fila spyware, troieni, keyloggers
Ce trebuie să știți despre virușii de computer
De la începuturile calculatoarelor personale puse la dispoziția profesioniștilor și a publicului larg, a început să numere istoria virușilor de calculator. Sa dovedit că calculatoare și programe care se aplică dischetele personale, sunt cele mai „teren fertil“, în care există viruși lipsită de griji și vii. Mituri și legende care apar în jurul capacitatea de viruși de a vărsa apă peste tot, învălui aceste crearea de malware de ceață obscure și necunoscute.
Din păcate, chiar și cei mai experimentați în sistemul de afaceri administratorii (să nu mai vorbim de utilizatorii obișnuiți) nu întotdeauna imagina cu exactitate ce este un virus de calculator, deoarece acestea pătrund în calculatoare și rețele de calculatoare, iar unele pot fi dăunătoare. În același timp, nu înțelege mecanismul de funcționare și răspândirea virușilor, este imposibil de a organiza o protecție eficientă anti-virus. Chiar și cele mai bune software anti-virus va fi lipsit de putere în cazul în care este utilizat incorect.
O scurtă istorie a Viruși de computer
Ce este un virus de calculator?
Cea mai comună definiție a unui virus de calculator poate fi administrat ca o autopropage în codul program de calculator mediu de informații. Acesta poate fi implementat în fișierele executabile de comandă și programe care se răspândesc prin sectorul de boot al floppy disk-uri și hard disk-uri, documente, aplicatii de birou, prin e-mail, web-site-ul, precum și prin alte mijloace electronice.
Penetrante în sistemul informatic, virusul poate fi limitat la efecte vizuale sau sonore inofensive, și poate duce la pierderea sau coruperea datelor, precum și scurgerea de informații personale și confidențiale. În cel mai rău caz, un sistem informatic, incidența virusului, acesta poate fi sub controlul total al atacatorului.
Astăzi oamenii se bazează pe computere la soluția de mai multe sarcini critice. Prin urmare, eșecul sistemului informatic poate avea consecințe foarte, foarte grave, până la taxa umană (imaginați-vă virusul în sistemele informatice de servicii de aerodrom). Acest lucru nu trebuie uitat dezvoltatorii de sisteme informatice și administratorii de sisteme informatice.
În prezent, există zeci de mii de virusuri diferite. În ciuda acestui fapt abundență, există un număr destul de limitat de tipuri de virusuri, care diferă de la fiecare alte mecanisme și principii de acțiune de propagare. Există, de asemenea, virusuri combinate, care pot fi atribuite mai multor tipuri diferite. Vă vom spune despre diferitele tipuri de virusuri, care aderă în măsura în care este posibil în ordinea cronologică a apariției lor.
Punct de vedere istoric, virușii de fișiere au apărut viruși anterioare ale altor tipuri, și distribuite inițial în sistemul de operare MS-DOS. Penetrante în corpul programului fișiere COM și EXE, viruși de a le modifica în așa fel încât, atunci când executați controlul este transferat la programul nu este infectat, iar virusul. Virusul poate înregistra codul la sfârșitul anului, începutul sau mijlocul fișierului (fig. 1). Virusul poate împărți, de asemenea, codul în blocuri, plasându-le în diferite locații ale programului infectat.
Fig. 1. Fișierul MOUSE.COM virus
După ce a primit de control, virusul poate infecta alte programe care se infiltreze memoria calculatorului și efectuează alte funcții rău intenționate. Apoi, transferurile de virus de control la programul infectat, și care se execută în mod obișnuit. Ca rezultat al utilizatorului care rulează programul, și nu are nici o idee că ea a fost „bolnav“.
Rețineți că virușii de fișiere pot infecta nu numai programul COM și EXE, dar fișierele de program ale altor tipuri - Suprapuneri MS-DOS (OVL, OVI, OVR și altele), drivere SYS, DLL link-ul dinamic biblioteca, precum și orice fișiere cu un cod de program . Virușii de fișiere sunt proiectate nu numai pentru MS-DOS, dar și pentru alte sisteme de operare, cum ar fi Microsoft Windows, Linux, IBM OS / 2. Cu toate acestea, marea majoritate a virusurilor de acest tip se află în mediul de operare este MS-DOS și Microsoft Windows.
Programele moderne ocupă o cantitate considerabilă și se aplică, de regulă, pe CD-ROM. Programele de schimb de pe dischete au trecut mult timp. Prin instalarea programului de licență CD-ul, de obicei nu exista riscul de infectarea computerului cu un virus. Un alt lucru - CD-uri piratate. Aici, pentru ceea ce nu poate garanta (deși știm exemple de răspândire a virușilor și CD-ROM-ul cu licență).
Ca rezultat, astăzi, viruși de fișiere a dat palma popularitatea altor tipuri de virusuri pe care le avem mai multe de spus.
Virusii de boot obține controlul în etapa de inițializare a computerului, chiar înainte de a încărca sistemul de operare. Pentru a înțelege modul în care acestea funcționează, trebuie să vă amintiți secvența de inițializarea un computer și încărcarea sistemului de operare.
Imediat după pornirea computerului pornește procedura POST (Power On Self Test), înregistrate în BIOS. Auditul a determinat configurația computerului și verificarea eficienței subsistemelor sale majore. Apoi POST controalele de rutină, dacă discheta este introdusă în unitatea A. Dacă se introduce discului, în continuare sistemul de operare boot-area de pe o dischetă. În caz contrar, pornirea de pe un hard disk.
Când porniți de la o procedură de disc floppy POST citește de la înregistrarea ei de boot (Boot Record, BR) în memorie. Această intrare este întotdeauna situat în primul sector al unui floppy disk și este un mic program. Mai mult decât atât programul BR include o structură de date care definește formatul unui floppy disk și alte caracteristici. Apoi, procedura POST transmite managementul BR. După ce a primit de management, BR continuă în mod direct pentru a încărca sistemul de operare.
Atunci când pornirea de la procedura de unitate POST greu citește principal de încărcare (Master Boot Record, MBR) și scrie-l în memoria RAM a computerului. Această înregistrare conține descărcarea programului inițial și tabela de partiții, care descrie toate partițiile hard disk. Acesta este stocat în primul sector al hard disk.
Acum, cum să „lucreze“ virus.
In timp ce infectarea dischete sau virus de calculator disc de încărcare greu Înlocuiește MBR BR sau master boot record MBR-ul (fig. 2). înregistrări originale BR sau MBR-ul cu mențiunea de obicei, nu dispare (deși acest lucru nu este întotdeauna). Virusul copiile le într-unul din sectoarele de liber pe disc.
Fig. 2. înregistrarea de încărcare a virusului
Astfel, virusul devine de control imediat după POST. Apoi, de obicei, funcționează pe algoritm standard. Virusul se reproduce în cele din urmă a memoriei, reducând în același timp capacitatea disponibilă. După aceea, ea prinde unele funcții BIOS, astfel încât accesul la acestea transferă controlul virusului. La sfârșitul sarcinilor de rutină infecție cu virus în memoria calculatorului un sector de boot reală, și transferă controlul acestuia. Apoi, calculatorul pornește ca de obicei, dar virusul este deja în memorie și poate monitoriza performanța tuturor programelor și driver.
De foarte multe ori există viruși care combină proprietățile virusurilor din sectorul de boot fișiere și combinate.
Ca un exemplu, larg răspândită în ultimul OneHalf virusului pluripartite. Penetrant într-un computer cu sistem de operare MS-DOS, virusul infectează master boot record. In timpul unei sarcini virus de calculator cripta treptat sectoarele hard disk, începând cu cele mai recente sectoare. Atunci când modulul rezident al virusului este în memorie, ea controlează accesul la toate sectoarele criptate și le decriptează, astfel încât toate software-ul de calculator funcționează corect. Dacă OneHalf pur și simplu eliminați din memorie și sectorul de boot, devine imposibil de a citi corect informațiile stocate în sectoarele de disc criptate.
În cazul în care virusul criptează jumătate din hard disk, se afișează pe ecran inscripția:
Dis este jumătate. Apăsați orice tastă pentru a continua.
După aceea, așteaptă virus până când utilizatorul face clic pe orice tastă și își continuă activitatea
Virusul OneHalf utilizează mecanisme diferite pentru ascunderea ei. Acesta este un virus stealth și utilizează propagarea algoritmilor polimorfe. viruși Detectează și elimină OneHalf - o sarcină destul de dificilă, nu sunt disponibile pentru toate programele anti-virus.
După cum se știe, în sistemul de operare MS-DOS, Microsoft Windows și diverse versiuni, există trei tipuri de fișiere pe care utilizatorii pot rula. Această comandă sau fișiere lot BAT, precum și EXE COM executabilele. În același timp, în același director, în același timp, poate fi mai multe fișiere executabile cu același nume, dar o extensie de nume de fișier diferit.
Atunci când utilizatorul rulează programul și apoi intră în numele ei în sistemul de prompt a sistemului de operare, de obicei, nu specifică extensia de fișier. Ce fel de fișier va fi executat în cazul în care există mai multe programe director cu același nume, dar cu o extensie de nume de fișier diferit?
Se pare că, în acest caz, va rula fișierul COM. Dacă directorul curent sau un director specificat în variabila de mediu PATH, există doar fișiere EXE, și BAT, acesta va fi executat EXE.
Atunci când un virus infectează prin satelit fișier EXE sau BAT, el a creat în același director un alt fișier cu același nume, dar cu extensia COM. Virusul se scrie la COM-fișier. Astfel, atunci când executați programul de a obține primul control al virusului prin satelit, care poate rula apoi programul, dar sub controlul său.
Virusurile în lot fișiere
Există mai multe virusuri care pot infecta fișierele BAT lot. Pentru a face acest lucru, ei au folosit un mod foarte sofisticat. Vom lua în considerare pe exemplul BAT.Batman virusului. După infecție, fișierul lot la începutul inserat textul formularul de mai jos:
În procesul de propagare a virusului în urma înregistrării datelor în fișierele. În cazul în care prima linie, scrie la dosar, conține @echo de comandă, apoi descoperirile de virus care au înregistrat un fișier de lot și infectează-l.
viruși polimorfici criptatăse
Pentru a complica detectarea, unele virusuri cripta codul lor. De fiecare dată când virusul infectează un nou program, Codeaza propriul său cod, utilizând noua cheie. Ca rezultat, două copii ale virusului poate diferi semnificativ unele de altele chiar să fie de lungimi diferite. Codul de criptare al virusului complică foarte mult procesul de investigare. Programele convenționale nu va dezasambla acest virus.
Desigur, virusul poate funcționa numai dacă codul executabil este descifrat. În cazul în care programul infectat este rulat (sau de a începe de la o încărcare infectate MBR BR), iar virusul devine de control, trebuie să descifreze codul lor.
Pentru a face dificil de detectat virusul, criptare nu se aplică numai pentru chei diferite, dar procedurile de criptare diferite. Două copii ale acestor virusuri nu au nici o secvență de cod de potrivire. Astfel de virusuri, care ar putea modifica codul său complet sunt numite viruși polimorfi.
viruși Stealth încearcă să ascundă prezența în calculator. Ei au un modul rezident cu domiciliul în memoria calculatorului. Acest modul este instalat în momentul de începere a programului infectat sau boot de pe un disc infectat cu un virus de boot.
virus rezidente interceptări Modulul apeluri la subsistemul de disc al calculatorului. În cazul în care sistemul de operare sau alte programe pentru a citi fișiere program infectat, virusul introduce un adevărat, nu infectat, fișierul de program. Pentru a face acest lucru, un modul de virus rezident poate elimina temporar virusul din fișierul infectat. După sfârșitul fișierului este infectat din nou.
viruși Stealth funcționează în același mod. Când un program citește datele din sectorul de boot, în loc de sectorul infectat substituit sectorul de boot reale.
Mascarea virus stealth este declanșată numai în cazul în care memoria calculatorului este un modul de virus rezident de memorie. În cazul în care computerul este încărcat cu un „curat“, nu discul de sistem infectat, virusul nu are nici o șansă de a obține un control și, prin urmare, mecanismul de stealth nu funcționează.
Până acum am vorbit despre virușii identificați în fișierele de program executabile și sectoare de boot. Pachetul Răspândită suita de birou Microsoft Office a declanșat o avalanșă apariția unui nou tip de virus care nu se răspândească cu programe și fișiere de documente.
La prima vedere, poate părea imposibil - de fapt, un loc pentru a ascunde viruși în documente de tip text utilizând celule Microsoft Word sau Microsoft Excel într-o foaie de calcul?
Dar, de fapt, fișierele document Microsoft Office pot conține programe mici să se ocupe de aceste documente, redactate în limba Visual Basic pentru aplicații de programare. Acest lucru este valabil nu numai pentru documente Word și Excel, dar, de asemenea, la baza de date de acces, și dosar prezentări Power Point. Astfel de programe sunt create folosind macro-uri, astfel încât virușii care trăiesc în documente Office, numit makrokomandnymi.
Cum se aplica viruși makrokomandnye?
Împreună cu fișiere document. Utilizatorii pentru a partaja fișiere prin dischete, directoare de rețea, servere de fișiere de pe intranet-ul societatii, prin e-mail și alte canale. Pentru a infecta un makrokomandnym virus de computer, pur și simplu deschideți un fișier document în aplicația Office corespunzătoare - și ați terminat!
Acum, virusurile makrokomandnye sunt foarte frecvente, ceea ce contribuie în mare măsură la popularitatea Microsoft Office. Ele pot aduce prejudicii nu mai puțin, și, în unele cazuri, chiar mai mult decât virusurile „normale“ care infectează fișiere executabile și sectoarele de boot de discuri si dischete. Cele mai mari viruși pericol makrokomandnyh, în opinia noastră, este că ei pot schimba documentele infectate nedetectate pentru o lungă perioadă de timp.