Të nderuar përdorues, materiali në këtë artikull nuk mund të konsiderohet i plotë dhe shterues, pasi përparimi po ecën në mënyrë të qëndrueshme përpara dhe, për fat të keq, teknologjitë për shkrimin e viruseve dhe malware gjithashtu po përmirësohen. Ky artikull është përpiluar për qëllime informative, për të rritur edukimin dhe ndërgjegjësimin e përdoruesve. Shpresoj (gabimisht naivisht) që materiali i paraqitur të mos shtyjë askënd të shkruajë programe keqdashëse, por, përkundrazi, t'i bëjë ata të mendojnë. Mbani mend, ekziston një thënie e mençur: "Mos pështyj në pus, do të duhet të pish". Në rastin tonë, Interneti është një "pus" i madh informacioni nga i cili marrim informacionin që na nevojitet për ju dhe mua. Është përgjegjësia jonë e drejtpërdrejtë ta mbajmë të pastër, sepse ne jemi pjesë përbërëse e tij (edhe pse indirekte, por gjithsesi:).
Çfarë janë viruset
Virusështë një program i shkruar posaçërisht, me përmasa të vogla, një sekuencë kodesh instruksionesh që mund t'u "atribuojë" veten programeve të tjera (i "infektojë" ato), të krijojë kopje të vetvetes (jo gjithmonë identike) dhe t'i ngulit në skedarë, zona të sistemit të kompjuter etj .d., si dhe kryejnë veprime të ndryshme të padëshiruara në kompjuter.
Viruset kompjuterike ia detyrojnë emrin e tyre një ngjashmërie të caktuar me viruset natyrore: aftësia për të vetë-infektuar; shpejtësi e lartë e përhapjes; selektiviteti i sistemeve të prekura (çdo virus prek vetëm sisteme të caktuara ose grupe sistemesh homogjene); aftësia për të "infektuar" sisteme të pa infektuara; vështirësi në luftimin e viruseve etj.
Klasifikimi i viruseve kompjuterike
Në mënyrë konvencionale, viruset mund të klasifikohen sipas kritereve të mëposhtme:
* sipas habitatit të virusit
* sipas metodës së kontaminimit të habitatit
* sipas aftësive shkatërruese
* sipas karakteristikave të algoritmit të virusit
* sipas llojit të veprimeve shkatërruese
Viruset e nisjes infektojnë sektorin e nisjes së një diskete dhe sektorin e nisjes ose Master Boot Record (MBR) të një hard disk. Parimi i funksionimit të viruseve të nisjes bazohet në algoritmet e nisjes sistemi operativ kur ndizni ose rinisni kompjuterin tuaj.
Për ta bërë më të qartë, do të shpjegoj në detaje se si fillon kompjuteri: pasi të ndizni PC-në, furnizimi me energji dërgon një sinjal POWER_ON në motherboard, i cili nga ana tjetër kontrollon tensionin në qarkun e energjisë, nëse është normal, atëherë kompjuteri ndizet. Më pas, programi në BIOS (Basic) merr kontrollin Hyrje dalje Sistemi) i kartës video, teston përbërësit e kartës video dhe, me marrjen e të dhënave pozitive, transferon kontrollin BIOS i pllakës amë tarifat. Nis procedurën POST (Power-On Self Test), e cila kryen vetë-testimin e të gjithë komponentëve të sistemit, nëse testimi është i suksesshëm dhe të gjitha pajisjet e gjetura kthejnë sinjale pozitive, BIOS në përputhje me të dhënat në Seksioni i nisjes dhe transferon kontrollin te pajisja që vjen e para në këtë listë. Kontrolli transferohet duke kërkuar për sektorin e parë fizik, duke e lexuar atë dhe duke ekzekutuar ngarkuesin.
Në rastin e një diskete ose CD, kontrolli merret nga sektori i nisjes, i cili analizon tabelën e parametrave të diskut (BPB - BIOS Parameter Block), llogarit adresat e skedarëve të sistemit operativ, i lexon ato në memorie dhe i lëshon ato për ekzekutimi. Nëse nuk ka skedarë të sistemit operativ në diskun e nisjes, programi i vendosur në sektorin e nisjes së diskut shfaq një mesazh gabimi dhe sugjeron zëvendësimin e diskut të nisjes.
Në rastin e një hard disk, kontrolli merret nga ngarkuesi i sipërpërmendur i nisjes, i cili analizon tabelën e ndarjes së diskut, llogarit adresën e sektorit aktiv të nisjes (zakonisht ky sektor është sektori i nisjes së diskut C:), ngarkon atë në memorie dhe e transferon atë në kontroll. Pasi të ketë marrë kontrollin, sektori aktiv i nisjes së hard drive kryen të njëjtat veprime si sektori i nisjes së një diskete. Atëherë gjithçka është më e thjeshtë, në skedarët e sistemit ka një ngarkues të sistemit operativ, i cili prodhon ngarkim të mëtejshëm OS.
Kur infektojnë disqe, viruset e nisjes "zëvendësojnë" kodin e tyre në vend të çdo programi që fiton kontrollin kur sistemi niset. Parimi i infeksionit, pra, është i njëjtë në të gjitha metodat e përshkruara më sipër: virusi "detyron" sistemin, kur riniset, të lexojë në memorie dhe t'i japë kontrollin jo kodit origjinal të ngarkuesit, por kodit të virusit.
Disqet infektohen në të vetmen mënyrë të njohur - virusi shkruan kodin e tij në vend të kodit origjinal të sektorit të nisjes së disketës. Winchester infektohet me tre mënyrat e mundshme- virusi shkruhet ose në vend të kodit MBR, ose në vend të kodit të sektorit të nisjes së diskut (zakonisht disku C:), ose modifikon adresën e sektorit aktiv të nisjes në tabelën e ndarjes së diskut, e vendosur në MBR e hard drive-it.
Kur një disk është i infektuar, virusi në shumicën e rasteve transferon sektorin origjinal të nisjes (ose MBR) në një sektor tjetër të diskut (për shembull, tek i pari i lirë). Nëse gjatësia e virusit është më e madhe se gjatësia e sektorit, atëherë pjesa e parë e virusit vendoset në sektorin e infektuar, pjesët e mbetura vendosen në sektorë të tjerë (për shembull, në të parët e lirë).
Ekzistojnë disa opsione për vendosjen e sektorit fillestar të nisjes në disk dhe vazhdimin e virusit: në sektorët e grupimeve të lira të një disku logjik, në sektorët e sistemit të papërdorur ose të përdorur rrallë, në sektorët e vendosur jashtë diskut.
Nëse vazhdimi i virusit ndodhet në sektorë që i përkasin grupeve të diskut të lirë (kur kërkon këta sektorë, virusi duhet të analizojë tabelën e ndarjes së skedarëve - FAT), atëherë, si rregull, virusi i shënon këto grupime në FAT (Tabela e shpërndarjes së dështimit) si e dështuar (të ashtuquajturat grupime pseudo-dështimi ).
Gjithashtu, viruset vendosin sektorin fillestar të nisjes në një sektor të papërdorur ose të përdorur rrallë - në një nga sektorët e hard drive (nëse ka) i vendosur midis MBR dhe sektorit të parë të nisjes, dhe në një disketë një sektor i tillë zgjidhet nga i fundit. sektorët e direktoriumit rrënjë.
Disa viruse shkruajnë kodin e tyre në sektorët e fundit të hard drive-it, pasi këta sektorë përdoren vetëm kur hard disku është i mbushur plotësisht me informacion. Një metodë më pak e përdorur është ruajtja e vazhdimit të virusit jashtë diskut. Kjo arrihet në dy mënyra. E para ka të bëjë me zvogëlimin e madhësisë së disqeve logjike: virusi heq vlerat e nevojshme nga fushat përkatëse të sektorit të nisjes BPB dhe Tabela e ndarjes së diskut të diskut (nëse hard disku është i infektuar), duke zvogëluar kështu madhësinë. të diskut logjik dhe shkruan kodin e tij në sektorët "të shkëputur" prej tij.
Metoda e dytë është të shkruani të dhëna përtej ndarjes fizike të diskut. Në rastin e disketave, virusi duhet të formatojë një pjesë shtesë në disk (metodë jo standarde e formatimit). Ka viruse që shkruajnë kodin e tyre jashtë hapësirës së disponueshme të diskut, nëse, natyrisht, kjo lejohet nga pajisjet e instaluara.
Sigurisht, ka metoda të tjera për vendosjen e një virusi në një disk; për shembull, disa viruse përmbajnë një ngarkues standard MBR në trupin e tyre dhe, kur infektohen, shkruhen mbi MBR origjinal pa e ruajtur atë.
Kur infektohen, shumica e viruseve kopjojnë në kodin e ngarkuesit të tyre informacionin e sistemit të ruajtur në ngarkuesin origjinal (për MBR ky informacion është Tabela e Ndarjes së Diskut, për sektorin Boot të disketave - Blloku i Parametrave BIOS). Përndryshe, sistemi nuk do të jetë në gjendje të niset vetë, pasi adresat e diskut të përbërësve të sistemit llogariten në bazë të këtij informacioni.
Sidoqoftë, disa viruse Stealth nuk e ruajnë këtë informacion ose, për më tepër, e kodojnë qëllimisht atë. Kur sistemi ose programet e tjera hyjnë në sektorë të infektuar, virusi zëvendëson origjinalet e tyre të painfektuara dhe sistemi niset pa asnjë dështim.
Duhet të theksohet gjithashtu se viruset e nisjes shumë rrallë "bashkekzistojnë" së bashku në të njëjtin disk - ata shpesh përdorin të njëjtin sektorë të diskut për të vendosur kodin/të dhënat e tyre. Si rezultat, kodi/të dhënat e virusit të parë korruptohen kur infektohen nga virusi i dytë dhe sistemi ose ngrin kur ngarkohet ose futet në një lak.
Algoritmi i funksionimit të virusit të nisjes
Pothuajse të gjithë viruset e nisjes janë rezidente. Ato futen në memorien e kompjuterit kur nisen nga një disk i infektuar. Në këtë rast, ngarkuesi i nisjes së sistemit lexon përmbajtjen e sektorit të parë të diskut nga i cili është bërë boot, vendos informacionin e lexuar në memorie dhe transferon kontrollin tek ai (d.m.th. te virusi). Pas kësaj, udhëzimet e virusit fillojnë të ekzekutohen, të cilat:
1.
Si rregull, zvogëlon sasinë e memories së lirë (fjala në adresën 0040:0013), kopjon kodin e saj në hapësirën e lirë dhe lexon vazhdimin e saj (nëse ka) nga disku. Më vonë, disa viruse "presin" që OS të ngarkojë dhe të rivendosë këtë fjalë në të kuptimi origjinal. Si rezultat, ato nuk janë të vendosura jashtë sistemit operativ, por si blloqe të veçanta të kujtesës së sistemit operativ.
2.
përgjon vektorët e nevojshëm të ndërprerjeve (zakonisht INT 13h), lexon sektorin origjinal të nisjes në memorie dhe transferon kontrollin në të.
Më pas, virusi i nisjes sillet në të njëjtën mënyrë si një virus i skedarëve rezident: ai përgjon thirrjet e sistemit operativ në disqe dhe i infekton ato, në varësi të kushteve të caktuara kryen veprime destruktive ose shkakton efekte zanore ose video.
Ekzistojnë viruse të nisjes jo-rezidente - kur ngarkohen, ata infektojnë MBR-në e diskut të ngurtë dhe disqet, nëse janë të pranishëm në disqe. Pastaj viruse të tillë transferojnë kontrollin në ngarkuesin origjinal dhe nuk ndikojnë më në funksionimin e kompjuterit.
Viruset e skedarëve
Ky grup përfshin viruse që, kur riprodhohen në një mënyrë ose në një tjetër, i përdorin sistemi i skedarëveçdo OS.
Futja e një virusi skedar është e mundur pothuajse në të gjithë skedarët e ekzekutueshëm të të gjitha sistemeve operative të njohura, si dhe në bibliotekat dinamike dhe virtuale të drejtuesve (dll, VxD) dhe shumë skedarë të tjerë.
Ka viruse që infektojnë skedarë që përmbajnë kodin burimor të programeve, moduleve të bibliotekës ose objekteve. Është gjithashtu e mundur që një virus të regjistrohet në skedarët e të dhënave, por kjo ndodh ose si rezultat i një gabimi të virusit ose kur shfaqen vetitë e tij agresive. Makro viruset gjithashtu shkruajnë kodin e tyre në skedarët e të dhënave - dokumente ose spreadsheets, - megjithatë, këto viruse janë aq specifike saqë vendosen në një grup të veçantë.
Kjo metodë e infeksionit është më e thjeshta: virusi shkruan kodin e tij në vend të kodit të skedarit të infektuar, duke shkatërruar përmbajtjen e tij. Natyrisht, në këtë rast skedari ndalon së punuari dhe nuk restaurohet. Viruse të tilla zbulohen shumë shpejt, pasi sistemi operativ dhe aplikacionet ndalojnë së punuari mjaft shpejt.
Injektimi i një virusi në fillim të një skedari
Injektimi i një virusi në fillim të një skedari përdoret në shumicën dërrmuese të rasteve kur infektohen skedarët DOS BAT dhe COM. Janë të njohura disa viruse që shkruajnë veten në fillim të skedarëve EXE të sistemeve operative Sistemet DOS, Windows dhe madje Linux. Në këtë rast, viruset, për të ruajtur funksionalitetin e programit, ose dezinfektojnë skedarin e infektuar, e ridrejtojnë atë, presin përfundimin e tij dhe përsëri shkruajnë në fillimin e tij (ndonjëherë duke përdorur skedar i përkohshëm, në të cilin është shkruar skedari i neutralizuar), ose ata rivendosin kodin e programit në kujtesën e kompjuterit dhe konfigurojnë adresat e nevojshme në trupin e tij (d.m.th., ata kopjojnë funksionimin e OS).
Injektimi i një virusi në fund të një skedari
Mënyra më e zakonshme për të futur një virus në një skedar është shtimi i virusit në fund të tij. Në këtë rast, virusi ndryshon fillimin e skedarit në atë mënyrë që komandat e para të programit që përmban skedari që do të ekzekutohet janë komandat e virusit.
Në një skedar DOS COM, në shumicën e rasteve, kjo arrihet duke ndryshuar tre (ose më shumë) bajt të tij të parë në kodet e udhëzimeve JMP Loc_Virus (ose, në përgjithësi, në kodet e programimit që transferojnë kontrollin në trupin e virusit).
Viruset që depërtojnë në skedarët SYS i bashkojnë kodet e tyre në trupin e skedarit dhe modifikojnë adresat e programeve Strategy dhe Interrupt të drejtuesit të infektuar. Kur një drejtues i infektuar inicializohet, virusi kap kërkesën përkatëse të sistemit operativ, ia kalon atë drejtuesit, pret një përgjigje ndaj kësaj kërkese, e korrigjon atë dhe mbetet së bashku me drejtuesin në të njëjtin bllok RAM. Një virus i tillë mund të jetë jashtëzakonisht i rrezikshëm dhe këmbëngulës, pasi futet në RAM kur OS ngarkohet përpara çdo programi antivirus, përveç nëse, natyrisht, është gjithashtu një drejtues.
Ekzistojnë gjithashtu viruse që infektojnë drejtuesit e sistemit në një mënyrë tjetër: virusi modifikon kokën e tij në mënyrë që OS ta shikojë skedarin e infektuar si një zinxhir prej dy (ose më shumë) drejtuesish.
Në mënyrë të ngjashme, një virus mund të shkruajë kodet e tij në fillim të drejtuesit, dhe nëse skedari përmban disa drejtues, atëherë në mes të skedarit.
Injektimi i një virusi në mes të një skedari
Ka disa mënyra për të futur një virus në mes të një skedari. Në më të thjeshtat prej tyre, virusi zhvendos një pjesë të skedarit deri në fund ose "përhap" skedarin dhe shkruan kodin e tij në hapësirën e lirë. Kjo metodë është në shumë mënyra e ngjashme me metodat e listuara më sipër. Disa viruse kompresojnë bllokun e skedarit të transferuar në mënyrë që gjatësia e skedarit të mos ndryshojë gjatë infektimit.
E dyta është metoda e "zgavrës", në të cilën virusi shkruhet në zona dukshëm të papërdorura të skedarit. Virusi mund të kopjohet në zonat e papërdorura të tabelës së konfigurimit të adresave të një skedari DOS EXE ose në kokën e një skedari NewEXE, në zonën e stivës së skedarit COMMAND.COM ("Lehigh") ose në zonën e mesazheve me tekst. të përpiluesve të njohur ("NMSG"). Ka viruse që infektojnë vetëm ato skedarë që përmbajnë blloqe të mbushura me një lloj bajt konstant, dhe virusi shkruan kodin e tij në vend të një blloku të tillë.
Viruset pa pikë hyrjeje
Më vete, duhet të theksohet se ekziston një grup mjaft i vogël virusesh që nuk kanë një "pikë hyrëse" (viruset EPO - Viruset që errësojnë pikën hyrëse). Këto përfshijnë viruse që nuk shkruajnë komandat e transferimit të kontrollit në kokën e skedarëve COM (JMP) dhe nuk ndryshojnë adresën e pikës fillestare në kokën e skedarëve EXE. Viruse të tillë shkruajnë një komandë për të transferuar kodin e tyre në një vend në mes të skedarit dhe për të marrë kontrollin jo drejtpërdrejt kur hapet skedari i infektuar, por kur thërrasin një procedurë që përmban kodin për transferimin e kontrollit në trupin e virusit. Për më tepër, kjo procedurë mund të kryhet jashtëzakonisht rrallë (për shembull, kur shfaqet një mesazh për një gabim specifik). Si rezultat, një virus mund të "flejë" brenda një skedari për shumë vite dhe të dalë i lirë vetëm në kushte të caktuara të kufizuara.
Para se të shkruani një komandë për të kaluar në kodin e tij në mes të skedarit, virusi duhet të zgjedhë adresën "e saktë" në skedar - përndryshe skedari i infektuar mund të jetë i dëmtuar. Ka disa mënyra të njohura në të cilat viruset përcaktojnë adresa të tilla brenda skedarëve.
Mënyra e parë- kërkoni një skedar për një sekuencë të kodit standard C/Pascal. Këta viruse kërkojnë titujt e procedurës standarde C/Pascal në skedarët e infektuar dhe në vend të tyre shkruajnë kodin e tyre.
Mënyra e dytë- gjurmimi ose çmontimi i kodit të skedarit. Viruse të tilla ngarkojnë një skedar në memorie, pastaj e gjurmojnë ose e çmontojnë atë dhe, në varësi të kushte të ndryshme zgjidhni një komandë (ose komanda), në vend të së cilës shkruhet kodi i transferimit në trupin e virusit.
Mënyra e tretë përdoren vetëm nga viruset rezidente - kur ekzekutojnë një skedar, ata kontrollojnë një lloj ndërprerjeje (zakonisht INT 21h). Sapo skedari i infektuar shkakton këtë ndërprerje, virusi shkruan kodin e tij në vend të komandës për të thirrur ndërprerjen.
Companion - viruset
Kategoria "shoqërues" përfshin viruse që nuk ndryshojnë skedarët e infektuar. Algoritmi i funksionimit të këtyre viruseve është se për skedarin e infektuar krijohet një skedar dublikatë dhe kur skedari i infektuar hapet, është ky dublikatë që merr kontrollin, d.m.th. virus.
Viruset shoqërues më të zakonshëm janë ata që përdorin veçorinë DOS për të ekzekutuar fillimisht një skedar .COM nëse ka dy skedarë me të njëjtin emër në të njëjtën drejtori, por zgjerime të ndryshme emri - .COM dhe .EXE. Viruse të tilla krijojnë skedarë satelitorë për skedarët EXE që kanë të njëjtin emër, por me një shtesë .COM, për shembull, për skedarin XCOPY.EXE krijohet një skedar XCOPY.COM. Virusi shkruan vetë në një skedar COM dhe nuk e modifikon skedarin EXE në asnjë mënyrë. Kur ekzekutoni një skedar të tillë, DOS fillimisht do të zbulojë dhe ekzekutojë skedarin COM, d.m.th. një virus që më pas do të nisë skedarin EXE. Disa viruse përdorin jo vetëm variantin COM-EXE, por edhe BAT-COM-EXE.
Grupi i dytë përbëhet nga viruse që, kur infektohen, riemërtojnë një skedar në një emër tjetër, e mbajnë mend atë (për të hapur më vonë skedarin pritës) dhe shkruajnë kodin e tyre në disk nën emrin e skedarit të infektuar. Për shembull, skedari XCOPY.EXE riemërtohet në XCOPY.EXD dhe virusi regjistrohet me emrin XCOPY.EXE. Kur lëshohet, kontrolli merr kodin e virusit, i cili më pas ekzekuton XCOPY origjinal, të ruajtur nën emrin XCOPY.EXD. Një fakt interesant është se kjo metodë ndoshta funksionon në të gjitha sistemet operative - viruse të këtij lloji u gjetën jo vetëm në DOS, por në Windows dhe OS/2.
Grupi i tretë përfshin të ashtuquajturat viruse "Path-companion" që "luajnë" në tiparet e DOS PATH. Ata ose shkruajnë kodin e tyre nën emrin e skedarit të infektuar, por "më të lartë" një nivel PATH (kështu DOS do të jetë i pari që do të zbulojë dhe lëshojë skedarin e virusit), ose e zhvendosin skedarin e viktimës një nëndrejtori më lart, etj.
Krimbat e skedarëve
Krimbat e skedarëve janë, në një farë kuptimi, një lloj virusi shoqërues, por ata në asnjë mënyrë nuk e lidhin praninë e tyre me ndonjë skedar të ekzekutueshëm. Kur riprodhohen, ata thjesht kopjojnë kodin e tyre në disa direktori disku me shpresën se këto kopje të reja do të lëshohen një ditë nga përdoruesi. Ndonjëherë këta viruse u japin kopjeve të tyre emra "të veçantë" për të inkurajuar përdoruesin të ekzekutojë kopjen e tyre - për shembull, INSTALL.EXE ose WINSTART.BAT.
Ka viruse krimbash që shkruajnë kopje të tyre në arkiva (ARJ, ZIP, RAR dhe të tjerë). Këto viruse përfshijnë "ArjVirus" dhe "Winstart". Disa viruse shkruajnë komandën për të ekzekutuar skedarin e infektuar në skedarët BAT.
Krimbat e skedarëve nuk duhet të ngatërrohen me krimbat e rrjetit. Të parët përdorin vetëm funksionet e skedaritçdo sistem operativ, ndërsa këta të fundit përdorin protokollet e rrjetit gjatë riprodhimit të tyre.
Lidhni viruset
Viruset e lidhjes, si viruset shoqëruese, nuk ndryshojnë përmbajtjen fizike të skedarëve, por kur lëshohet një skedar i infektuar, ata "detyrojnë" OS të ekzekutojë kodin e tij. Ata e arrijnë këtë qëllim duke modifikuar fushat e nevojshme të sistemit të skedarëve.
Sot njihet i vetmi lloj i viruseve Link - viruset e familjes "Dir_II". Kur ata infektojnë sistemin, ata e shkruajnë trupin e tyre në grupin e fundit të diskut logjik. Kur infektojnë një skedar, viruset korrigjojnë vetëm numrin e grupit të parë të skedarit, i vendosur në sektorin përkatës të drejtorisë. Grupimi i ri fillestar i skedarit do të tregojë grupin që përmban trupin e virusit. Kështu, kur skedarët e gjatësisë së tyre infektohen, përmbajtja e grupeve të diskut që përmbajnë këta skedarë nuk ndryshon, dhe të gjithë skedarët e infektuar në një shtytje logjike do të ketë vetëm një kopje të virusit.
Pas infektimit, të dhënat e drejtorisë tregojnë për virusin, d.m.th. Kur lëshohet një skedar, nuk janë skedarët që marrin kontrollin, por virusi.
OBJ-, LIB-viruset dhe viruset në tekstet burimore
Viruset që infektojnë bibliotekat e përpiluesve, modulet e objekteve dhe kodet burimore të programit janë mjaft ekzotikë dhe praktikisht të pazakonshëm. Janë rreth një duzinë prej tyre në total. Viruset që infektojnë skedarët OBJ dhe LIB shkruajnë kodin e tyre në to në formatin e një moduli objekti ose biblioteke. Prandaj, skedari i infektuar nuk është i ekzekutueshëm dhe nuk është në gjendje të përhapë më tej virusin në gjendjen e tij aktuale. Bartësi i virusit "live" bëhet një skedar COM ose EXE i marrë gjatë procesit të lidhjes së një skedari OBJ/LIB të infektuar me modulet dhe bibliotekat e tjera të objektit. Kështu, virusi përhapet në dy faza: në fazën e parë infektohen skedarët OBJ/LIB, në fazën e dytë (lidhja) fitohet një virus që funksionon.
Infektimi i kodeve burimore të programit është një vazhdim logjik i metodës së mëparshme të përhapjes. Në këtë rast, virusi shton kodin e tij burimor në tekstet burimore (në këtë rast, virusi duhet ta përmbajë atë në trupin e tij) ose depon e tij heksadecimal (që është teknikisht më e lehtë). Një skedar i infektuar është në gjendje të përhapë më tej virusin vetëm pas përpilimit dhe lidhjes.
Algoritmi për një virus skedari
Metoda e rikthimit të programit në formën e tij origjinale varet nga mënyra e infektimit të skedarit. Nëse një virus është i ngulitur në fillim të një skedari, ai ose i zhvendos kodet e programit të infektuar me një numër bajtësh të barabartë me gjatësinë e virusit, ose zhvendos një pjesë të kodit të programit nga fundi në fillim, ose rikthen skedarin në disk dhe më pas e ekzekuton atë. Nëse një virus është shkruar në fund të një skedari, atëherë gjatë rivendosjes së programit ai përdor informacionin e ruajtur në trupin e tij kur skedari ishte infektuar. Kjo mund të jetë gjatësia e skedarit, disa bajt nga fillimi i skedarit në rastin e një skedari COM, ose disa bajtë të kokës në rastin e një skedari EXE. Nëse virusi është shkruar në mes të skedarit në mënyrë të veçantë, më pas gjatë restaurimit të një skedari përdor edhe algoritme speciale.
Injektimi i një virusi në skedarët DOS COM dhe EXE
Skedarët binare të ekzekutueshëm COM ose EXE që ndryshojnë në kokën dhe mënyrën se si programet janë nisur për ekzekutim. Zgjatja e emrit të skedarit ("*.COM" ose "*.EXE") nuk korrespondon gjithmonë me formatin aktual të skedarit, i cili, megjithatë, nuk ndikon në asnjë mënyrë funksionimin e programit. Skedarët COM dhe EXE janë të infektuar ndryshe, prandaj virusi duhet të dallojë skedarët e një formati nga një tjetër. Viruset e zgjidhin këtë problem në dy mënyra: disa analizojnë zgjerimin e emrit të skedarit ("*.COM", "*.EXE"), të tjerët analizojnë kokën e skedarit. Metoda e parë do të referohet më tej si infektimi i skedarëve *.COM- (ose *.EXE-), e dyta - infektimi i skedarëve COM- (ose EXE-).
Në shumicën e rasteve, virusi infekton skedarin në mënyrë korrekte, d.m.th. Duke përdorur informacionin që përmban trupi i virusit, mund të rivendosni plotësisht skedarin e infektuar. Por viruset, si shumica e programeve, shpesh përmbajnë gabime që janë të padukshme në shikim të parë. Për shkak të kësaj, edhe një virus i shkruar plotësisht saktë mund të dëmtojë në mënyrë të pakthyeshme një skedar kur ai është i infektuar. Për shembull, viruset që dallojnë llojet e skedarëve sipas shtrirjes së emrit (*.COM, *.EXE) janë shumë të rrezikshëm sepse korruptojnë skedarët, zgjerimi i emrit të të cilëve nuk përputhet me formatin e brendshëm.
Një nga shembujt më të zakonshëm të infeksionit të gabuar të skedarëve është COMMAND.COM nga Windows95. Ky skedar është në thelb një skedar EXE, për më tepër, është mbi 90K në madhësi, gjë që është e pamundur për një skedar COM. Prandaj, viruset që dallojnë skedarët COM/EXE sipas shtrirjes së emrit dhe nuk kontrollojnë gjatësinë e skedarëve COM të infektuar (për shembull, "Junkie") e prishin këtë COMMAND.COM dhe ai bëhet i pafuqishëm.
Kamuflazh primitiv
Kur një skedar është i infektuar, një virus mund të kryejë një sërë veprimesh që maskojnë dhe përshpejtojnë përhapjen e tij. Veprime të tilla përfshijnë përpunimin e atributit vetëm për lexim, heqjen e tij përpara infektimit dhe rivendosjen e tij pas. Shumë viruse skedarësh lexojnë datën e fundit të modifikimit të një skedari dhe e rivendosin atë pas infektimit. Për të maskuar përhapjen e tyre, disa viruse kapin ndërprerjen e OS që ndodh kur hyni në një disk të mbrojtur nga shkrimi (INT 24h) dhe e përpunojnë atë në mënyrë të pavarur.
Shpejtësia e përhapjes
Duke folur për viruset e skedarëve, është e nevojshme të theksohet një veçori e tillë si shpejtësia e përhapjes së tyre. Sa më shpejt të përhapet një virus, aq më shumë ka të ngjarë që të ndodhë një epidemi e atij virusi. Sa më ngadalë të përhapet një virus, aq më i vështirë është zbulimi i tij (përveç nëse, sigurisht, ky virus nuk është ende i njohur për programet antivirus). Konceptet e virusit "i shpejtë" dhe "i ngadalshëm" (Infektues i shpejtë, infektues i ngadalshëm) janë mjaft relative dhe përdoren vetëm si karakteristikë e virusit kur e përshkruajnë atë.
Viruset jorezidentë janë shpesh "të ngadaltë" - shumica e tyre infektojnë një ose dy ose tre skedarë kur lëshohen dhe nuk kanë kohë për të infektuar kompjuterin përpara se të nisë programi antivirus (ose shfaqet një version i ri i antivirusit të konfiguruar për këtë virus ). Ka, sigurisht, viruse "të shpejta" jo-rezidentë që, kur lansohen, kërkojnë dhe infektojnë të gjithë skedarët e ekzekutueshëm, por viruse të tillë janë shumë të dukshëm: kur çdo skedar i infektuar hapet, kompjuteri punon në mënyrë aktive me hard diskun për disa. (nganjëherë mjaft e gjatë), e cila demaskon virusin.
"Shpejtësia" e viruseve rezidente është zakonisht më e lartë se ato jorezidente - ata infektojnë skedarët sa herë që aksesohen në çfarëdo mënyre. Si rezultat, të gjithë ose pothuajse të gjithë skedarët në disk që përdoren vazhdimisht në punë infektohen.
Shkalla e përhapjes së viruseve të skedarëve rezidentë që infektojnë skedarët vetëm kur ato lëshohen për ekzekutim do të jetë më e ulët se ajo e viruseve që infektojnë skedarët edhe kur hapen, riemërohen, ndryshohen atributet e skedarëve, etj. Shumë viruse, kur krijojnë një kopje të tyre në RAM-in e kompjuterit, përpiqen të zënë zonën e memories me adresat më të larta, duke shkatërruar pjesën e përkohshme të interpretuesit të komandës COMMAND.COM. Pasi programi i infektuar të ketë mbaruar ekzekutimin, pjesa e përkohshme e përkthyesit rikthehet dhe skedari COMMAND.COM hapet dhe, nëse virusi infekton skedarët kur hapen, ai infektohet. Kështu, kur lëshohet një virus i tillë, skedari COMMAND.COM do të infektohet i pari.
Materialet dhe të dhënat janë marrë nga burimet:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info
- Për të postuar komente, ju lutemi identifikohuni ose regjistrohuni
VIRUSET KOMPJUTERIKE
Dhe skedarë të korruptuar dhe të infektuar
Klasifikimi i viruseve PARANDALIMI DHE LUFTIMI I VIRUSEVE KOMPJUTERIKE
PREZANTIMI
Aktualisht, shumë fusha të veprimtarisë njerëzore janë të lidhura me përdorimin e kompjuterëve. Pse këto makina elektronike janë të integruara kaq fort në jetën tonë? Gjithçka është mjaft e parëndësishme. Ata kryejnë llogaritje rutinë dhe punë projektuese, duke e çliruar trurin tonë për detyra më të nevojshme dhe të përgjegjshme. Si rezultat, lodhja zvogëlohet ndjeshëm dhe ne fillojmë të punojmë shumë më produktiv sesa pa përdorur një kompjuter.
Aftësitë e kompjuterëve modernë mahnitin imagjinatën më të egër. Ata janë në gjendje të kryejnë disa detyra paralelisht, kompleksiteti i të cilave është mjaft i lartë. Për këtë arsye, disa prodhues po mendojnë për krijimin e inteligjencës artificiale. Edhe tani, puna e një kompjuteri i ngjan punës së një asistenti njerëzor elektronik inteligjent.
Por kush do ta kishte menduar se kjo mrekulli elektronike e teknologjisë karakterizohet nga sëmundje të ngjashme me ato njerëzore. Ai, ashtu si një person, mund të sulmohet nga një "virus", por nga një kompjuter. Dhe nëse nuk ndërmerrni veprime, kompjuteri së shpejti do të "sëmuret", d.m.th. do të fillojë të ekzekutohet veprimet e gabuara apo edhe “vdes”, d.m.th. Dëmi i shkaktuar nga “virusi” do të jetë shumë serioz. Çfarë janë viruset kompjuterike dhe si t'i luftoni ato do të diskutohet më tej.
VIRUSET KOMPJUTERIKE
Çfarë është një virus kompjuterik?
Sot ekzistojnë disa lloje kryesore të malware:
- virus klasik kompjuterik;
- "Trojan" ose kalë troje (troj);
- krimb;
- spiun ose spiun, keyloger
- rootkick;
- bot ose mumje.
Në një kohë, ishin viruset klasikë ata që ishin më të përhapur - por krijuesit e tyre rrallë u nisën me qëllimin specifik për të dëmtuar përdoruesin përfundimtar, por më tepër u krijuan për qëllime edukative. Shkrimtarët e sotëm të viruseve po ndjekin qëllime absolutisht të qarta dhe të kuptueshme - paratë, dhe "fëmijët e trurit" të tyre janë bërë shumë më të rrezikshëm se paraardhësit e tyre. Pra, më lejoni të prezantoj grabitqarët më të rrezikshëm të sotëm hapësirë informacioni- këta janë Trojans dhe Worms.
Trojan ose troj mori emrin e tij për shkak të ngjashmërisë midis metodës së infektimit dhe lëvizjes së famshme taktike në rrethimin e Trojës. Një shembull i një infeksioni trojan - ju merrni një letër nga një "mik" i caktuar me tekstin: - "Përshëndetje! Sapo u ktheva nga deti - pata një pushim kaq të mrekullueshëm! Këtu janë fotot e mia - shikoni.", dhe bashkangjitur skedarë me shtesën “.JPG”. Këta skedarë janë një kalë trojan në thellësi të të cilit fshihet kodi keqdashës. Burimet më të zakonshme të infeksionit janë emailet, faqet e takimeve, faqet muzikore dhe faqet me softuer falas. Çfarë bën një Trojan? Si rregull, detyra e tij është të hapë rrugën për viruset e tjera, për të vepruar si trampolina e parë. Si të shmangni infeksionin trojan? Gjithçka këtu është si në jetë - mbroni veten dhe shmangni lidhjet e rastësishme =). Ky rregull zbatohet për çdo virus dhe malware tjetër. Nëse ju është dërguar një email, kontrolloni dërguesin përpara se të shikoni skedarët e bashkangjitur, ruajeni bashkëngjitjen në kompjuterin tuaj dhe skanoni atë me një antivirus dhe vetëm atëherë hapeni.
Worm ose Worm është një veçori e këtyre programeve në evolucion dhe autonomi. Kur një krimb futet në një kompjuter, ai zakonisht sulmon programet e postës dhe pagesat në internet. Pasi fiton akses në postë ose pager, ai fillon të dërgojë letra/mesazhe që përmbajnë një version të modifikuar të tij. Pas së cilës ose vetë-shkatërrohet ose infekton skedarët e lëshuar (EXE, COM, BAT). Meqenëse virusi ndryshon vetë, ai është i paprekshëm derisa të identifikohet në bazën e të dhënave të antivirusit tuaj. Kjo është arsyeja pse sot një antivirus i licencuar është një nevojë urgjente për çdo pronar PC.
Një virus kompjuterik është një program i vogël i shkruar posaçërisht që mund t'i "atribuojë" veten programeve të tjera (d.m.th., t'i "infektojë" ato), si dhe të kryejë veprime të ndryshme të padëshiruara në kompjuter. Një program që përmban një virus quhet i infektuar. Kur një program i tillë fillon të funksionojë, virusi fillimisht merr kontrollin. Virusi gjen dhe "infekton" programe të tjera, dhe gjithashtu kryen disa veprime të dëmshme (për shembull, korrupton skedarët ose tabelën e ndarjes së skedarëve (FAT) në disk, "bllokon" RAM-in, etj.). Për të maskuar një virus, veprimet për të infektuar programe të tjera dhe për të shkaktuar dëm mund të mos kryhen gjithmonë, por, të themi, kur plotësohen disa kushte. Pasi virusi kryen veprimet që i nevojiten, ai transferon kontrollin në programin në të cilin ndodhet dhe funksionon si zakonisht. Kështu, nga pamja e jashtme, funksionimi i një programi të infektuar duket i njëjtë me atë të një programi të pa infektuar.
Shumë lloje virusesh janë krijuar në atë mënyrë që kur lëshohet një program i infektuar, virusi mbetet në kujtesën e kompjuterit dhe herë pas here infekton programet dhe kryen veprime të padëshiruara në kompjuter.
Të gjitha veprimet e virusit mund të kryhen shumë shpejt dhe pa lëshuar asnjë mesazh, duke e bërë shumë të vështirë, pothuajse të pamundur, që përdoruesi të përcaktojë se diçka e pazakontë po ndodh në kompjuter.
Për sa kohë që në kompjuter janë të infektuar relativisht pak programe, prania e një virusi mund të jetë pothuajse e padukshme. Sidoqoftë, pas ca kohësh, diçka e çuditshme fillon të ndodhë në kompjuter, për shembull:
- disa programe ndalojnë së punuari ose fillojnë të punojnë gabimisht;
- në ekran shfaqen mesazhe të jashtme, simbole etj.;
- puna në kompjuter ngadalësohet ndjeshëm;
- disa skedarë rezultojnë të jenë të dëmtuar, etj.
Në këtë pikë, si rregull, shumë (ose edhe shumica) e programeve teknike me të cilat punoni janë tashmë të infektuar me një virus dhe disa skedarë dhe disqe janë të korruptuar. Për më tepër, programet e infektuara nga kompjuteri juaj mund të jenë transferuar tashmë duke përdorur disqe ose një rrjet lokal në kompjuterët e kolegëve dhe miqve tuaj.
Disa viruse sillen shumë tinëzare. Ata së pari infektojnë në heshtje një numër të madh programesh dhe disqesh, dhe më pas shkaktojnë dëme shumë serioze, për shembull, duke formatuar të gjithë HDD në një kompjuter, natyrisht, pas kësaj është thjesht e pamundur të rivendosni të dhënat. Dhe ka viruse që sillen shumë fshehurazi dhe pak nga pak prishin të dhënat në hard disk ose zhvendosin tabelën e ndarjes së skedarëve (FAT).
Kështu, nëse nuk merrni masa për t'u mbrojtur nga virusi, pasojat e infeksionit mund të jenë shumë serioze. Për shembull, në fillim të vitit 1989. Një virus i shkruar nga studenti amerikan Morris infektoi dhe çaktivizoi mijëra kompjuterë, përfshirë ata që i përkisnin Departamentit të Mbrojtjes së SHBA. Autori i virusit është dënuar nga gjykata me tre muaj burg dhe 270 mijë dollarë gjobë. Dënimi mund të ishte më i rëndë, por gjykata mori parasysh se virusi nuk i korruptoi të dhënat, por vetëm u shumëfishua.
Në mënyrë që një program virusi të jetë i padukshëm, duhet të ketë madhësive të vogla. Prandaj, viruset zakonisht shkruhen në gjuhët e Asamblesë së nivelit të ulët ose komandat SI të nivelit të ulët.
Viruset janë shkruar nga programues ose studentë me përvojë thjesht për kuriozitet ose për t'u hakmarrë ndaj dikujt ose një sipërmarrjeje që i ka trajtuar në mënyrë të padenjë, qoftë për qëllime komerciale ose për qëllime sabotazhi të synuar. Cilatdo qofshin qëllimet e autorit, virusi mund të përfundojë në kompjuterin tuaj dhe të përpiqet të kryejë të njëjtat veprime të dëmshme si ai për të cilin është krijuar.
Duhet të theksohet se shkrimi i një virusi nuk është një detyrë aq e vështirë dhe është mjaft e arritshme për një student që studion programim. Prandaj, çdo javë në botë shfaqen gjithnjë e më shumë viruse të reja. Dhe shumë prej tyre prodhohen në vendin tonë.
Skedarët e korruptuar dhe të infektuar
Një virus kompjuterik mund të prishet, d.m.th. ndryshoni në mënyrë të papërshtatshme çdo skedar në disqet në kompjuter. Por virusi mund të "infektojë" disa lloje skedarësh. Kjo do të thotë që virusi mund të "injektojë" veten në këto skedarë, d.m.th. ndryshoni ato në mënyrë që të përmbajnë një virus që, në rrethana të caktuara, mund të fillojë të funksionojë.
Duhet të theksohet se tekstet e programeve dhe dokumenteve, skedarët e informacionit të bazës së të dhënave, tabelat e tabelave dhe skedarët e tjerë të ngjashëm nuk mund të infektohen nga një virus i zakonshëm; ai vetëm mund t'i prishë ato. Infektimi i skedarëve të tillë bëhet vetëm nga Macroviruset. Këto viruse madje mund të infektojnë dokumentet tuaja.
Ngarkuesi i sistemit operativ dhe regjistrimi kryesor i nisjes hard drive. Viruset që infektojnë këto zona quhen viruse boot ose viruse BOOT. Ky virus fillon punën e tij kur bootstrap kompjuter dhe bëhet rezident, d.m.th. ruhet përgjithmonë në memorien e kompjuterit. Mekanizmi i shpërndarjes është infektimi i të dhënave të nisjes së disketave të futura në kompjuter. Shpesh viruse të tillë përbëhen nga dy pjesë, pasi regjistrimi i nisjes është i vogël dhe është e vështirë të futet i gjithë programi i virusit në to. Një pjesë e virusit ndodhet në një pjesë tjetër të diskut, për shembull, në fund të drejtorisë rrënjësore të diskut ose në një grup në zonën e të dhënave të diskut (zakonisht një grup i tillë deklarohet i dëmtuar për të parandaluar virusi nga mbishkrimi gjatë shkrimit të të dhënave).
Skedarët e drejtuesve të pajisjes të specifikuara në klauzolën DEVICE të skedarit CONFIG.SYS. Virusi i vendosur në to fillon punën e tij sa herë që aksesohet pajisja përkatëse. Viruset që infektojnë drejtuesit e pajisjes janë shumë të rrallë sepse drejtuesit rrallë rishkruhen nga një kompjuter në tjetrin. E njëjta gjë vlen edhe për skedarët e sistemit DOS (MSDOS.SYS dhe IO.SYS) - infektimi i tyre është gjithashtu teorikisht i mundur, por është i paefektshëm për përhapjen e virusit.
Si rregull, çdo lloj specifik i virusit mund të infektojë vetëm një ose dy lloje skedarësh. Viruset më të zakonshëm janë ata që infektojnë skedarët e ekzekutueshëm. Virusi i dytë më i zakonshëm është viruset boot. Disa viruse infektojnë si skedarët ashtu edhe zonat e nisjes së disqeve. Viruset që infektojnë drejtuesit e pajisjes janë jashtëzakonisht të rrallë; zakonisht viruse të tillë mund të infektojnë edhe skedarë të ekzekutueshëm.
Klasifikimi i viruseve
Viruset mund të ndahen në klasa sipas shenja të ndryshme. Këtu, për shembull, në bazë të tradhtisë:
Viruset, në çast që ndikojnë në kompjuter, formatoni hard diskun, korruptoni tabelën e ndarjes së skedarëve, korruptoni sektorët e nisjes, fshini të ashtuquajturin Flash ROM (ku ndodhet BIOS-i) i kompjuterit (virusi i Çernobilit), me fjalë të tjera, shkaktoni dëme të pariparueshme në kompjuter si sa më shpejt të jetë e mundur. Këtu përfshihen edhe rezultatet e ankesave të programuesve që shkruajnë viruse kundër programeve antivirus. Kjo i referohet të ashtuquajturave alergji ndaj programeve të caktuara antivirus. Këto viruse janë mjaft të pabesë. Për shembull, nëse jeni alergjik ndaj Dr.Weber, kur telefononi këtë program, pa hezitim, ai bllokon antivirusin dhe prish gjithçka që është në drejtori me antivirusin dhe C:WINDOWS. Si rezultat, duhet të riinstaloni sistemin operativ dhe më pas të luftoni virusin me mjete të tjera.
- viruse të krijuara për të qëndruar për një kohë të gjatë në kompjuter. Ata gradualisht dhe me kujdes infektojnë program pas programi, pa reklamuar praninë e tyre dhe zëvendësojnë zonat e fillimit të programeve me lidhje me vendin ku ndodhet trupi i virusit. Për më tepër, ata bëjnë një ndryshim në strukturën e diskut që është i padukshëm për përdoruesin, i cili do të ndihet vetëm kur disa të dhëna tashmë janë humbur pa shpresë (për shembull, virusi "OneHalf-3544", "Yankey-2C").
Në bazë të metodave të transmetimit dhe riprodhimit mund të bëhet edhe ndarja.
Më parë, viruset preknin kryesisht vetëm skedarët e ekzekutueshëm (me shtesat .com dhe .exe). Në të vërtetë, një virus është një program dhe duhet të ekzekutohet.
Tani viruset dërgohen me postë elektronike si programe demo ose si fotografi, për shembull, nëse skedari "PicturesForYou.jpg" është marrë me postë elektronike, mos nxitoni ta shikoni atë, veçanërisht pasi ai erdhi nga askund. Nëse e shikoni emrin më nga afër, do të zbuloni se ai ka 42 hapësira të tjera dhe zgjerimi aktual është .exe. Kjo është e vërtetë emri i plotë skedari do të jetë si ky:
"PicturesForYou.jpg.exe". Tani kushdo mund të kuptojë se çfarë përcjell në të vërtetë kjo foto. Ky nuk është një skedar fotografie që, kur aktivizohet, thërret shikuesin e fotografive, por një virus i paturpshëm, me vello të hollë, i cili thjesht pret të aktivizohet me një klikim të mausit ose një shtypje tasti. Ju e shkarkoni vetë një virus të tillë në kompjuterin tuaj, nën mbulesën e një fotografie, si një "kalë trojan". Prandaj emri zhargon për viruse të tillë si "Trojanët".
Për momentin ka predha të tilla kanalet e informacionit si Internet Explorer, Outlook Express,Microsoft Office. Në ditët e sotme, janë shfaqur disa klasa të të ashtuquajturave "Makro viruse". Ato përmbajnë komanda të fshehura për të dhënat e guaskës që janë të padëshirueshme për përdoruesin mesatar. Dhe ky kod nuk është më kod kompjuterik, domethënë nuk është më një program, por tekst programi i ekzekutuar nga shell. Pra, mund të shkruhet në çdo formati i kërkuar: .html, .htm - për Internet Explorer, .doc, .xls, .xlw, .txt, .prt, ose ndonjë tjetër - për Microsoft Office, etj. Viruse të tilla shkaktojnë vetëm dëm të një natyre të caktuar, sepse guaska bën nuk ka komanda, për shembull, për të formatuar një hard disk. Por megjithatë, ky lloj virusi meriton vëmendje, sepse me ndihmën e hiperlidhjeve të fshehura është në gjendje të shkarkojë në mënyrë të pavarur trupin e virusit nga Interneti në kompjuterin tuaj, dhe disa viruse mund të përditësohen dhe shkarkohen pjesërisht përmes Internetit. nga serverë të caktuar. Për shembull, një nga studentët japonezë zhvilloi pikërisht një virus të tillë që lidh një "ngarkues" të vogël me çdo format të dhënash hyrëse nga Interneti. Tjetra, ky shkarkues shkarkon në mënyrë të pavarur trupin e virusit nga Interneti nga një server me adresën IP të Babilon5. Janë katër prej këtyre trupave. Secili prej tyre është i aftë të shkatërrojë në mënyrë të pavarur kompjuterin tuaj, por ka një qëllim specifik. Ky virus është një hibrid midis makro viruseve dhe viruseve të zakonshëm. Por duhet të theksohet se janë hibridet që janë më këmbëngulësit, dinakë, të rrezikshëm dhe të shumtë midis viruseve. Kohët e fundit, pati një skandal për një programues, i cili, sipas ekspertëve, krijoi dhe filloi të përhapte një makro virus që infektoi skedarët e tekstit Për Microsoft Word. Është llogaritur nga data dhe ora e krijimit të dokumentit burimor, i cili ruhet në pjesët e padukshme të skedarëve .doc. Është e mundur që skedari të jetë krijuar nga një person tjetër përpara se virusi t'i bashkëngjitet atij, atëherë çështja e sulmuesit mbetet e hapur. Por ekspertët thonë se kjo është ajo.
Për shembull, virusi Win32.HLLM.Klez. Një nga varietetet e një krimbi të rrezikshëm të rrjetit përhapet duke dërguar kopje të tij me e-mail. Përveç kësaj, ky krimb mund të përhapet në një rrjet lokal, duke infektuar kompjuterët disqet e të cilëve janë të përbashkët. burimet e rrjetit, i disponueshëm për regjistrim. Pasi në sistem, krimbi dërgohet në adresat që gjenden në adresë Libri i Windows, në bazën e të dhënave ICQ dhe në skedarët lokalë. Email-et e infektuara të dërguara nga ky krimb përdorin një nga gabimet relativisht të njohura në sistemin e sigurisë Internet Explorer, i cili lejon bashkëngjitjet në skedar programi(me një virus) do të fillojë automatikisht kur thjesht shikoni postën në Programet Outlook dhe Outlook Express.
Le të përpiqemi të shqyrtojmë metodat e maskimit dhe mbrojtjes së përdorur nga viruset kundër nesh përdoruesve të zakonshëm dhe programeve antivirus.
Mashtrimi është mënyra kryesore dhe më e shpejtë për të kryer një mashtrim të ndyrë përpara zbulimit. Virusi i Çernobilit, për shembull, fshin plotësisht BIOS-in (programi fillestar i vendosur në çipin ROM që fuqizon kompjuterin). Pas kësaj, kompjuteri nuk do të jetë në gjendje të shfaqë asgjë në ekran. Por funksionimi i tij bllokohet lehtësisht nëse brenda kompjuterit është instaluar një ndërprerës që ndalon shkrimin në zonën ROM. Prandaj, ky ishte i pari, por edhe, siç mendoj unë, përfaqësuesi i fundit i viruseve harduerike.
Viruset rigjeneruese e ndajnë trupin e tyre në disa pjesë dhe i ruajnë në të ndryshme vende të vështira disk. Prandaj, këto pjesë janë në gjendje të gjejnë në mënyrë të pavarur njëra-tjetrën dhe të mblidhen për të rigjeneruar trupin e virusit. Programi antivirus zbulon dhe vret vetëm trupin e virusit, dhe pjesë të këtij trupi nuk përfshihen në antivirus databaza e viruseve, pasi ato janë ndryshuar. Formatimi i synuar i nivelit të ulët të hard drive-it ndihmon kundër viruseve të tilla. Është e nevojshme që fillimisht të merren masa të kujdesshme për ruajtjen e informacionit.
Viruset dinake fshihen jo vetëm nga ne, por edhe nga programet antivirus. Këta "kameleon" ndryshojnë veten duke përdorur operacionet më dinake dhe më të ndërlikuara, duke përdorur të dhënat aktuale (koha e krijimit të skedarëve) dhe duke përdorur pothuajse gjysmën e të gjithë grupit të udhëzimeve të procesorit. Në një moment të caktuar, natyrisht, sipas një algoritmi dinake, ata shndërrohen në një virus të poshtër dhe fillojnë të sulmojnë kompjuterin tonë. Ky është lloji më i vështirë i virusit për t'u zbuluar, por disa programe antivirus, si Dr.Weber, janë në gjendje të zbulojnë dhe neutralizojnë viruse të ngjashme duke përdorur të ashtuquajturat analiza heuristike.
Për të parandaluar zbulimin, viruset "të padukshëm" përdorin të ashtuquajturën metodë "Stelth". Ai konsiston në faktin se virusi, i cili është rezident në memorie, përgjon DOS (dhe në këtë mënyrë programet e aplikacionit) thirrjet në skedarë dhe zona të diskut të infektuar dhe i shfaq ato në formën e tyre origjinale (të painfektuar). Sigurisht, ky efekt vërehet vetëm në një kompjuter të infektuar - në një kompjuter "të pastër", ndryshimet në skedarët dhe zonat e nisjes së diskut mund të zbulohen lehtësisht. Por disa programe antivirus mund të zbulojnë viruse të padukshme edhe në kompjuterët e infektuar.
Krimbi i rrjetit Randon u shfaq në mars 2003. Ai përhapet përmes kanaleve IRC dhe burimeve të rrjetit lokal dhe infekton kompjuterët që përdorin sistemet operative Windows 2000 dhe Windows XP. Për të depërtuar në një kompjuter, ai lidhet me një rrjet lokal ose server IRC, skanon përdoruesit në të, krijon një lidhje me ta në portin 445 dhe përpiqet të gjejë një fjalëkalim nga lista e integruar e frazave më të përdorura. Nëse sistemi është hakuar me sukses, Random i dërgon atij programin Apher Trojan, i cili, nga ana tjetër, shkarkon komponentët e mbetur të krimbit nga një faqe interneti e largët. Pas kësaj, "Randon" instalon përbërësit e tij në drejtorinë e sistemit Windows dhe regjistron skedarin e tij kryesor. Për të fshehur praninë e tij në memorie, ai përdor një mjet të veçantë "HideWindows", i cili është gjithashtu një komponent i krimbit. Falë tij, ai është i padukshëm për përdoruesin, kështu që procesi aktiv "Randon" mund të zbulohet vetëm në menaxherin e detyrave të Windows. Efektet anësore të tij janë krijimi i një vëllimi të madh trafiku të tepërt në makinën e infektuar dhe mbipopullimi i kanaleve IRC.
Sipas Kaspersky Lab, një nga zhvilluesit kryesorë të programeve antivirus, ofron një përmbledhje të aktivitetit të virusit për Mars 2003 (Tabela 2 dhe Fig. 1)
Njëzet malware më të zakonshëm
Tabela 2
Emri Ndani në numri total incidentet e virusit (%)
1. I-Worm.Klez 37.60%
2. I-Worm.Sobig 10.75%
3. I-Worm.Lentin 9.03%
4. I-Worm.Avron 3.30%
5. Makro.Word97.Kështu 2.62%
6. I-Worm.Tanatos 1.38%
7. Makro. Word97.Marker 1.21%
8. Worm.Win32.Opasoft 1.13%
9. I-Worm.Hybris 1.04%
10. Win95.CIH 0.69%
11. Worm.Win32.Randon 0.58%
12. VBS.Redlof 0.57%
13. Backdoor.Vdekja 0.51%
14. Win95.Spaces 0.51%
15. I-Worm.Roron 0.49%
16.Trojan.PSW.Gip 0.49%
17. Backdoor.NetDevil 0,48%
18. Win32.HLLP.Hantaner 0.45%
19. TrojanDropper.Win32.Delf 0.42%
20. TrojanDropper.Win32.Yabinder 0.41%
Të tjera malware* 26,33%
*nuk përfshihet në 20 më të zakonshmet
PARANDALIMI DHE LUFTIMI I VIRUSEVE KOMPJUTERIKE
Metodat themelore të mbrojtjes kundër viruseve kompjuterike
Për t'u mbrojtur nga viruset mund të përdorni:
- Mjete të përgjithshme të mbrojtjes së informacionit, të cilat janë gjithashtu të dobishme si sigurim ndaj dëmtimit fizik të disqeve, programeve të mosfunksionimit ose veprimeve të gabuara të përdoruesit;
- masat parandaluese për të zvogëluar gjasat e infektimit me një virus kompjuterik;
- programe të specializuara për mbrojtjen nga viruset.
-Mjetet e përgjithshme të sigurisë së informacionit janë të dobishme jo vetëm për mbrojtjen nga viruset. Ekzistojnë dy lloje kryesore të këtyre fondeve:
kopjimi i informacionit - krijimi i kopjeve të skedarëve dhe zonat e sistemit disqe;
kontrolli i aksesit parandalon përdorimin e paautorizuar të informacionit, në veçanti mbrojtjen kundër ndryshimeve të programeve dhe të dhënave nga viruset, programet e keqfunksionuara dhe veprimet e gabuara përdoruesit.
Pavarësisht se masat e përgjithshme të sigurisë së informacionit janë shumë të rëndësishme për mbrojtjen nga viruset kompjuterike, ato vetëm nuk mjaftojnë. Është e nevojshme të përdoren programe të specializuara për t'u mbrojtur nga viruset kompjuterike. Këto programe mund të ndahen në disa lloje:
Programet e detektorit ju lejojnë të zbuloni skedarë të infektuar me një nga disa viruse të njohur.
Programet e doktorit, ose fagët, "trajtojnë viruset" programet ose disqet e infektuara, duke "kafshuar" trupin e virusit nga programet e infektuara, d.m.th. rikthimi i programit në gjendjen në të cilën ishte përpara se të infektohej virusi.
Programet e auditorit fillimisht kujtojnë informacionin rreth gjendjes së programeve dhe zonave të diskut të sistemit dhe më pas krahasojnë gjendjen e tyre me atë origjinale. Nëse zbulohen mospërputhje, përdoruesi njoftohet për këtë.
Mjekët - auditorët janë hibride të auditorëve dhe mjekëve, d.m.th. programe që jo vetëm zbulojnë ndryshime në skedarët dhe zonat e sistemit të disqeve, por gjithashtu mund t'i kthejnë ato automatikisht në gjendjen e tyre origjinale.
Programet e filtrit janë të vendosura në RAM-in e kompjuterit dhe përgjojnë ato thirrje në sistemin operativ që përdoren nga viruset për t'u riprodhuar dhe shkaktuar dëm, dhe i raportojnë ato te përdoruesi. Përdoruesi mund të lejojë ose mohojë operacionin përkatës.
Programet e vaksinave, ose imunizuesit, modifikojnë programet dhe disqet në mënyrë të tillë që kjo të mos ndikojë në funksionimin e programeve, por virusi kundër të cilit kryhet vaksinimi i konsideron këto programe dhe disqe tashmë të infektuara. Këto programe janë jashtëzakonisht joefektive dhe nuk konsiderohen më tej.
Fatkeqësisht, asnjë lloj i vetëm i programit antivirus nuk ofron mbrojtje të plotë kundër viruseve kompjuterike. Prandaj, strategjia më e mirë për t'u mbrojtur nga viruset është një mbrojtje me shumë nivele, "echelon". Le të përshkruajmë strukturën e kësaj mbrojtjeje.
Mjetet e zbulimit në "mbrojtje" kundër viruseve korrespondojnë me programe - detektorë që ju lejojnë të kontrolloni softuerin e marrë rishtazi për praninë e viruseve.
Në ballë të mbrojtjes janë programet e filtrit (programet rezidente për mbrojtjen nga viruset). Këto programe mund të jenë të parët që raportojnë një sulm virusi dhe parandalojnë infektimin e programeve dhe të diskut.
Shkalla e dytë e mbrojtjes përbëhet nga programet e auditorëve, programet e mjekëve dhe auditorët e mjekëve. Auditorët zbulojnë një sulm edhe kur virusi ka arritur të "rrjedh" në vijën e parë të mbrojtjes. Programet e doktorit përdoren për të rivendosur programet e infektuara nëse nuk ka kopje në arkiv. Por ata jo gjithmonë e kryejnë trajtimin në mënyrë korrekte. Mjekët-auditorët zbulojnë një sulm virusi dhe trajtojnë viruset - skedarët e infektuar, dhe monitorojnë korrektësinë e trajtimit të viruseve, dhe nëse është e pamundur të trajtohen viruset, ata domosdoshmërisht rekomandojnë heqjen e viruseve (skedarët e infektuar).
Esheloni më i thellë i mbrojtjes janë mjetet e kontrollit të aksesit. Ata nuk lejojnë që viruset dhe programet që funksionojnë keq, edhe nëse kanë hyrë në kompjuter, të prishin të dhëna të rëndësishme.
Dhe së fundi, në "rezervë strategjike" janë kopje arkivore informacione dhe disqe “referencuese” me produkte softuerike. Ato ju lejojnë të rivendosni informacionin nëse është i dëmtuar në hard diskun tuaj.
Programet - detektorë dhe mjekë
Në shumicën e rasteve, ju mund të gjeni programe detektori të zhvilluara tashmë për të zbuluar një virus që ka infektuar një kompjuter. Këto programe kontrollojnë nëse skedarët në diskun e specifikuar nga përdoruesi përmbajnë një specifikë ky virus kombinimi i bajteve. Kur zbulohet në ndonjë skedar, një mesazh përkatës shfaqet në ekran. Shumë detektorë kanë një mënyrë trajtimi ose heqjeje virusi.
Duhet të theksohet se programi i detektorit mund të zbulojë vetëm ato viruse që janë të njohura për të (d.m.th., ata që përfshihen në bazën e të dhënave antivirus të këtij programi).
Një program i tillë është Kaspersky KIS.
Çdo gjë në lidhje me të ka një ndërfaqe të përshtatshme dhe intuitive. Programi është krijuar për sistemin operativ Windows XP dhe Windows Vista, e cila e lejon atë të punojë paralelisht me aplikacionet e tjera. Kaspersky Lab është një lider rus në zhvillimin e sistemeve të sigurisë antivirus.
Ekziston edhe AVAST.
Këta janë mbrojtës të provuar të kompjuterit tuaj - trajtimi i shumicës së viruseve dhe heqja e viruseve në rast të kërcënimit të tyre kritik ose pashërueshmërisë.
Shumica e programeve të detektorit kanë edhe funksionin “doktor”, d.m.th. ata përpiqen të kthejnë skedarët e infektuar dhe zonat e diskut në gjendjen e tyre origjinale - për të kuruar viruset. Ato skedarë që nuk mund të dezinfektoheshin zakonisht bëhen jofunksionale ose fshihen.
Parandalimi i infeksionit me virus
Le të shohim disa masa që mund të zvogëlojnë gjasat që kompjuteri juaj të infektohet me një virus, si dhe të minimizojnë dëmin nga një infeksion virusi nëse ndodh.
1. Do të ishte një ide e mirë që të keni dhe, nëse është e nevojshme, të përditësoni kopje arkivore dhe referuese të paketave dhe të dhënave të softuerit të përdorur. Para se të arkivoni të dhënat, këshillohet që ato të kontrollohen për viruse.
2. Këshillohet gjithashtu që të kopjoni informacionin e shërbimit të diskut (FAT, sektorët e nisjes) dhe CMOS (memorie kompjuterike jo të paqëndrueshme) në disqe. Kopjimi dhe rivendosja e një informacioni të tillë mund të bëhet duke përdorur programin Rescue paketë softuerike Norton Utilities.
3. Mbrojtja e shkrimit duhet të instalohet në disketat arkivore.
4. Nuk duhet të përfshiheni në kopjim të palicensuar ose të paligjshëm të softuerit nga kompjuterë të tjerë. Ata mund të kenë një virus.
5. Të gjitha të dhënat që vijnë nga jashtë duhet të kontrollohen për viruse, veçanërisht skedarët e "shkarkuar" nga Interneti.
6. Është e nevojshme të përgatitet paraprakisht një paketë rikuperimi në disketat e mbrojtura nga shkrimi.
7. Gjatë punës normale që nuk lidhet me rivendosjen e kompjuterit, duhet të çaktivizoni nisjen nga një disketë. Kjo do të parandalojë infektimin me virusin e nisjes.
8. Përdorni programe filtri për zbulimin e hershëm të viruseve.
9. Kontrolloni periodikisht diskun me programe detektori ose mjekë - detektorë ose auditorë për të zbuluar dështimet e mundshme në mbrojtje.
10. Përditësoni bazën e të dhënave të softuerit tuaj antivirus.
11. Mos lejoni që përdoruesit e dyshimtë të kenë akses në kompjuterin tuaj.
PËRFUNDIM
Si përfundim, dëshiroj të paralajmëroj që të mos jemi shumë të zellshëm në luftën kundër viruseve kompjuterike. Kryerja e një skanimi të plotë të hard drive-it tuaj për viruse çdo ditë nuk është gjithashtu një hap i mirë në parandalimin e infeksioneve. E vetmja mënyrë e civilizuar për t'u mbrojtur nga viruset, unë shoh, është marrja e masave parandaluese kur punoni në një kompjuter. Ju gjithashtu duhet të kërkoni ndihmën e specialistëve për të luftuar një virus kompjuterik. Për më tepër, edhe nëse virusi ka depërtuar në kompjuter, kjo nuk është një arsye për panik.
Shpesh problemi kryesor i internetit nuk janë viruset dhe hakerat, por një fenomen kaq i zakonshëm si analfabetizmi kompjuterik. Duke përdorur analogjinë e Kaspersky, mosnjohja e rregullave trafiku. Njerëzit që kanë mësuar kohët e fundit të marrin dhe të dërgojnë postë demonizojnë viruset kompjuterike, pothuajse duke i imagjinuar ato në formën e krimbave të zinj të padukshëm që zvarriten përgjatë telave. Këtu janë disa rregulla të thjeshta, pas së cilës mund të përpiqeni të shmangni infeksionin me viruse. Së pari: ata nuk kanë frikë nga viruset kompjuterike, janë të gjitha të shërueshme. Së dyti: përkthe Microsoft Outlook në modalitetin e funksionimit në zonën e nyjeve të kufizuara, të cilat do ta ndalojnë atë ekzekutimi automatik Disa programe janë parimi bazë i përhapjes së viruseve kompjuterike. Së treti: mos hapni letra nga marrës të dyshimtë. Së katërti: përdorni një antivirus të freskët, dhe më e rëndësishmja, të LICENSUAR.
Pas ekzekutimit të një programi që përmban një virus, bëhet i mundur infektimi i skedarëve të tjerë. Më shpesh, sektori i nisjes së diskut dhe skedarët e ekzekutueshëm me shtesat EXE, COM, SYS ose BAT janë të infektuar me një virus. Është jashtëzakonisht e rrallë që skedarët tekst dhe grafikë të infektohen.
Një program i infektuar është një program që përmban një program virusi të ngulitur në të.
Shenjat e viruseve
Kur kompjuteri juaj është i infektuar me një virus, është shumë e rëndësishme ta zbuloni atë menjëherë. Për ta bërë këtë, duhet të dini për shenjat kryesore të viruseve. Këto përfshijnë sa vijon:
Ndërprerja e punës ose funksionimi i gabuar i programeve që kanë funksionuar më parë me sukses;
Performanca e ngadaltë e kompjuterit;
Pamundësia për të ngarkuar sistemin operativ;
Zhdukja e skedarëve dhe drejtorive ose prishja e përmbajtjes së tyre;
Ndryshimi i datës dhe orës së modifikimit të skedarit;
Ndryshimi i madhësive të skedarëve;
Rritje e papritur e ndjeshme e numrit të skedarëve në disk;
Reduktim i ndjeshëm në madhësinë e RAM-it të lirë;
Shfaqja e mesazheve ose imazheve të papritura në ekran;
Paraqitja e të paparashikuarve sinjale zanore;
Ngrirje dhe përplasje të shpeshta në kompjuter.
Duhet theksuar se dukuritë e mësipërme nuk shkaktohen domosdoshmërisht nga prania e një virusi, por mund të jenë pasojë e arsyeve të tjera. Prandaj, është gjithmonë e vështirë të diagnostikosh saktë gjendjen e një kompjuteri.
Llojet kryesore të viruseve
Aktualisht, më shumë se 15,000 viruse softuerike janë të njohura; ato mund të klasifikohen sipas kritereve të mëposhtme (Fig. 11.10):
Sipas habitatit;
Sipas metodës së infeksionit;
Sipas shkallës së ndikimit;
Sipas veçorive të algoritmit.
Varet nga habitati viruset mund të ndahen
Për rrjet
Dosja,
Çizme
File-boot.
· Viruset e rrjetit përhapur në të ndryshme rrjetet kompjuterike.
· Viruset e skedarëve janë të ngulitura kryesisht në module të ekzekutueshme, d.m.th. te skedarët me shtesa COM dhe EXE. Viruset e skedarëve mund të futen në lloje të tjera skedarësh, por, si rregull, të shkruar në skedarë të tillë, ata kurrë nuk fitojnë kontroll dhe, për rrjedhojë, humbasin aftësinë për t'u riprodhuar.
· Viruset e nisjes janë të ngulitura në sektorin e nisjes së diskut (sektori i nisjes) ose në sektorin që përmban programin e nisjes së diskut të sistemit (Master Boot Record).
· Viruset File-boot infektojnë të dy skedarët dhe sektorët e nisjes së disqeve.
Me metodën e infeksionit viruset ndahen në
Banor
Jo rezident.
· Kur një virus rezident infekton (infekton) një kompjuter, ai e lë pjesën e tij rezidente në RAM, e cila më pas përgjon aksesin e sistemit operativ në objektet e infektimit (skedarët, sektorët e nisjes së diskut, etj.) dhe injektohet në to. Viruset rezidente qëndrojnë në memorie dhe janë aktive derisa kompjuteri të fiket ose të rindizet.
· Sustat jorezidente nuk infektojnë memorien e kompjuterit dhe janë aktive për një kohë të kufizuar.
Në varësi të shkallës së ndikimit, viruset mund të ndahen në llojet e mëposhtme:
i padëmshëm, duke mos ndërhyrë në funksionimin e kompjuterit, por duke zvogëluar sasinë e RAM-it të lirë dhe memorien e diskut, veprimet e viruseve të tillë manifestohen në çdo grafik ose efektet e zërit;
viruse të rrezikshme, të cilat mund të çojnë në probleme të ndryshme në funksionimin e kompjuterit;
shume e rrezikshme, ndikimi i të cilave mund të çojë në humbjen e programeve, shkatërrimin e të dhënave, fshirjen e informacionit në zonat e sistemit të diskut
Sipas veçorive të algoritmit Viruset janë të vështira për t'u klasifikuar për shkak të shumëllojshmërisë së tyre të gjerë.
Mund të vërehet replikimin e viruseve të quajtur krimba, të cilat shpërndahen në rrjetet kompjuterike, llogarisin adresat e kompjuterëve të rrjetit dhe shkruajnë kopjet e tyre në këto adresa.
I njohur viruse të padukshme të quajtura viruse step, të cilat janë shumë të vështira për t'u zbuluar dhe neutralizuar, pasi përgjojnë thirrjet nga sistemi operativ drejt skedarëve dhe sektorëve të diskut të infektuar dhe zëvendësojnë zonat e pa infektuara të diskut në vend të trupit të tyre.
Më e vështira për t'u zbuluar viruset mutant, që përmban algoritme enkriptimi-deshifrimi, falë të cilave kopjet e të njëjtit virus nuk kanë një varg të vetëm përsëritës të bajteve.
Ka edhe të ashtuquajturat programe kuazi-virus ose trojan, të cilat, edhe pse nuk janë të afta për vetëpërhapje, janë shumë të rrezikshme, pasi që maskohen si program i dobishëm, shkatërroni sektorin e nisjes dhe sistemin e skedarëve të diskut.
Programet e zbulimit dhe mbrojtjes së viruseve
Karakteristikat e programeve antivirus
Janë zhvilluar disa lloje për të zbuluar, hequr dhe mbrojtur kundër viruseve kompjuterike. programe të veçanta, të cilat ju lejojnë të zbuloni dhe shkatërroni viruset. Programe të tilla quhen programe antivirus.
Ekzistojnë llojet e mëposhtme të programeve antivirus:
· programet e detektorit;
· programet e mjekut ose fagët;
· programet e auditimit;
· programe filtri;
· programe vaksinash ose imunizuesish.
Programet e detektorëve Ata kërkojnë për një sekuencë bajtësh karakteristikë të një virusi të caktuar (nënshkrimi i virusit) në RAM dhe skedarë dhe, kur gjenden, shfaqin një mesazh përkatës. Disavantazhi i programeve të tilla antivirus është se ata mund të gjejnë vetëm viruse që janë të njohur për zhvilluesit e programeve të tilla.
Programet e doktorit ose fagët - projektuar për të trajtuar disqet dhe programet e infektuara. Trajtimi i një programi konsiston në heqjen e trupit të virusit nga programi i infektuar. Polyphage është në gjendje të shkatërrojë shumë viruse. Më të famshmit janë Aidstest, Norton AntiVirus dhe Doctor Web.
programet e auditimit: projektuar për të zbuluar infeksionin me virus të skedarëve, si dhe për të gjetur skedarë të dëmtuar. Këto programe mbajnë mend të dhënat për gjendjen e programit dhe zonat e sistemit të disqeve në një gjendje normale (para infektimit) dhe i krahasojnë këto të dhëna ndërsa kompjuteri është në punë. Nëse të dhënat nuk përputhen, shfaqet një mesazh që tregon mundësinë e infektimit;
programe filtri ose mbrojtëse janë krijuar për të përgjuar thirrjet në sistemin operativ, të cilat përdoren nga viruset për të riprodhuar dhe raportuar këtë tek përdoruesi. Përdoruesi mund të lejojë ose mohojë operacionin përkatës. Programe të tilla janë rezidente, domethënë janë të vendosura në RAM-in e kompjuterit.
programet e vaksinave: përdoret për të përpunuar skedarët dhe sektorët e nisjes për të parandaluar infektimin nga viruse të njohura (në Kohët e fundit kjo metodë po përdoret gjithnjë e më shumë).
Vaksinat ose imunizuesit- Këto janë programe rezidente që parandalojnë infektimin e skedarëve. Vaksinat përdoren nëse nuk ka programe mjekësh që “trajtojnë” këtë virus. Vaksinimi është i mundur vetëm kundër viruseve të njohura. Vaksina modifikon programin ose diskun në mënyrë të tillë që të mos ndikojë në funksionimin e tij, dhe virusi do ta perceptojë atë si të infektuar dhe për këtë arsye nuk do të zërë rrënjë. Aktualisht, programet e vaksinave kanë përdorim të kufizuar.
Duhet të theksohet se zgjedhja e një antivirusi "më të mirë" është një vendim jashtëzakonisht i gabuar. Rekomandohet të përdorni disa të ndryshme paketat antivirus njëkohësisht. Kur zgjidhni një program antivirus, duhet t'i kushtoni vëmendje një parametri të tillë si numri i nënshkrimeve të njohjes (një sekuencë karakteresh që garantohen të njohin një virus). Parametri i dytë është prania e një analizuesi heuristik viruse të panjohura, prania e tij është shumë e dobishme, por ngadalëson ndjeshëm kohën e funksionimit të programit. Sot ka një numër të madh të programeve të ndryshme antivirus.
Një nga antivirusët më të mirë me një algoritëm të fuqishëm të zbulimit të viruseve. Polyphage i aftë për të kontrolluar skedarët e arkivuar, dokumentet Word dhe punën Librat e punës në Excel, identifikon viruset polimorfikë, të cilët kohët e fundit janë bërë gjithnjë e më të përhapur. Mjafton të thuhet se ishte DrWeb që ndaloi epideminë e virusit shumë të rrezikshëm OneHalf. Analizuesi heuristik DrWeb, duke ekzaminuar programet për praninë e fragmenteve të kodit karakteristik të viruseve, na lejon të gjejmë pothuajse 90% të viruseve të panjohur. Kur ngarkon një program, DrWeb së pari kontrollon veten për integritet dhe më pas teston RAM-in. Programi mund të funksionojë në modalitetin interaktiv dhe ka një ndërfaqe përdoruesi të përshtatshme dhe të personalizueshme.
Auditori i diskut antivirus ADINF (Advanced DiskINFoscope) ju lejon të gjeni dhe shkatërroni viruset ekzistuese konvencionale, të fshehta dhe polimorfike, si dhe ato krejtësisht të reja. Antivirusi ka në dispozicion një bllok shërues të auditorit ADINF - Adinf Cure Module - i cili mund të neutralizojë deri në 97% të të gjithë viruseve. Kjo shifër është dhënë nga Dialognauka, bazuar në rezultatet e testimit që u kryen në koleksionet e viruseve të dy autoriteteve të njohura në këtë fushë - D.N. Lozinsky dhe Dr. Solomon's (Britania e Madhe).
ADINF ngarkohet automatikisht kur kompjuteri është i ndezur dhe monitoron sektorin e nisjes dhe skedarët në disk (data dhe ora e krijimit, gjatësia, shuma e kontrollit), duke shfaqur mesazhe në lidhje me ndryshimet e tyre. Për shkak të faktit se ADINF kryen operacione të diskut duke anashkaluar sistemin operativ, duke hyrë Funksionet e BIOS-it, arrihet jo vetëm aftësia për të zbuluar viruse aktive stealth, por edhe një shpejtësi e lartë e skanimit të diskut. Nëse gjendet një virus boot, ADINF thjesht do të rivendosë sektorin e mëparshëm të nisjes, i cili ruhet në tabelën e tij. Nëse virusi është një virus skedari, atëherë në ndihmë vjen njësia e trajtimit të Adinf Cure Module, e cila, bazuar në raportin e modulit kryesor për skedarët e infektuar, krahason parametrat e skedarëve të rinj me ato të mëparshme, të ruajtura në tabela të veçanta. Kur zbulohen mospërputhje, ADINF rikthen gjendjen e mëparshme të skedarit në vend që të shkatërrojë trupin e virusit, siç bëjnë polifagët.
Antivirus AVP(Programi AntiVirus) i referohet polifagëve; gjatë funksionimit ai kontrollon RAM-in, skedarët, përfshirë ato të arkivuara, në fleksibël, lokal, rrjet dhe Disqet CD-ROM, si dhe strukturat e të dhënave të sistemit si sektori i nisjes, tabela e ndarjeve, etj. Programi ka një analizues heuristik, i cili, sipas zhvilluesve të antiviruseve, është i aftë të gjejë pothuajse 80% të të gjithë viruseve. Programi AVP është një aplikacion 32-bit për të punuar nën sistemet operative Windows 98, NT dhe 2000, ka ndërfaqe miqësore për përdoruesit, si dhe një nga bazat e të dhënave më të mëdha antivirus në botë. Bazat e të dhënave antivirus për AVP përditësohen afërsisht një herë në javë dhe mund të merren nga Interneti. Ky program kërkon dhe heq një shumëllojshmëri të gjerë të viruseve, duke përfshirë:
- viruse polimorfike ose vetë-kriptuese;
- viruse të fshehta ose viruse të padukshme;
- viruse të reja për Windows;
- makro viruset që infektojnë dokumentet e Word-it dhe tabelat e Excel-it.
Përveç kësaj, programi AVP monitoron operacionet e skedarëve në sistem në sfond, zbulon një virus përpara se sistemi të infektohet në të vërtetë dhe gjithashtu identifikon viruse të panjohura duke përdorur një modul heuristik.
viruset kompjuterike
Viruset e skedarëve
Një virus mund të depërtojë në tre lloje skedarësh:
Ekipi (BAT);
Drejtues të shkarkueshëm (IO.SYS, MSDOS.SYS, etj.);
Skedarët binare të ekzekutueshëm (EXE, COM).
Është e mundur të futet një virus në skedarët e të dhënave, por këto raste ndodhin ose si rezultat i një gabimi të virusit ose kur virusi shfaq vetitë e tij agresive.
Futja e një virusi në një skedar SYS ndodh si më poshtë: viruset futen në një skedar SYS, ia atribuojnë kodet e tyre "trupit" të skedarit dhe modifikojnë adresat e programeve Strategjia dhe Ndërprerja e drejtuesit të infektuar (ka viruse që ndryshojnë adresën e vetëm njërit prej programeve). Kur një drejtues i infektuar inicializohet, virusi kap kërkesën përkatëse të sistemit operativ, ia kalon atë drejtuesit, pret një përgjigje, e korrigjon atë dhe mbetet në RAM së bashku me drejtuesin në të njëjtin bllok memorie. Një virus i tillë mund të jetë jashtëzakonisht i rrezikshëm dhe këmbëngulës, pasi futet në RAM kur ngarkon DOS para çdo programi antivirus, nëse, natyrisht, është gjithashtu një drejtues.
Skedari i shoferit të infektuar:
Është gjithashtu e mundur të infektohet një drejtues sistemi në një mënyrë tjetër, kur virusi modifikon kokën e tij në mënyrë që DOS të shikojë skedarin e infektuar si një zinxhir prej dy (ose më shumë) skedarësh.
Skedari i shoferit të infektuar:
Në mënyrë të ngjashme, një virus mund të shkruajë kodet e tij në fillim të drejtuesit, dhe nëse skedari përmban disa drejtues, atëherë në mes të skedarit.
Futja e një virusi në skedarët COM dhe EXE ndodh si më poshtë: skedarët binare të ekzekutueshëm janë në formate COM ose EXE dhe ndryshojnë në kokën dhe mënyrën se si programet janë nisur për ekzekutim. Zgjatja e emrit të skedarit (COM ose EXE) nuk korrespondon gjithmonë me formatin aktual të skedarit, gjë që nuk ndikon në funksionimin e programit në asnjë mënyrë. Skedarët COM ose EXE infektohen ndryshe, prandaj virusi duhet të dallojë një format skedari nga një tjetër.
Viruset e zgjidhin këtë problem në dy mënyra: disa analizojnë zgjerimin e emrit të skedarit, të tjerët analizojnë kokën e skedarit. Më tej metodën e parë do ta quajmë infeksion. Skedarët COM- (.EXE-), metoda e dytë e infektimit: skedarët COM- (EXE-). Në shumicën e rasteve, virusi infekton skedarin në mënyrë korrekte, d.m.th., duke përdorur informacionin që përmban trupi i tij, është e mundur të rivendosni plotësisht skedarin e infektuar. Por viruset, si shumica e programeve, shpesh përmbajnë gabime që janë të padukshme në shikim të parë. Për shkak të kësaj, edhe një virus i shkruar plotësisht saktë mund të dëmtojë në mënyrë të pakthyeshme një skedar nëse është i infektuar. Për shembull, viruset që dallojnë llojet e skedarëve sipas zgjerimit të emrit (.COM-, .EXE-) janë shumë të rrezikshëm, pasi ato korruptojnë skedarët, zgjerimi i emrit të të cilëve nuk përputhet me formatin e brendshëm.
Kur përhapen, viruset e skedarëve futen në trupin e skedarit të infektuar: fillimi, fundi ose mesi. Ekzistojnë disa mundësi për futjen e një virusi në mes të një skedari: ai mund të kopjohet në tabelën e konfigurimit të adresave të skedarit EXE ("Boot - Exe"), në zonën e stivës së skedarit COMMAND.COM ("Lehigh "), mund të zgjerojë skedarin ose të rishkruajë një pjesë të skedarit në fund të tij, dhe kodet tuaja - në hapësirën e lirë ("April - 1- Exe", "Phoenix"), etj. Përveç kësaj, kopjimi i një virusi në mes të një skedari mund të ndodhë si rezultat i një gabimi të virusit. Në këtë rast, skedari mund të dëmtohet në mënyrë të pakthyeshme. Ka mënyra të tjera për të futur një virus në mes të një skedari, për shembull, virusi "Mutant" përdor një metodë për të kompresuar seksione të caktuara të skedarit.
Një virus mund të futet në fillim të një skedari në tre mënyra. Metoda e parë është që virusi rishkruan fillimin e skedarit të infektuar deri në fund dhe kopjon veten në hapësirën e lirë. Kur infekton një skedar duke përdorur metodën e dytë, virusi krijon një kopje të tij në RAM, i shton skedarin e infektuar dhe ruan lidhjen që rezulton në disk. Kur infektohet me metodën e tretë, virusi shkruan kodet e tij në fillim të skedarit, pa ruajtur përmbajtjen e vjetër të fillimit të skedarit; natyrisht, skedari ndalon së punuari dhe nuk rikthehet.
Injektimi i një virusi në fillim të një skedari përdoret në shumicën dërrmuese të rasteve kur skedarët COM janë të infektuar. Skedarët EXE infektohen duke përdorur këtë metodë ose si rezultat i një gabimi virusi ose kur përdorni algoritmin e virusit "Pascal".
Injektimi i një virusi në fund të një skedari është metoda më e zakonshme e infeksionit. Në këtë rast, virusi ndryshon fillimin e skedarit në atë mënyrë që komandat e para të programit që përmban skedari që do të ekzekutohet janë komandat e virusit. Në një skedar COM, kjo arrihet duke ndryshuar tre (ose më shumë) bajt të tij të parë në kodet e udhëzimeve JMP Loc_Virus (ose në rastin e përgjithshëm, në kodet e programimit që transferojnë kontrollin në trupin e virusit). Skedari EXE ose përkthehet në një format skedari COM dhe më pas infektohet si ky i fundit, ose modifikohet titulli i skedarit (gjatësia, adresat fillestare).
Metoda standarde e infeksionit është ajo në të cilën virusi shtohet në fund të skedarit dhe ndryshon bajtët e parë të skedarit COM dhe disa fusha të kokës së skedarit EXE.
Virusi, pasi transferon kontrollin tek ai, vepron sipas algoritmit të mëposhtëm:
Rikthen programin (por jo skedarin) në formën e tij origjinale;
Nëse virusi është rezident, atëherë ai kontrollon RAM-in për praninë e kopjes së tij dhe infekton kujtesën e kompjuterit nëse një kopje nuk gjendet; nëse virusi nuk është rezident, atëherë ai kërkon për skedarë të pa infektuar në drejtoritë aktuale dhe rrënjët, në drejtoritë e shënuara në komandën PATH, skanon pemën e drejtorive të disqeve logjike dhe më pas infekton skedarët e zbuluar;
Kryen, nëse ka, funksione shtesë: veprime shkatërruese, efekte grafike ose zanore.
E kthen kontrollin në programin kryesor.
Boot viruse
Viruset e nisjes infektojnë sektorin e nisjes së disketës dhe sektorin Boot, ose Master Boot Record, të hard drive-it. Kur një disk është i infektuar, virusi në shumicën e rasteve transferon sektorin origjinal Boot në një sektor tjetër të diskut. Nëse gjatësia e virusit është më e madhe se gjatësia e sektorit, atëherë pjesa e parë e virusit zhvendoset në sektorin e infektuar, pjesa tjetër vendoset në sektorë të tjerë. Virusi më pas kopjon informacionin e sistemit të ruajtur në ngarkuesin origjinal dhe e shkruan atë në sektorin e nisjes (për MBR ky informacion është Tabela e Ndarjes së Diskut, për sektorin Boot të disketave - Blloku i Parametrave BIOS).
Algoritmi për funksionimin e një virusi boot.
Injektimi i memories ndodh kur niset nga një disk i infektuar. Në këtë rast, ngarkuesi i nisjes së sistemit lexon përmbajtjen e sektorit të parë të diskut nga i cili është bërë boot, vendos informacionin e lexuar në memorie dhe transferon kontrollin tek ai (d.m.th. te virusi). Pas kësaj, udhëzimet e virusit fillojnë të ekzekutohen, gjë që zvogëlon sasinë e kujtesës së lirë; lexon vazhdimin e tij nga disku; transferohet në një zonë tjetër memorie; vendos vektorët e nevojshëm të ndërprerjes; ndërmerr veprime shtesë; kopjon sektorin origjinal Boot në memorie dhe transferon kontrollin në të.
Më pas, virusi i nisjes sillet në të njëjtën mënyrë si një virus i skedarëve rezident: ai përgjon thirrjet nga sistemi operativ drejt disqeve dhe i nis ato, në varësi të kushteve të caktuara, kryen veprime shkatërruese ose shkakton efekte zanore ose video.
Karakteristikat e viruseve kompjuterike
Thelbi dhe manifestimi i viruseve kompjuterike
Përdorimi masiv i kompjuterëve personalë, për fat të keq, doli të jetë i lidhur me shfaqjen e programeve të virusit vetë-përsëritës që ndërhyjnë në funksionimin normal të kompjuterit, duke shkatërruar struktura e skedarit disqe dhe informacione të dëmshme të ruajtura në kompjuter. Pasi një virus kompjuterik depërton në një kompjuter, ai mund të përhapet në kompjuterë të tjerë. Virus kompjuterikështë një program i shkruar posaçërisht që mund të bashkohet spontanisht me programe të tjera, të krijojë kopje të vetvetes dhe t'i vendosë ato në skedarë, zona të sistemit të kompjuterit dhe në rrjetet kompjuterike për të prishur funksionimin e programeve, për të dëmtuar skedarët dhe direktoritë dhe për të krijuar të gjitha llojet e ndërhyrjeve në punën në kompjuter.Arsyet e shfaqjes dhe përhapjes së viruseve kompjuterike, nga njëra anë, fshihen në psikologjinë e njeriut. personaliteti dhe anët e tij hije (zilia, hakmarrja, kotësia e krijuesve të panjohur, pamundësia për të zbatuar në mënyrë konstruktive aftësitë e tyre), nga ana tjetër, janë për shkak të mungesës së mbrojtjes harduerike dhe kundërmasave nga sistemi operativ. Kompjuter personal.Megjithë ligjet e miratuara në shumë vende për të luftuar krimet kompjuterike dhe zhvillimin e mjeteve të veçanta softuerike për të mbrojtur kundër viruseve, numri i viruseve të reja softuerike është vazhdimisht në rritje. Kjo kërkon që përdoruesi i një kompjuteri personal të ketë njohuri për natyrën e viruseve, metodat e infektimit nga viruset dhe mbrojtjen ndaj tyre.Rrugët kryesore për hyrjen e viruseve në kompjuter janë disqet e lëvizshëm (floppy dhe lazer), si dhe rrjetet kompjuterike. . Hard disku juaj mund të infektohet me viruse kur nisni kompjuterin tuaj nga një disketë që përmban një virus. Një infeksion i tillë mund të jetë gjithashtu aksidental, për shembull, nëse disketa nuk është hequr nga disku A: dhe kompjuteri është rindezur, ndërsa disketa mund të mos jetë e sistemit. Është shumë më e lehtë të infektosh një disketë. Një virus mund të hyjë në të edhe nëse disketa thjesht futet në diskun e një kompjuteri të infektuar dhe, për shembull, lexohet tabela e përmbajtjes së tij. Disku i infektuar- ky është një disk në sektorin e nisjes së të cilit ekziston një program - një virus. Pas ekzekutimit të një programi që përmban një virus, bëhet i mundur infektimi i skedarëve të tjerë. Më shpesh, sektori i nisjes së diskut dhe skedarët e ekzekutueshëm me shtesat EXE, .COM, SYS ose BAT janë të infektuar me një virus. Është jashtëzakonisht e rrallë që skedarët tekst dhe grafikë të infektohen. Programi i infektuarështë një program që përmban një program virusi të ngulitur në të.Kur një kompjuter është i infektuar me një virus, është shumë e rëndësishme që ai të zbulohet në kohën e duhur. Për ta bërë këtë, duhet të dini për shenjat kryesore të viruseve. Këto përfshijnë sa vijon:- ndërprerja e funksionimit ose funksionimi i gabuar i programeve që kanë funksionuar më parë me sukses;
- funksionimi i ngadaltë i kompjuterit;
- pamundësia për të ngarkuar sistemin operativ;
- zhdukja e skedarëve dhe drejtorive ose prishja e përmbajtjes së tyre;
- ndryshimi i datës dhe orës së modifikimit të skedarit;
- ndryshimi i madhësisë së skedarëve;
- rritje e papritur e konsiderueshme e numrit të skedarëve në disk;
- një ulje e konsiderueshme në madhësinë e RAM-it të lirë;
- shfaqja e mesazheve ose imazheve të papritura në ekran;
- duke dhënë sinjale zanore të papritura;
- Ngrirje dhe përplasje të shpeshta në kompjuter.
- jo të rrezikshme, duke mos ndërhyrë në funksionimin e kompjuterit, por duke zvogëluar sasinë e RAM-it të lirë dhe memorien e diskut, veprimet e viruseve të tillë manifestohen në disa efekte grafike ose zanore;
- e rrezikshme viruse që mund të çojnë në probleme të ndryshme me kompjuterin tuaj;
- shume e rrezikshme ndikimi i të cilave mund të çojë në humbjen e programeve, shkatërrimin e të dhënave dhe fshirjen e informacionit në zonat e sistemit të diskut.
PROGRAMET E ZBULIMIT DHE MBROJTJES TË VIRUSIT
Karakteristikat e programeve antivirus Për të zbuluar, hequr dhe mbrojtur nga viruset kompjuterike, janë zhvilluar disa lloje të programeve speciale që ju lejojnë të zbuloni dhe shkatërroni viruset. Programe të tilla quhen antivirus. Ekzistojnë llojet e mëposhtme të programeve antivirus (Fig. 11.11): Programet e detektorëve Ata kërkojnë për një sekuencë bajtësh (nënshkrimi virusi) karakteristik për një virus të caktuar në RAM dhe skedarë dhe, kur gjenden, lëshojnë një mesazh përkatës. Disavantazhi i një antivirusi të tillë pro-Fig. 11.11. Llojet e programeve antivirus
gram është se ata mund të gjejnë vetëm viruse që janë të njohur për zhvilluesit e programeve të tilla. Programet e doktorit ose fagët, dhe programet e vaksinave jo vetëm të gjejë skedarë të infektuar me viruse, por edhe t'i "trajojë" ato, d.m.th. hiqni trupin e programit të virusit nga skedari, duke i kthyer skedarët në gjendjen e tyre origjinale. Në fillim të punës së tyre, fagët kërkojnë viruse në RAM, duke i shkatërruar ato dhe vetëm atëherë vazhdojnë të "pastrojnë" skedarët. Ndër fagët ka polifagët,
ato. Programet e doktorit të krijuara për të kërkuar dhe shkatërruar sasi e madhe viruset. Polifagët më të famshëm janë programet Aidstest , Skano, Norton AntiVirus dhe Doctor Web .
Duke marrë parasysh që viruset e reja shfaqen vazhdimisht, programet e detektorëve dhe programet e mjekëve shpejt bëhen të vjetëruara dhe nevojiten përditësime të rregullta të versioneve të tyre. Programi i auditorit janë ndër mjetet më të besueshme të mbrojtjes kundër viruseve. Auditorët e mbajnë mend origjinalin statusi i programit, drejtoritë dhe zonat e sistemit të diskut kur kompjuteri nuk është i infektuar me virus, dhe më pas në mënyrë periodike ose me kërkesë të përdoruesit, krahasoni gjendjen aktuale me atë origjinale. Ndryshimet e zbuluara shfaqen në ekranin e monitorit të videos. Si rregull, krahasimi i gjendjeve kryhet menjëherë pas ngarkimit të sistemit operativ. Gjatë krahasimit, kontrollohet gjatësia e skedarit, kodi ciklik i kontrollit (shuma e kontrollit të skedarit), data dhe ora e modifikimit dhe parametrat e tjerë. Programet e auditorit kanë zhvilluar mjaft algoritme, zbulojnë viruse të fshehta dhe madje mund të dallojnë ndryshimet në versionin e programit që kontrollohet nga ndryshimet e bëra nga virusi. Ndër programet e auditimit është programi Adinf nga Dialog-Science, i cili përdoret gjerësisht në Rusi. Programet e filtrimit ose "rojtar" janë programe të vogla rezidente të krijuara për të zbuluar veprime të dyshimta gjatë funksionimit të kompjuterit, karakteristikë e viruseve. Veprime të tilla mund të jenë: - përpiqet të korrigjojë skedarët me shtesa COM dhe EXE;
- ndryshimi i atributeve të skedarit;
- shkrim i drejtpërdrejtë në disk në adresë absolute;
- shkrimi në sektorët e nisjes së diskut.
- në modalitetin e ndërfaqes me ekran të plotë duke përdorur menynë dhe kutitë e dialogut;
- në modalitetin e kontrollit të linjës së komandës.
- informacion rreth sektorëve të nisjes;
- informacion rreth grupimeve të dështuara;
- gjatësia dhe shumat e kontrollit dosjet;
- data dhe ora e krijimit të skedarëve.
- pajisni kompjuterin tuaj me softuer antivirus të përditësuar, si p.sh Aidtest ose Doktor Web, dhe përditësojnë vazhdimisht versionet e tyre;
- Përpara se të lexoni informacionin e regjistruar në kompjuterë të tjerë nga disqet, kontrolloni gjithmonë këto disketë për viruse duke ekzekutuar programe antivirus në kompjuterin tuaj;
- kur transferoni skedarë në formë të arkivuar në kompjuterin tuaj, kontrollojini ato menjëherë pasi t'i zhbllokoni në hard diskun tuaj, duke kufizuar zonën e skanimit vetëm në skedarët e regjistruar rishtazi;
- kontrolloni periodikisht për viruse hard disqe kompjuter, duke ekzekutuar programe antivirus për të testuar skedarët, memorien dhe zonat e sistemit të disqeve nga një disketë e mbrojtur nga shkrimi, pasi të ketë ngarkuar më parë sistemin operativ edhe nga një disketë e sistemit të mbrojtur nga shkrimi;
- Mbroni gjithmonë disketat tuaja nga shkrimi kur punoni në kompjuterë të tjerë nëse informacioni nuk do të regjistrohet në to;
- sigurohuni që të bëni kopje rezervë në floppy disqe të informacionit që është i vlefshëm për ju;
- mos lini disketë në xhepin e diskut A: kur ndizni ose rindizni sistemin operativ për të parandaluar infektimin e kompjuterit me viruse të nisjes;
- përdorni programe antivirus për kontrollin e hyrjes së të gjithë skedarëve të ekzekutueshëm të marrë nga rrjetet kompjuterike;
- për të siguruar siguri më të madhe të përdorimit Aidtest Dhe Doktor Web duhet të kombinohet me përdorimin e përditshëm të Disk Auditor ADinf.
