Tämäntyyppiset tietokonevirukset ovat melko yksinkertaisia ​​kirjoittaa ja ne leviävät pääasiassa Sähköposti. Skriptivirukset käyttävät skriptikieliä toimiakseen lisätäkseen itsensä uusiin skripteihin tai levitäkseen verkkotoimintojen kautta. Usein tartunta tapahtuu sähköpostitse tai käyttäjien välisen tiedostonvaihdon seurauksena. Mato on ohjelma, joka toistaa itsensä, mutta joka saastuttaa muut ohjelmat prosessissa. Kun madot lisääntyvät, ne eivät voi tulla osaksi muita ohjelmia, mikä erottaa ne niistä yleisiä lajeja tietokonevirukset.

Vakoiluohjelma

Vakoilijat voivat lähettää käyttäjän henkilötietoja hänen tietämättään kolmansille osapuolille. Vakoiluohjelma samalla he analysoivat käyttäjän käyttäytymistä Internetissä ja näyttävät kerättyjen tietojen perusteella käyttäjälle mainoksia tai ponnahdusikkunoita, jotka varmasti kiinnostavat käyttäjää.

Makrovirukset.

Yleisimpiä ovat makrovirukset integroidulle toimistosovellukselle Microsoft Office (Word, Excel, PowerPoint ja Access). Makrovirukset ovat itse asiassa makroja (makroja) sisäänrakennetussa ohjelmointikielessä Visual Basic for Applications (VBA), jotka sijoitetaan asiakirjaan.

Dokumentin parissa työskennellessä käyttäjä suorittaa erilaisia ​​toimintoja: avaa dokumentin, tallentaa, tulostaa, sulkee jne. Samanaikaisesti sovellus etsii ja suorittaa vastaavat vakiomakrot. Makrovirukset sisältävät vakiomakroja, niitä kutsutaan niiden sijaan ja ne tartuttavat kaikki avatut tai tallennetut asiakirjat. Makrovirusten haitalliset toiminnot toteutetaan sisäänrakennetuilla makroilla (tekstien lisääminen, sovellusvalikon komentojen suorittamisen estäminen jne.).

Makrovirukset ovat vain asukkaille,

Elokuussa 1995 alkoi ensimmäisen makroviruksen "Concept" epidemia tekstinkäsittelyohjelma Microsoft Word. Concept-makrovirus on edelleen laajalle levinnyt, ja sen muunnelmia tunnetaan tällä hetkellä noin 100.

Ennaltaehkäisevä suojaus makroviruksia vastaan ​​koostuu viruksen käynnistymisen estämisestä. Kun avaat asiakirjan Microsoft Office -sovelluksissa, saat ilmoituksen makrojen (mahdollisten virusten) esiintymisestä niissä ja sinua pyydetään estämään niiden lataaminen. Makrojen lataamisen estäminen suojaa tietokonettasi luotettavasti makrovirustartunnalta, mutta poistaa myös asiakirjan sisältämät hyödylliset makrot käytöstä.

Erityinen virustyyppi ovat JavaScript- tai VBScript-kielellä kirjoitetut aktiiviset elementit (ohjelmat), jotka voivat sisältyä Web-sivutiedostoihin. Infektio paikallinen tietokone tapahtuu, kun ne välitetään kautta Maailman laajuinen verkko Internet-palvelimista paikallisen tietokoneen selaimeen.

Marraskuussa 1998 ilmestyi ensimmäinen skriptivirus VBScript.Rabbit, joka tarttui Web-sivujen skripteihin, ja puolitoista vuotta myöhemmin, toukokuussa 2000, puhkesi maailmanlaajuinen "LoveLetter" -skriptiviruksen epidemia. Nyt tämän tyyppinen virus on vakaasti ensimmäinen paikka yleisimpien ja vaarallisimpien virusten luettelossa.

Ennaltaehkäisevä suojaus komentosarjaviruksia vastaan ​​koostuu selaimen estämisestä vastaanottamasta aktiivisia elementtejä paikallisella tietokoneella.

TIETÄÄ

Tietokonevirukset ovat haittaohjelmia, jotka voivat "moninkertaistaa" ja pistää salaa kopioita itsestään suoritettaviin tiedostoihin, levyn käynnistyssektoreihin ja asiakirjoihin. Tietokoneviruksen aktivointi voi aiheuttaa ohjelmien ja tietojen tuhoutumisen.



Virusten seuraukset ovat erilaisia. Virukset voidaan jakaa haitallisten vaikutustensa suuruuden perusteella:

  • vaaraton, jonka vaikutusta rajoittaa levyn vapaan muistin väheneminen, grafiikka, ääni ja muut ulkoiset tehosteet;
  • vaarallinen, mikä voi johtaa häiriöihin ja jäätymiseen tietokoneen käytön aikana;
  • erittäin vaarallinen, jonka aktivointi voi johtaa ohjelmien ja tietojen katoamiseen (tiedostojen ja hakemistojen muuttamiseen tai poistamiseen), kiintolevyn alustamiseen jne.

Tällä hetkellä tunnetaan useita kymmeniä tuhansia viruksia, jotka saastuttavat eri käyttöjärjestelmien tietokoneita. Virukset voidaan jakaa sen mukaan, miten he tallentavat ja suorittavat koodinsa käynnistys-, tiedosto-, makrovirukset Ja skriptivirukset.

Käynnistysvirukset tartuttaa levykkeen tai kiintolevyn käynnistyssektorin. Käynnistysvirusten toimintaperiaate perustuu algoritmeihin, joilla käyttöjärjestelmä käynnistetään, kun tietokone käynnistetään tai käynnistetään uudelleen.

Tiedostovirukset ne on upotettu suoritettaviin tiedostoihin eri tavoin ja aktivoituvat yleensä, kun ne käynnistetään. Saastuneen tiedoston suorittamisen jälkeen virus pysyy tietokoneen RAM-muistissa ja pysyy aktiivisena, kunnes tietokone sammutetaan tai käyttöjärjestelmä käynnistetään uudelleen.

Makrovirukset ovat vain asukkaille, eli ne sijaitsevat RAM-muistissa ja tartuttavat asiakirjoja sovelluksen ollessa auki. Lisäksi makrovirukset saastuttavat asiakirjamalleja ja aktivoituvat siksi, kun tartunnan saanut sovellus käynnistetään.

Kontrollikysymykset

1. Millaisia ​​tietokoneviruksia on olemassa, miten ne eroavat toisistaan ​​ja mitä tartunnan ehkäisyssä tulisi olla?

2. Miksi jopa puhtaasti alustettu levyke voi tulla virustartunnan lähde?

3. Tutustu virusten luokitukseen ja virustorjuntamenetelmiin käyttämällä Virus Encyclopediaa.

Virus on ohjelma, joka pystyy luomaan itsestään kopioita (ei välttämättä identtisiä alkuperäisen kanssa) ja viemään niitä tiedostoihin, tietokoneen järjestelmäalueisiin, tietokoneverkkoihin sekä suorittamaan muita tuhoisia toimia. Samalla kopiot säilyttävät mahdollisuuden levittää edelleen. Tietokonevirus on eräänlainen haittaohjelma.

Haittaohjelma on tietokoneohjelma tai kannettava koodi, joka on suunniteltu toteuttamaan tietokonejärjestelmään tallennettuihin tietoihin kohdistuvia uhkia tai tietokoneresurssien piilotettua väärinkäyttöä tai muita tietokonejärjestelmän normaalia toimintaa haittaavia vaikutuksia. Haitallisia ohjelmia ovat tietokonevirukset, troijalaiset, verkkomadot jne.

2. Viruksen elinkaari.

Koska virusten erottuva piirre perinteisessä mielessä on kyky lisääntyä yhdessä tietokoneessa, virukset jaetaan tyyppeihin lisääntymismenetelmien mukaan.

Itse lisääntymisprosessi voidaan jakaa useisiin vaiheisiin:

– Tietokoneen tunkeutuminen

– Viruksen aktivointi

– Etsi tartuttavia kohteita

– Viruskopioiden valmistelu

– Viruskopioiden käyttöönotto

Kunkin vaiheen toteutusominaisuudet synnyttävät attribuutteja, joiden joukko itse asiassa määrittää viruksen luokan.

3. Makrovirukset. Script virukset. Antaa esimerkkejä.

Makrovirukset ovat makrokielellä kirjoitettuja viruksia, jotka suoritetaan sovellusympäristössä. Useimmissa tapauksissa puhumme makroista Microsoft Office -asiakirjoissa.

Esimerkkejä. Jotkut tuhoisimmista makroviruksista ovat Macro.Word97.Thus-perheen jäseniä. Nämä virukset sisältävät kolme menettelyä Document_Open, Document_Close ja Document_New, jotka korvaavat vakiomakrot, jotka suoritetaan avattaessa, suljettaessa ja luotaessa dokumenttia, mikä saastuttaa muita asiakirjoja. Joulukuun 13. päivänä viruksen tuhoava toiminta käynnistyy - se poistaa kaikki tiedostot C:-asemalta, mukaan lukien hakemistot ja alihakemistot. Macro.Word97.Thus.aa-muutos valitsee määritettyjen toimintojen lisäksi jokaisen tartunnan saaneen asiakirjan avaamisen yhteydessä satunnaisen tiedoston paikalliselta levyltä ja salaa tämän tiedoston ensimmäiset 32 ​​tavua, mikä tekee järjestelmästä vähitellen käyttökelvottoman.

Komentosarjavirukset ovat viruksia, jotka suoritetaan tietyn komentotulkin ympäristössä: aiemmin - bat-tiedostot komentokuoressa DOS-kuori, nyt useammin VBS- ja JS-komentosarjat Windows Scripting Host (WSH) -komentotulkissa.

Esimerkkejä. Virus.VBS.Sling on kirjoitettu VBScriptillä (Visual Basic Script). Kun se käynnistetään, se etsii tiedostoja, joiden tunniste on .VBS tai .VBE, ja saastuttaa ne. Kun 16. kesäkuuta tai heinäkuuta koittaa, virus poistaa käynnistyessään kaikki tiedostot, joissa on .VBS- ja .VBE-laajennukset, mukaan lukien itsensä.

Virus.WinHLP.Pluma.a on virus, joka saastuttaa Windowsin ohjetiedostoja. Kun tartunnan saanut ohjetiedosto avataan, suoritetaan virusskripti, joka ei-triviaalilla menetelmällä (lähinnä skriptinkäsittelyn haavoittuvuus) käynnistää komentosarjan sisältämän tietyn koodirivin suoritettavaksi tavallisena Windows-tiedostona. Käynnissä oleva koodi etsii ohjetiedostoja levyltä ja lisää automaattisen käynnistyskomentosarjan järjestelmäalueelleen.