Számítógépes vírusok – speciális programok, amelyeket a támadók hoznak létre valamilyen előny megszerzése érdekében. Működésük elve eltérő lehet: vagy információkat lopnak, vagy arra ösztönzik a felhasználót, hogy hajtson végre valamilyen műveletet a támadók érdekében, például töltsön fel egy fiókot vagy küldjön pénzt.
Ma sokféle vírus létezik. A főbbeket ebben a cikkben tárgyaljuk.

Féreg egy rosszindulatú program, amelynek célja, hogy megtöltse a számítógépet mindenféle szeméttel, hogy az lassú és ügyetlen legyen. A féreg képes önmagát reprodukálni, de nem lehet része a programnak. A vírussal való fertőzés leggyakrabban e-maileken keresztül történik.

Trójai (trójai, trójai faló)- Ez a program teljes mértékben igazolja a nevét. Beszivárog más programokba, és ott rejtőzik, amíg a gazdaprogram el nem indul. Amíg a gazdaprogram el nem indul, a vírus nem okozhat kárt. Leggyakrabban trójai falót használnak adatok törlésére, módosítására vagy ellopására. A trójaiak nem képesek önmagukban szaporodni.

Spyware- ezek a Stirlitzek információkat gyűjtenek a felhasználóról és cselekedeteiről. Legtöbbször lopnak. bizalmas információ: jelszavak, címek, kártya/számlaszámok stb.
Zombik – ezt a nevet a rosszindulatú programoknak adták, mert valójában "sántít" gépet csinálnak a számítógépből, engedelmeskedve a behatolóknak. Egyszerűen fogalmazva, a rossz emberek ezekkel a rosszindulatú programokkal irányíthatják valaki számítógépét. Leggyakrabban a felhasználó nem is tudja, hogy számítógépe már nem csak az övé.

Blokkoló program (banner)- ezek a programok blokkolják a hozzáférést operációs rendszer. A számítógép bekapcsolásakor a felhasználó egy felugró ablakot lát, amelyben általában megvádolják valamivel: szerzői jogok megsértésével vagy kalózszoftver letöltésével. Ezután jönnek a fenyegetések teljes eltávolítása minden információt a számítógépről. Ennek elkerülése érdekében a felhasználónak fel kell töltenie egy bizonyos telefon fiókját, vagy SMS-t kell küldenie. Csak most, még ha a felhasználó elvégzi is ezeket a műveleteket, a fenyegetés banner nem megy sehova.

Boot vírusok- nyomja meg a merevlemez (merevlemez) boot szektorát. Céljuk, hogy jelentősen lelassítsák az operációs rendszer betöltésének folyamatát. Miután hosszú ideig ki volt téve ezeknek a vírusoknak a számítógépen, nagy a valószínűsége annak, hogy az operációs rendszer egyáltalán nem töltődik be.

Kihasználni- Ezek speciális programok, amelyek segítségével a támadók behatolnak az operációs rendszerbe annak sebezhetőségein, nem védett helyein keresztül. Arra használják, hogy beszivárogjanak olyan programokba, amelyek ellopják a számítógéphez való hozzáférési jogok megszerzéséhez szükséges információkat.

Adathalászat- ez a művelet neve, amikor a támadó e-maileket küld áldozatainak. A levelek általában személyes adatok megerősítésére irányuló kérést tartalmaznak: teljes név, jelszavak, PIN-kódok stb. Így a hacker kiadhatja magát egy másik személynek, és például az összes pénzt levonhatja a számlájáról.

Spyware- olyan programok, amelyek a felhasználó tudta nélkül küldenek felhasználói adatokat harmadik félnek. A kémek azzal foglalkoznak, hogy tanulmányozzák a felhasználó viselkedését és kedvenc helyeit az interneten, majd olyan hirdetéseket jelenítenek meg, amelyek biztosan érdeklik őt.

rootkit – szoftver amelyek lehetővé teszik a támadó számára, hogy szabadon behatolhasson szoftveráldozatait, majd teljesen elrejti tartózkodásának minden nyomát.
A polimorf vírusok olyan vírusok, amelyek álcázzák és reinkarnálódnak. Munka közben megváltoztathatják saját kódjukat. Ezért nagyon nehéz felismerni őket.

Szoftvervírus- olyan program, amely más programokhoz kapcsolódik, és megzavarja azok munkáját. A trójai programokkal ellentétben a számítógépes vírusok képesek replikálódni, és a férgekkel ellentétben egy programra van szükségük, amely „ragad” ahhoz, hogy sikeresen működjön.
Így tehát azt mondhatjuk, hogy rosszindulatú program (Malware) minden olyan program, amelyet azért hoztak létre, hogy hozzáférést biztosítson egy számítógéphez és a benne tárolt információkhoz a számítógép tulajdonosának engedélye nélkül. Az ilyen tevékenységek célja bármilyen információ megsértése vagy ellopása. A " kifejezés Rosszindulatú» mindenkire általánosított létező vírusok. Nem szabad megfeledkezni arról, hogy a vírussal megfertőzött program nem fog megfelelően működni. Ezért el kell távolítani, majd újra telepíteni.

A bootstrap szektor háztartási vírusai. A C meghajtó indítóprogramjának farkára írt programok: vagy cserélje ki, a fertőzés pillanatától ellátva mind azt, mind a funkcióit. Ezek a vírusok akkor lépnek be a gépbe, amikor egy fertőzött hajlékonylemezről indulnak. A bootstrap program beolvasásakor és futtatásakor a vírus betöltődik a memóriába, és azt fertőzi meg, amit „szántunk”.

A fő rendszerindító rekord rendszerindító vírusai. Fertőzi meg a rendszer fő rendszerindító rekordját (Master Boot Record). merevlemezekés a rendszerindító szektor a hajlékonylemezeken. Ez a vírustípus a legalacsonyabb szinten veszi át a rendszer irányítását azáltal, hogy elfogja a számítógép hardvere és az operációs rendszer közötti utasításokat.

• Makrovírusok: egyes esetekben számítógépes programok makrónyelvek a gyakran végrehajtott eljárások automatizálására szolgálnak. A számítógépek teljesítményének növekedésével a megoldandó feladatok összetettebbé váltak. Egyes makrónyelvek lehetővé teszik az eredeti dokumentumtól eltérő formátumú fájlok írását. Ezt a funkciót a vírus szerzői használhatják dokumentumokat megfertőző makrók létrehozására. A makrovírusok általában átterjednek Microsoft fájlok Word és Excel.
• · Kombinált vírusok: olyan vírusok, amelyek a fenti tulajdonságok kombinációját mutatják. Megfertőzhetik a fájlokat, a rendszerindító szektorokat és a fő rendszerindító rekordokat.
• · Fájlvírusok: most nézzük meg, hogyan működik egy egyszerű fájlvírus. A rendszerindító vírusokkal ellentétben, amelyek szinte mindig rezidensek, a fájlvírusok nem feltétlenül rezidensek. Tekintsük egy nem-rezidens fájlvírus működési sémáját. Tegyük fel, hogy van egy fertőzött végrehajtható fájlunk. Amikor egy ilyen fájl elindul, a vírus megkapja az irányítást, végrehajt bizonyos műveleteket, és átadja az irányítást a "tulajdonosnak"

Milyen műveleteket hajt végre a vírus? Új objektumot keres a megfertőzéshez – egy megfelelő típusú fájlt, amely még nem fertőzött. Egy fájl megfertőzésével a vírus befecskendezi magát annak kódjába, hogy átvegye az irányítást a fájl futtatásakor. A vírus fő funkciója - a szaporodás - mellett valami bonyolultat is végezhet (mondjuk, kérdez, játszhat) - ez már a vírus szerzőjének képzeletétől függ. Ha egy fájlvírus tartózkodik, az telepíti magát a memóriába, és képes megfertőzni a fájlokat és megjeleníteni más képességeket, nem csak a fertőzött fájl futása közben. Egy futtatható fájl megfertőzésével a vírus mindig módosítja a kódját – így a futtatható fájl fertőzése mindig észlelhető. De a fájl kódjának megváltoztatásával a vírus nem feltétlenül hajt végre más módosításokat:

• nem szükséges módosítani a fájl hosszát
• a kód fel nem használt részeit
• nem szükséges módosítani a fájl elejét

Végül a fájlvírusok gyakran tartalmaznak olyan vírusokat, amelyeknek "köze van a fájlokhoz", de nem kell behatolniuk a kódjukba.

Így bármely fájl elindításakor a vírus megkapja az irányítást (az operációs rendszer maga indítja el), a memóriában tartózkodik, és átadja az irányítást a hívott fájlnak.

• · Boot-file vírusok: nem vesszük figyelembe a rendszerindító fájl vírus modellt, mert nincs ilyen új információ nem fogsz tudni róla. De itt a lehetőség, hogy röviden megvitassuk a mostanában rendkívül "népszerű" OneHalf rendszerindító fájl vírust, amely megfertőzi a fő rendszerindító szektort (MBR) és a végrehajtható fájlokat. A fő pusztító művelet a merevlemez-szektorok titkosítása. Minden induláskor a vírus a szektorok újabb részét titkosítja, és a merevlemez felét titkosítva boldogan bejelenti. A kezelés fő problémája ez a vírus az, hogy nem elég csak eltávolítani a vírust az MBR-ből és a fájlokból, hanem vissza kell fejteni az általa titkosított információkat.
• · Polimorf vírusok: A legtöbb kérdés a „polimorf vírus” kifejezéssel kapcsolatos. Ez a fajta számítógépes vírus messze a legveszélyesebb. Magyarázzuk el, mi az.

A polimorf vírusok olyan vírusok, amelyek úgy módosítják a kódjukat a fertőzött programokban, hogy előfordulhat, hogy ugyanazon vírus két példánya nem egyezik egy bitben.

Az ilyen vírusok nem csak a kódjukat titkosítják különböző titkosítási utakon, hanem tartalmazzák a titkosító és a visszafejtő generálási kódját is, ami megkülönbözteti őket a hagyományos titkosító vírusoktól, amelyek kódjuk szakaszait is képesek titkosítani, ugyanakkor állandó kódjuk van. a titkosító és a visszafejtő.

A polimorf vírusok önmódosító dekóderrel rendelkező vírusok. Az ilyen titkosítás célja, hogy ha fertőzött és eredeti fájlokkal is rendelkezik, akkor sem tudja elemezni a kódját a hagyományos szétszereléssel. Ez a kód titkosított, és értelmetlen parancskészlet. A visszafejtést maga a vírus végzi futás közben. Ugyanakkor lehetségesek a lehetőségek: egyszerre dekódolhatja magát, vagy "menet közben" hajthat végre egy ilyen visszafejtést, ismét titkosíthatja a már kidolgozott részeket. Mindezt azért teszik, hogy megnehezítsék a víruskód elemzését.

· Lopakodó vírusok: A számítógépes vizsgálat során a víruskereső programok adatokat – fájlokat és rendszerterületeket – olvasnak be merevlemezek valamint az operációs rendszert és a BIOS alap bemeneti/kimeneti rendszerét használó hajlékonylemezek. Futás után számos vírus bennmarad véletlen hozzáférésű memória számítógépes speciális modulok, amelyek elfogják a programok hozzáférését a számítógép lemezalrendszeréhez. Ha egy ilyen modul azt észleli, hogy a program egy fertőzött fájlt vagy a lemez rendszerterületét próbálja beolvasni, akkor menet közben lecseréli az olvasható adatokat, mintha nem lenne vírus a lemezen.

A lopakodó vírusok becsapják a víruskereső programokat, és ennek eredményeként észrevétlenek maradnak. Van azonban egy egyszerű módszer a lopakodó vírus álcázó mechanizmusának letiltására. Elég, ha a számítógépet nem fertőzött rendszer hajlékonylemezről indítja, és azonnal, anélkül, hogy a számítógép lemezéről más programok futtatása (amelyek szintén fertőzöttek lehetnek), átvizsgálják a számítógépet egy vírusirtó programmal.

A rendszer hajlékonylemezéről betöltve a vírus nem tudja megszerezni az irányítást, és nem tud olyan rezidens modult telepíteni a RAM-ba, amely rejtett mechanizmust valósít meg. Víruskereső program képes lesz elolvasni a lemezre ténylegesen írt információkat, és könnyen felismeri a vírust.

· Trójai falók, szoftveres könyvjelzők és hálózati férgek: A trójai faló (lásd a 2. ábra 2. függelékét) olyan program, amely valamilyen romboló funkciót tartalmaz, amely bizonyos triggerfeltételek bekövetkeztekor aktiválódik. Az ilyen programokat általában hasznos segédprogramoknak álcázzák. A vírusok trójai falókat hordozhatnak, vagy más programokat „trójaivá” tehetnek – destruktív funkciókat juttathatnak beléjük.

A „trójai falók” olyan programok, amelyek a dokumentációban leírt funkciókon túlmenően a biztonság megsértésével és romboló akciókkal kapcsolatos egyéb funkciókat is megvalósítanak. Feljegyeztek olyan eseteket, amikor ilyen programokat hoztak létre a vírusok terjedésének elősegítése érdekében. Az ilyen programok listáit széles körben teszik közzé a külföldi sajtóban. Általában játék- vagy szórakoztató programnak álcázzák magukat, és gyönyörű képekkel vagy zenével okoznak kárt.

· A programkönyvjelzők is tartalmaznak néhány olyan funkciót, amely kárt okoz a repülőgépben, de ez a funkció éppen ellenkezőleg, igyekszik a lehető legszembetűnőbb lenni, mert. minél tovább nem kelt gyanút a program, annál tovább fog működni a könyvjelző.

Ha a vírusok és trójai falók önreprodukciós lavinával vagy nyilvánvaló pusztítással okoznak kárt, akkor a számítógépes hálózatokban működő féreg típusú vírusok fő funkciója a megtámadott rendszer feltörése, pl. a biztonság megsértése a biztonság és az integritás veszélyeztetése érdekében.

Az FBI által vizsgált számítógépes bűncselekmények több mint 80%-ában a "crackerek" a globális interneten keresztül hatolnak be a támadott rendszerbe. Ha egy ilyen próbálkozás sikerrel jár, pillanatok alatt veszélybe kerülhet egy évekig tartó cég jövője.

Ezt a folyamatot egy hálózati féregnek nevezett vírus automatizálhatja.

A férgek olyan vírusok, amelyek globális hálózatokon terjednek, és egész rendszereket fertőznek meg, nem egyéni programokat. Ez a vírus legveszélyesebb típusa, mivel ebben az esetben a támadás tárgya Információs rendszerekállami skála. Az adventtel globális hálózat Internet, ez a fajta biztonsági incidens jelenti a legnagyobb veszélyt, hiszen a hálózathoz csatlakozó 40 millió számítógép közül bármelyik bármikor ki lehet téve ennek.

Vírusfajták

Paraméter neve	Jelentése
Cikk tárgya:	Vírusfajták
Rubrika (tematikus kategória)	Számítógépek

Mik a vírusok, a teremtés története

Vírusok

John von Neumann 1951-ben egy módszert javasolt önreprodukáló mechanizmusok létrehozására

Az első számítógépes vírusok megjelenését tévesen az 1970-es, sőt az 1960-as éveknek tulajdonítják. Általában ʼʼvírusnakʼʼként emlegetik az olyan programokat, mint az Animal, Creeper, Cookie Monster (az első és az utolsó a modern terminológiában a férgek, a CREEPER nem volt se vírus, se nem féreg, hanem egy önmozgó program, vagyis amikor be van kapcsolva távoli számítógép elindított új példány CREEPER, az előző példány leállt.)

A vírusok úgy terjednek, hogy lemásolják a testüket és biztosítják annak későbbi végrehajtását: beágyazzák magukat más programok futtatható kódjába, lecserélik más programokat, regisztrálják magukat az automatikus futtatásban stb. A vírus vagy hordozója nem csak gépi kódot tartalmazó programok, hanem minden olyan információ is, amely automatikusan végrehajtható parancsokat tartalmaz – például kötegfájlok és dokumentumok. Microsoft Wordés makrókat tartalmazó Excel. A számítógépbe való behatoláshoz azonban a vírus felhasználhatja a népszerű szoftverek sebezhetőségeit (pl. Adobe Flash, internet böngésző, Outlook), amelyet a terjesztők közönséges adatokba (képekbe, szövegekbe stb.) ágyaznak be a biztonsági rést kihasználó exploittal együtt.

Amikor reprodukálnak, a férgek csak néhány lemezkönyvtárba másolják a kódjukat, abban a reményben, hogy ezeket az új másolatokat egyszer a felhasználó futtatni fogja.

Az első ismert vírusok a Virus 1, 2, 3 és az Elk Cloner Apple II PC-kre. Mindkét vírus funkcionalitásukban nagyon hasonló, és egymástól függetlenül, rövid időintervallumban jelentek meg 1981-ben.

Egy számítógépes vírust biológiai vírusokról neveztek el hasonló terjedési mechanizmus miatt.

Úgy tűnik, a ʼʼvírusʼʼ szót először Gregory Benford használta egy műsorral kapcsolatban a ʼʼThe Scarredʼʼ című fantasy történetben, amely 1970 májusában jelent meg a Venture magazinban.

Az első vírusirtó - 1984.

A vírusok úgy terjednek, hogy lemásolják a testüket és biztosítják annak későbbi végrehajtását: beágyazzák magukat más programok futtatható kódjába, lecserélik más programokat, regisztrálják magukat az automatikus futtatásban stb. A vírus vagy hordozója nem csak gépi kódot tartalmazó program, hanem minden olyan információ is, amely automatikusan végrehajtható parancsokat tartalmaz.

a vírus élőhelyének megfelelően

‣‣‣ Fájl vírusok

‣‣‣ Indítsa el a vírusokat

‣‣‣ Kombinált hálózati makróvírusok

‣‣‣ Vírusok dokumentálása

‣‣‣ Hálózati vírusok

‣‣‣ Fájl indítható

Az élőhely szennyezésének módja szerint:

Rezidens vírus- ha egy számítógép fertőzött, akkor a RAM-ban hagyja a benne lévő részét, amely ezután elfogja az operációs rendszer hívásait a fertőzött objektumokhoz, és beléjük fecskendezi magát.

Nem rezidens vírusok ne fertőzzék meg a számítógép memóriáját, és korlátozott ideig aktívak.

A romboló lehetőségek szerint:

1. ártalmatlan (nem befolyásolja a számítógép működését, kivéve az elosztás miatti szabad memória csökkenését)
2. nem veszélyes (csökkentse a szabad lemezterületet)
3. veszélyes (kudarcokhoz vezethet)
4. Nagyon veszélyes (a mechanizmusok részeinek károsodása, programok elvesztése, adatok megsemmisülése)

A vírusalgoritmus jellemzői szerint .

A kísérővírusok olyan vírusok, amelyek nem módosítják a fájlokat.

A féregvírusok olyan vírusok, amelyek számítógépes hálózaton terjednek, és a kísérővírusokhoz hasonlóan nem módosítják a lemezen lévő fájlokat vagy szektorokat. Οʜᴎ behatolnak a számítógép memóriájába egy számítógépes hálózatról, kiszámítják más számítógépek hálózati címét, és ezekre a címekre küldik el másolatukat. Az ilyen vírusok néha működő fájlokat hoznak létre a rendszerlemezeken, de előfordulhat, hogy egyáltalán nem férnek hozzá a számítógép erőforrásaihoz (a RAM kivételével).

Polimorf vírusok- olyan vírusok, amelyek úgy módosítják a kódjukat a fertőzött programokban, hogy előfordulhat, hogy ugyanannak a vírusnak két példánya nem egyezik egy bitben. Ez a fajta számítógépes vírus messze a legveszélyesebb. Az ilyen vírusok nem csak a kódjukat titkosítják különböző titkosítási utakon, hanem tartalmazzák a titkosító és a visszafejtő generálási kódját is, ami megkülönbözteti őket a hagyományos titkosító vírusoktól, amelyek kódjuk szakaszait is képesek titkosítani, ugyanakkor állandó kódjuk van. a titkosító és a visszafejtő.

Lopakodó vírusok - Átverik a víruskereső programokat, és ennek eredményeként észrevétlen maradnak. Van azonban egy egyszerű módszer a lopakodó vírus álcázó mechanizmusának letiltására. Elég, ha a számítógépet nem fertőzött rendszer hajlékonylemezről indítja, és azonnal, anélkül, hogy a számítógép lemezéről más programok futtatása (amelyek szintén fertőzöttek lehetnek), átvizsgálják a számítógépet egy vírusirtó programmal. A rendszer hajlékonylemezéről betöltve a vírus nem tudja megszerezni az irányítást, és nem tud olyan rezidens modult telepíteni a RAM-ba, amely rejtett mechanizmust valósít meg. A víruskereső program képes lesz beolvasni a lemezre ténylegesen írt információkat, és könnyen felismeri a vírust.

Trójai falók (különösen a Den számára =)) - ez egy olyan program, amely valamilyen romboló funkciót tartalmaz, amely akkor aktiválódik, ha egy bizonyos triggerfeltétel bekövetkezik. Az ilyen programokat általában hasznos segédprogramoknak álcázzák. A ʼʼTrójai falókʼʼ olyan programok, amelyek a dokumentációban leírt funkciókon túlmenően a biztonság megsértésével és romboló akciókkal kapcsolatos egyéb funkciókat is megvalósítanak. Feljegyeztek olyan eseteket, amikor ilyen programokat hoztak létre a vírusok terjedésének elősegítése érdekében. Az ilyen programok listáit széles körben teszik közzé a külföldi sajtóban. Általában játék- vagy szórakoztató programnak álcázzák magukat, és gyönyörű képekkel vagy zenével okoznak kárt.

Férgek - vírusok, amelyek globális hálózatokon terjednek, és nem egyes programokat, hanem teljes rendszereket fertőznek meg. Ez a vírus legveszélyesebb típusa, mivel ebben az esetben a támadás tárgyai országos szintű információs rendszerek. A globális internet megjelenésével ezt a fajt A biztonsági rések jelentik a legnagyobb veszélyt, mivel a hálózathoz csatlakozó 40 millió számítógép közül bármelyik bármikor ki lehet téve ennek.

Vírusfajták - koncepció és típusok. A "Vírusfajták" kategória osztályozása és jellemzői 2017, 2018.

Az úgynevezett trójai falovak (trójaiak, trójaiak) is szomszédosak a számítógépes vírusokkal.

Szoftvervírusok.

A szoftvervírusok programkód-blokkok, amelyeket szándékosan más alkalmazási programokba ágyaznak be. Amikor egy vírust hordozó program elindul, elindul a bele ültetett víruskód.

Ennek a kódnak a működése a felhasználó elől rejtett változásokat okoz a merevlemezek fájlrendszerében és/vagy más programok tartalmában. Így például egy víruskód reprodukálhatja magát más programok testében – ezt a folyamatot reprodukciónak nevezik. Egy bizonyos idő elteltével, elegendő számú másolat létrehozása után, a szoftvervírus pusztító műveleteket hajthat végre: megzavarhatja a programok és az operációs rendszer működését, törölheti a merevlemezen tárolt információkat. Ezt a folyamatot vírustámadásnak nevezik.

A legpusztítóbb vírusok kezdeményezhetik a merevlemez formázását. Mivel a lemez formázása meglehetősen hosszadalmas folyamat, amelyet a felhasználó nem hagyhat figyelmen kívül, sok esetben a szoftvervírusok csak a rendszerben történő adatszaporításra korlátozódnak. kemény lemezt, ami egyenértékű a fájlrendszer tábláinak elvesztésével. Ebben az esetben a merevlemezen lévő adatok érintetlenek maradnak, de speciális eszközök használata nélkül lehetetlen használni, mivel nem tudni, hogy a lemez mely szektorai melyik fájlokhoz tartoznak. Elméletileg ebben az esetben lehetséges az adatok helyreállítása, de ennek a munkának a bonyolultsága rendkívül magas lehet.

Úgy gondolják, hogy egyetlen vírus sem képes letiltani Hardver számítógép. Vannak azonban olyan esetek, amikor a hardver és a szoftver annyira összefonódik, hogy a szoftversérülést a hardver cseréjével kell kijavítani. Például a legtöbb modern alaplapok az alap bemeneti/kimeneti rendszert (BIOS) írható, csak olvasható tárolóeszközökön (az úgynevezett flash memóriában) tárolják.

Egyes szoftvervírusok a BIOS-adatok megsemmisítésére használják a flash memória chipben lévő információk felülírásának lehetőségét.

Ebben az esetben a számítógép működőképességének helyreállításához vagy a BIOS-t tároló chip cseréje, vagy speciális szoftvereszközök segítségével történő újraprogramozás szükséges.

A szoftvervírusok akkor jutnak be a számítógépébe, amikor nem ellenőrzött programokat futtat, amelyekre fogadott külső adathordozó(hajlékonylemez, CD stb.) vagy az internetről érkezett. Speciális figyelem kezdéskor figyelni kell a szavakra. A fertőzött fájlok normál másolása során a számítógép nem fertőződhet meg. E tekintetben minden internetről kapott adatot kötelező biztonsági ellenőrzésnek kell alávetni, és ha ismeretlen forrásból kéretlen adat érkezik, azt mérlegelés nélkül meg kell semmisíteni. A "trójaiak" terjesztésének elterjedt technikája az, hogy egy e-mailt csatolnak egy "ajánlással" egy vélhetően hasznos program kibontására és futtatására.

boot vírusok.

Tól től szoftvervírusok A rendszerindító vírusok terjedési módja különbözik. Nem ütöttek program fájlok, a mágneses adathordozók bizonyos rendszerterületei (hajlékonylemezek és merevlemezek). Ezenkívül, amikor a számítógép be van kapcsolva, átmenetileg a RAM-ban helyezkedhetnek el.

Általában a fertőzés akkor következik be, amikor a számítógépet olyan mágneses adathordozóról indítják el, amelynek rendszerterülete rendszerindító vírust tartalmaz. Így például, amikor megpróbálja elindítani a számítógépet egy hajlékonylemezről, a vírus először behatol a RAM-ba, majd a merevlemezek rendszerindító szektorába. Ezenkívül ez a számítógép maga is a rendszerindító vírus terjesztési forrásává válik.

Makrovírusok.

Ez a vírustípus bizonyos alkalmazási programokban futtatott dokumentumokat fertőz meg. Eszközök birtokában az úgynevezett makrók végrehajtásához. Ezek a dokumentumok különösen dokumentumokat tartalmaznak szövegszerkesztő Microsoft Word (.Doc kiterjesztéssel rendelkeznek). Fertőzés akkor következik be, amikor egy dokumentumfájlt megnyitnak a program ablakában, kivéve, ha a makrók végrehajtása le van tiltva a programban.

Más típusú vírusokhoz hasonlóan a támadás eredménye lehet viszonylag ártalmatlan vagy pusztító.

A számítógépes vírusok fő típusai.

Jelenleg több mint 5000 szoftvervírus ismert, ezek a következő jellemzők szerint osztályozhatók (1. ábra):

• -élőhely;
• - a környezet szennyezésének módja;
• - hatás;
• - az algoritmus jellemzői:

Az élőhelytől függően a vírusok hálózati, fájlrendszerű, rendszerindító és fájlrendszerindításra oszthatók.

A hálózati vírusok különféle módon terjednek számítógépes hálózatok.

A fájlvírusok főként végrehajtható modulokban fertőznek, pl. COM és EXE kiterjesztésű fájlokhoz. A fájlvírusok más típusú fájlokat is megfertőzhetnek, de általában ilyen fájlokban íródnak, soha nem kapják meg az irányítást, és ezért elvesztik a reprodukálási képességüket.

A rendszerindító vírusok megfertőzik a lemez indító szektorát (Boot) vagy a rendszerindító programot tartalmazó szektort. rendszerlemez(Master Boot Record).

A fájlrendszerindító vírusok a fájlokat és a lemezek rendszerindító szektorait is megfertőzik.

A fertőzés módja szerint a vírusokat rezidensekre és nem rezidensekre osztják.

• - Amikor egy rezidens vírus megfertőz egy számítógépet, a RAM-ban hagyja annak rezidens részét, amely aztán elfogja az operációs rendszer hozzáférését a fertőzött objektumokhoz (fájlokhoz, rendszerindító szektorokhoz stb.), és beszivárog azokba. A helyi vírusok a memóriában maradnak, és a számítógép kikapcsolásáig vagy újraindításáig aktívak maradnak.
• - A nem rezidens vírusok nem fertőzik meg a számítógép memóriáját, és korlátozott ideig aktívak.

A hatás mértéke szerint a vírusok a következő típusokra oszthatók:

• - ártalmatlan, nem zavarja a számítógépet, de csökkenti a szabad RAM és a lemezterület mennyiségét, az ilyen vírusok tevékenysége bármilyen grafikai vagy hanghatásban megnyilvánul;
• - veszélyes vírusok, ami a számítógép különféle hibáihoz vezethet;
• - nagyon veszélyes, amelynek hatása programok elvesztéséhez, adatok megsemmisüléséhez, információk törléséhez vezethet a lemez rendszerterületein.

14. előadás Számítógépes vírusok

A számítógépes bűncselekmények osztályozása.

Számítógépes vírusok, tulajdonságaik és osztályozásuk

A számítógépes vírusok tulajdonságai

Először is a vírus egy program. Egy ilyen egyszerű kijelentés önmagában is eloszlathat számos legendát a számítógépes vírusok rendkívüli képességeiről. A vírus megfordíthatja a képet a monitoron, de magát a monitort nem. Nem kell komolyan venni azokat a legendákat sem, amelyek arról szólnak, hogy a gyilkos vírusok „megsemmisítik az operátorokat halálos színséma megjelenítésével a 25. képkockán”.

A vírus olyan program, amely képes önmagát reprodukálni. Ez a képesség az egyetlen eszköz minden típusú vírusban. De nem csak a vírusok képesek önreplikációra. Bármely operációs rendszer és sok más program képes saját másolatot készíteni. Ugyanazon vírus másolatainak nemcsak nem kell teljesen megegyezniük az eredetivel, de előfordulhat, hogy egyáltalán nem egyeznek meg vele!

Egy vírus nem létezhet "teljes elszigeteltségben": ma már elképzelhetetlen olyan vírus, amely ne használja más programok kódját, fájlszerkezeti információit, vagy akár csak más programok nevét. Az ok egyértelmű: a vírusnak valamilyen módon biztosítania kell az irányítás átadását önmagának.

A vírusok osztályozása

élőhely

a környezetszennyezés módja

hatás

algoritmus jellemzői

Az élőhelytől függően a vírusok hálózati, fájlrendszerű, rendszerindító és fájlrendszerindításra oszthatók.

Hálózati vírusok különféle számítógépes hálózatokon elosztva.

Fájlvírusok főként végrehajtható modulokba vannak beágyazva, azaz COM és EXE kiterjesztésű fájlokba. A fájlvírusok más típusú fájlokat is megfertőzhetnek, de általában ilyen fájlokban íródnak, soha nem kapják meg az irányítást, és ezért elvesztik a reprodukálási képességüket.

Boot vírusok be vannak ágyazva a lemez indító szektorába (Boot-sector) vagy a rendszerlemez indítóprogramját tartalmazó szektorba (MasterBootRe-cord).

Fájl-indítás a vírusok a fájlokat és a lemez indító szektorait is megfertőzik.

A fertőzés módja szerint a vírusokat rezidensekre és nem rezidensekre osztják.

Rezidens vírus a számítógép megfertőzésekor (fertőzésekor) a RAM-ban hagyja annak rezidens részét, amely aztán elfogja az operációs rendszer hozzáférését a fertőzés objektumokhoz (fájlok, lemez indító szektorai stb.), és behatol azokba. A helyi vírusok a memóriában maradnak, és a számítógép kikapcsolásáig vagy újraindításáig aktívak maradnak.

Nem rezidens vírusok ne fertőzzék meg a számítógép memóriáját, és korlátozott ideig aktívak.

A hatás mértéke szerint a vírusok a következő típusokra oszthatók:

nem veszélyes, amelyek nem zavarják a számítógép működését, de csökkentik a szabad RAM és a lemezmemória mennyiségét, az ilyen vírusok tevékenysége bármilyen grafikai vagy hanghatásban megnyilvánul

veszélyes vírusok, amelyek különféle problémákat okozhatnak a számítógépen

nagyon veszélyes, melynek hatása programok elvesztéséhez, adatok megsemmisüléséhez, információk törléséhez vezethet a lemez rendszerterületein.

Az algoritmus sajátosságai szerint a vírusok nagy sokféleségük miatt nehezen osztályozhatók.

replikátor vírusok, hívott férgek, amelyek számítógépes hálózatokon vannak elosztva, kiszámítják a hálózati számítógépek címeit, és ezekre a címekre írják a másolataikat.

ismert láthatatlan vírusok, hívott lopakodó vírusok, amelyeket nagyon nehéz észlelni és semlegesíteni, mivel elfogják az operációs rendszer hívását az érintett fájlokhoz és lemezszektorokhoz, és a törzsük helyett a nem fertőzött lemezterületeket helyettesítik.

A legnehezebb észlelni mutáns vírusok, amely titkosító-visszafejtő algoritmusokat tartalmaz, amelyeknek köszönhetően ugyanazon vírus másolataiban nincs egyetlen ismétlődő bájtlánc sem. Vannak még ún kvázi vírusos vagy "Trójai" olyan programok, amelyek bár nem képesek önszaporodásra, de nagyon veszélyesek, mert hasznos programnak álcázva magukat, tönkreteszik a rendszerindító szektort és fájlrendszer lemezek.

Boot vírusok

Fontolja meg egy nagyon egyszerű rendszerindító vírus működését, amely megfertőzi a hajlékonylemezeket. (boot szektor).

Tegyük fel, hogy van egy üres hajlékonylemeze és egy fertőzött számítógépe, ami alatt egy olyan számítógépet értünk, amelyben aktív rezidens vírus található. Amint a vírus észleli, hogy megfelelő áldozat jelent meg a meghajtóban - esetünkben egy nem írásvédett és még nem fertőzött hajlékonylemez, akkor tovább fertőz. Hajlékonylemez megfertőzésekor a vírus a következő műveleteket hajtja végre:

lefoglal egy bizonyos területet a lemezről, és elérhetetlennek jelöli az operációs rendszer számára, ez többféleképpen is megtehető, a legegyszerűbb és hagyományos esetben a vírus által elfoglalt szektorok rossznak (rossznak) vannak jelölve.

a végét és az eredeti (egészséges) rendszerindító szektort a lefoglalt lemezterületre másolja

lecseréli a bootstrap programot rendszerindító szektor(igazi) a fejeddel

séma szerint szervezi meg az irányítás átadási láncát.

Így a vírus feje most először veszi át az irányítást, a vírus a memóriába kerül, és átadja az irányítást az eredeti rendszerindító szektornak.

Fájlvírusok

Most nézzük meg, hogyan működik egy egyszerű fájlvírus.

A rendszerindító vírusokkal ellentétben, amelyek szinte mindig rezidensek, a fájlvírusok nem feltétlenül rezidensek. Tekintsük egy nem-rezidens fájlvírus működési sémáját. Tegyük fel, hogy van egy fertőzött végrehajtható fájlunk. Amikor egy ilyen fájl elindul, a vírus megkapja az irányítást, végrehajt bizonyos műveleteket, és átadja az irányítást a "tulajdonosnak"

Milyen műveleteket hajt végre a vírus? Új objektumot keres a megfertőzéshez – egy megfelelő típusú fájlt, amely még nem fertőzött. Egy fájl megfertőzésével a vírus befecskendezi magát annak kódjába, hogy átvegye az irányítást a fájl futtatásakor. A vírus fő funkciója - a szaporodás - mellett valami bonyolultat is végezhet (mondjuk, kérdez, játszhat) - ez már a vírus szerzőjének képzeletétől függ. Ha egy fájlvírus tartózkodik, az telepíti magát a memóriába, és képes megfertőzni a fájlokat és megjeleníteni más képességeket, nem csak a fertőzött fájl futása közben. Egy futtatható fájl megfertőzésével a vírus mindig módosítja a kódját – így a futtatható fájl fertőzése mindig észlelhető.

De a fájl kódjának megváltoztatásával a vírus nem feltétlenül hajt végre más módosításokat:

nem szükséges módosítani a fájl hosszát

a kód fel nem használt részeit

nem szükséges módosítani a fájl elejét

Így bármely fájl elindításakor a vírus megkapja az irányítást (az operációs rendszer maga indítja el), a memóriában tartózkodik, és átadja az irányítást a hívott fájlnak.

Boot-fájl vírusok

A fő pusztító művelet a merevlemez-szektorok titkosítása. Minden induláskor a vírus a szektorok újabb részét titkosítja, és a merevlemez felét titkosítva boldogan bejelenti. A vírus kezelésében a fő probléma az, hogy nem elég csak eltávolítani a vírust a fájlokból, hanem vissza kell fejteni az általa titkosított információkat.

Polimorf vírusok

Ez a fajta számítógépes vírus messze a legveszélyesebb. Magyarázzuk el, mi az.

A polimorf vírusok olyan vírusok, amelyek úgy módosítják a kódjukat a fertőzött programokban, hogy előfordulhat, hogy ugyanazon vírus két példánya nem egyezik egy bitben.

Az ilyen vírusok nem csak a kódjukat titkosítják különböző titkosítási utakon, hanem tartalmazzák a titkosító és a visszafejtő generálási kódját is, ami megkülönbözteti őket a hagyományos titkosító vírusoktól, amelyek kódjuk szakaszait is képesek titkosítani, ugyanakkor állandó kódjuk van. a titkosító és a visszafejtő.

A polimorf vírusok önmódosító dekóderrel rendelkező vírusok. Az ilyen titkosítás célja, hogy ha fertőzött és eredeti fájlokkal is rendelkezik, akkor sem tudja elemezni a kódját a hagyományos szétszereléssel. Ez a kód titkosított, és értelmetlen parancskészlet. A visszafejtést maga a vírus végzi futás közben. Ugyanakkor lehetségesek a lehetőségek: egyszerre dekódolhatja magát, vagy "menet közben" hajthat végre egy ilyen visszafejtést, ismét titkosíthatja a már kidolgozott részeket. Mindezt azért teszik, hogy megnehezítsék a víruskód elemzését.

Lopakodó vírusok

A lopakodó vírusok becsapják a víruskereső programokat, és ennek eredményeként észrevétlenek maradnak. Van azonban egy egyszerű módszer a lopakodó vírus álcázó mechanizmusának letiltására. Elég, ha a számítógépet nem fertőzött rendszer hajlékonylemezről indítja, és azonnal, anélkül, hogy a számítógép lemezéről más programok futtatása (amelyek szintén fertőzöttek lehetnek), átvizsgálják a számítógépet egy vírusirtó programmal.