Mindannyian találkoztunk már életében legalább egyszer számítógépes vírussal. És jó, ha gyenge a kártevő. Egy víruskereső program könnyen megbirkózik egy egyszerű vírussal. De a komolyabb szoftverek, amelyeket a hackerek általában használnak, helyrehozhatatlan károkat okozhatnak a teljes rendszerben és a személyes adatokban.
Sokan tudják, mi az a számítógépes vírus. De nem mindenki érti teljesen a szerepét és képességeit. Ez a fajta rosszindulatú program szoftver Könnyen másolhatja magát, behatolhat más alkalmazások kódjába, megzavarhatja a rendszermemória-struktúrák és a rendszerindító szektorok teljesítményét, és különféle kommunikációs csatornákon keresztül terjedhet.
Sok tapasztalatlan felhasználó úgy gondolja, hogy a vírus célja a személyes adatok megsértése vagy törlése. Valójában ez nem így van. Természetesen léteznek különböző típusú számítógépes vírusok, de leggyakrabban a rosszindulatú programok terjesztése a fő céljuk. De a kísérő intézkedések csak az információk törlése, az adatelemek károsodása, a működés blokkolása és még sok más.
Fontos megérteni, hogy a számítógépes vírusok nem mindig kezelhetők. Ezért, ha a hacker nem akart rosszindulatú elemeket létrehozni, a szoftver akkor is károsíthatja a rendszert a fejlesztés során elkövetett hibák miatt, és előfordulhat, hogy az operációs rendszer és más alkalmazások egyszerűen nem regisztrálják az ilyen hibákat.
A tapasztalatlan felhasználók minden rosszindulatú programot gyakran vírusnak neveznek. Ez nem teljesen helyes, mivel a vírusok különösen az ilyen szoftverek egy fajtája.
Mikor a szakemberek kifejlesztettek egy önreplikáló vírust, senki sem tudta. De éppen az ilyen fejlesztések váltak a kialakulásának alapjául.
Az önreplikáló mechanizmusok létrehozása előtt szükséges volt az elmélet algoritmusainak lefektetése. Ezt Neumann János tette. Már 1951-ben felfedezte a módokat egy ilyen program létrehozására.
Ötletét számos szakértő támogatta, és aktív publikációba kezdett, amely egy önreplikáló rendszer kifejlesztésének volt szentelve.
Az egyik cikkben bemutatták az első ilyen típusú gépészeti szerkezetet. Így az emberek megismerhették a struktúrák kétdimenziós modelljét, amely függetlenül képes aktiválni, elfogni és elengedni.
Egy ilyen önreplikáló program tökéletlen volt, mivel a virtuális "lény" meghalt a platform áramellátásának hiánya miatt.
Egy másik kísérlet az első számítógépes vírusok kifejlesztésére a „Darwin” nevű szokatlan rejtvény feltalálása volt. Az 1960-as évek elején egy amerikai cég tudósai egy sor segédprogramot hoztak létre, amelyeket "organizmusoknak" neveztek. A szoftvert be kellett tölteni a számítógép archívumába. Az egyik játékos által alkotott „szervezeteknek” el kellett volna fogyasztaniuk az ellenséges „szervezeteket” és elfoglalniuk a területüket. Az nyert, aki elvette az összes emlékét, vagy több pontot gyűjtött.
Sokan azt hiszik, hogy az emberiség a XX. század 70-es éveire már megtanulta, mi a számítógépes vírus. Az önreplikáló programokat vagy játékokat, például a „Darwint” azonban nem lehet vírusnak nevezni. Az igazi "kártevők" sokkal később váltak ismertté, és sokkal befolyásosabbak és veszélyesebbek voltak.
A legtöbbet a 80-as évek elején hozták létre. Ezt követően megkezdődött a rosszindulatú programok aktív fejlesztése. Ennek eredményeként az Elk Cloner mellett megjelenik Joe Dellinger vírusa, a "Dirty Dozen" projekt, amelyet számos víruskereső segédprogram követ.
Ő volt az első, aki bemutatott a világnak egy csizmavírust. Az Elk Cloner kifejezetten az Apple II-hez készült. A rendszer indításakor azonnal meg lehetett találni a „kártevőt”: megjelent egy üzenet egy kis verssel, amelyben a vírus személyes fájlok elvesztésével, a rendszer működésének megzavarásával és a törlés ellehetetlenítésével fenyegette meg a felhasználót.
John Dellinger is megkezdi tevékenységét. Vírust is kifejlesztett az Apple II-hez. A szakember annyira szeretett volna az első lenni, hogy lemaradt az egyik rosszindulatú programról. Elkezdett "terjedni" az egész egyetemen. A memóriaelemzés egyik szektora könnyen észlelte. Bár rendszeres felhasználó Nem találtam ezt a részt a rendszerben.
A John Dellinger vírus elnyomta egy híres rejtvény grafikáját. Ennek eredményeként fél hónap után az összes "kalóz" verzió "törött". A hiba kijavítására a fejlesztő egy másik vírust hozott létre, amely javította az előző verziót.
1984-re sok szakértő kezdte megérteni, mi is az a számítógépes vírus. Megjelent az első kutatási cikk, amely felvetette a szisztémás fertőzésekkel kapcsolatos kérdéseket és aggályokat. Annak ellenére, hogy magát a kifejezést a cikk szerzőjének kurátora javasolta, Cohen kutatót nevezik a kifejezés szerzőjének.
Amikor sokan kezdték megérteni, mi az a számítógépes vírus, világossá vált, hogy rendszervédelmet kell létrehozni ellene. Az első vírusirtó programot Andy Hopkins fejlesztette ki. Egy hasonló segédprogram 1984 óta elemzi a rendszerindító fájl szövegét, rámutatva a kódok és értesítések minden kétes elemére.
Egy időben ez bizonyult a legegyszerűbbnek és a leghatékonyabbnak. A program átirányíthatja a BIOS-on keresztül lezajlott írási és formázási folyamatokat. Ugyanakkor megengedte a felhasználónak, hogy beavatkozzon a műveletbe.
A nyolcvanas évek végére megjelent egy olcsó IBM PC. Megjelenése lendületet adott a nagyobb léptékű vírusok fejlődésének. Ezért rövid időn belül három nagy rendszerszintű katasztrófa történt.
Természetesen számítógépes vírusok kitörése még soha nem fordult elő. Ezért az ellenük folytatott küzdelem nehéznek bizonyult. Az első támadás a Brain vírusnak köszönhető, amelyet két testvér fejlesztett ki 1986-ban. A következő évben pedig minden számítógépen megjelent.
Ma már nehéz megmondani, hogy mekkora mértékű volt a járvány. Csak annyit tudni, hogy a vírus több mint 18 ezer rendszert érintett. Mint később kiderült, a testvérek nem akartak senkit sem ártani. A vírusnak meg kellett volna büntetnie azokat a "kalózokat", akik szoftvereket loptak. De valami elromlott, és Brain nemcsak magát Pakisztánt érintette meg, hanem a felhasználókat is világszerte. Sok szakértő megismerkedett az első lopakodó vírussal, amely a fertőzött szektort a teljes eredetire változtatta.
Az agyvírust a Jeruzsálem néven ismert kártevővel is kapcsolatba hozták. Az 1980-as évek végén több vállalat és egyetem szenvedett tőle. A vírus az aktiválás után azonnal törölte az adatokat. Később kiderült, hogy ez az egyik legelterjedtebb kártevő, amely az európai, amerikai és közel-keleti felhasználókat érintette.
A számítógépes vírusokkal való fertőzés ezzel nem állt meg. A világ hamarosan megismerte a Morris férget. Ez volt az első hálózati kártevő, amely a Unixot célozta meg. A tervek szerint a segédprogram bejut a számítógépes rendszerbe és ott is marad, az észlelés lehetősége nélkül. A vírus szerzője rejtett és ártalmatlanná akarta tenni, de nem minden a tervek szerint ment. A vírus önszaporodásának oka a fejlesztés során elkövetett hibák voltak.
A járvány súlyosan érintette a rendszerek működését. Később kiderült, hogy a kár elérte a 96 millió dollárt. Bár ha a szerző szándékosan ártani akarna az operációs rendszernek, az összeg sokkal nagyobb lenne.
Egy ilyen sikertelen fejlemény vezette Morrist a bírósághoz, ahol három év próbaidőt kapott, közmunkára küldték, és "kerek" összeg megfizetésére kényszerítették.
Amíg a szakemberek nem kezdték megérteni a számítógépes vírusok típusait, egyre gyakrabban fordultak elő szisztémás járványok. Így vált ismertté a DATACRIME 1989-ben. Nem csak egy vírus volt, hanem egy egész sorozat. Néhány hónap alatt több mint 100 ezer rendszert sikerült elérnie.
Ezt a problémát a programozók nem tudtak elhárítani, és hamarosan megjelentek a segédprogramok, amelyek átvizsgálták a vírusra jellemző vonalakat.
Amikor ezt a vírusos programsorozatot megszüntették, megszületett az első trójai faló, az AIDS. A felhasználók így értesültek a zsarolóprogramokról, amelyek blokkolták a hozzáférést a merevlemezen lévő adatokhoz, és csak információkat mutattak meg a monitoron. Az AIDS 189 dollárt követelt egy adott címért. Természetesen sok felhasználó fizetett a ransomwareért. Ám hamarosan letartóztatták, miután csekk beváltásán kapták el.
Kiderült, hogy nem elég tudni, mi az a számítógépes vírus. Valahogy különbséget kellett tenni a "kártevők" között, hogy utána védőeszközöket fejlesszenek ki. Emellett a PC fejlesztése a számítógépes vírusok osztályozását is befolyásolta.
A rosszindulatú programok most már osztályozhatók terjedési módszerük és funkcióik szerint. Az internet széles körű fejlődése előtt a vírusokat hajlékonylemezeken és egyéb adathordozókon lehetett tárolni. Jelenleg elsősorban helyi és globális hálózatokon keresztül továbbítják őket. Ezzel párhuzamosan a funkcionalitásuk is bővült.
Sajnos még nem sikerült egyértelmű osztályozást kidolgozni. A vírusok azonban azokra oszthatók, amelyek:
Ide tartoznak a következő típusú számítógépes vírusok: fájl, rendszerindítás, szkript, forráskódot megsértő, makróvírusok.
Például egy fájl rosszindulatú programja érinti fájlrendszer számítógépet annak „reprodukciójához”. Szinte minden végrehajtható dokumentumba be van ágyazva. operációs rendszer... Általában "áldozataként" választhat ".exe" vagy ".com" kiterjesztésű bináris fájlokat, befolyásolhatja a dinamikus hivatkozási könyvtárat, "tűzifát" vagy kötegelt fájlokat.
A makróvírus általában olyan alkalmazáscsomagokban „belebeg”, mint a Microsoft Office. A makrónyelvek segítségével az ilyen "kártevők" egyik fájlból a másikba mozoghatnak.
Vannak vírusok, amelyek bármilyen operációs rendszert megfertőzhetnek. De nem mindenki arra törekszik, hogy minden platformmal „együttműködjön”. Ezért a hackerek vírusokat fejlesztenek az egyes operációs rendszerek számára. Ide tartozik a DOS, a Windows, a Linux, a Unix és még sok más.
A számítógépes vírusok sajátossága, hogy speciális technológiákat használhatnak. Például olyan technikát alkalmaznak, amely csökkenti az észlelési arányt. Ennek eredményeként a legegyszerűbb víruskereső alkalmazások nem tudják észlelni a kártevőt.
A lopakodó vírusokat "láthatatlannak" fordítják. Az ilyen szoftverek teljesen vagy részben eltakarják a jelenlétét. Ehhez a vírus elfogja az operációs rendszer hívásait.
Ebbe a csoportba tartoznak a rootkitek. Ezeket futtatható fájlokkal, szkriptekkel, konfigurációs dokumentumokkal ábrázolhatják. Feladatuk az objektumok maszkolása, a rendszerben előforduló események kezelése, adatgyűjtés.
Sok idő telt el a vírusok és vírusirtó programok megjelenése óta. Különböző években különleges kártevők jelentek meg, amelyekre katasztrofális hatásuk miatt az egész világ emlékezett.
Például a CIH egy vírus, amelyet a csernobili atomerőműben történt tragédiának szenteltek. Az aktiválás pillanatában a "kártevő" minden rendszer munkáját megbénította. A Nimida bizonyult a leggyorsabb vírusnak, amelynek negyedórája volt, hogy megfertőzzen egymillió PC-t.
A Slammert a legagresszívebbnek nevezték, mert a vírus mindössze 10 perc alatt 75 ezer rendszerből törölt információkat. A Conficker az egyik legveszélyesebb „kártevő”-nek számít. A féreg Windows rendszereket támadott meg, és 3 hónap alatt 12 millió számítógépet károsított meg.
A 2000-es években regisztrálták az ILOVEYOU vírust. Később bekerült a Guinness Rekordok Könyvébe, és megkapta a "A világ legpusztítóbb számítógépes vírusa" címet. Ez a féreg 15 millió számítógépet fertőzött meg, és a világgazdaságot ért kár különböző becslések szerint 10-15 milliárd dollárra rúgott.
Most is előfordulnak, de a hatékony víruskereső programok néha megbirkóznak velük. Létezik egy független nemzetközi szervezet, amely a biztonsági segédprogramok teljesítményét elemzi. Az AV-TEST bemutatta 2017 legjobb víruskereső programjainak listáját:
Jelenleg ezek a leghatékonyabb segédprogramok. Bár mindegyik fizetős, mindegyik rendelkezik próbaidővel és viszonylag alacsony éves költséggel.
Számítógépes vírusok
Számítógépes vírus egy kis program, amelyet egy magasan képzett programozó írt, aki képes önmagát szaporítani és különféle romboló műveleteket végrehajtani. A mai napig több mint 50 ezer számítógépes vírus ismert.
Az első számítógépes vírus születési dátumával kapcsolatban számos változat létezik. A legtöbb szakértő azonban egyetért abban, hogy a számítógépes vírusok, mint olyanok, először 1986-ban jelentek meg, bár történelmileg a vírusok megjelenése szorosan összefügg az önreplikáló programok létrehozásának gondolatával. A számítógépes vírusok egyik "úttörője" a "Brain" vírus, amelyet egy pakisztáni programozó, Alvi alkotott meg. Csak az Egyesült Államokban ez a vírus több mint 18 000 számítógépet fertőzött meg.
A vírusok csak programozottan hatnak. Általában a fájlhoz kapcsolódnak, vagy behatolnak a fájl törzsébe. Ebben az esetben azt mondják, hogy a fájl vírussal fertőzött. A vírus csak a fertőzött fájllal együtt kerül be a számítógépbe. A vírus aktiválásához le kell töltenie a fertőzött fájlt, és csak ezt követően kezd el önállóan cselekedni.
Egyes vírusok egy fertőzött fájl végrehajtása során memóriarezidenssé válnak (véglegesen a vírusban találhatók véletlen hozzáférésű memória számítógép), és megfertőzhet más letöltött fájlokat és programokat.
Egy másik típusú vírus közvetlenül az aktiválás után komoly károkat okozhat, például a merevlemez formázásakor. A vírusok hatása többféleképpen nyilvánulhat meg: a munkát zavaró különböző vizuális hatásoktól a teljes információvesztésig.
A vírusok fő forrásai:
vírussal fertőzött fájlokat tartalmazó hajlékonylemez;
számítógépes hálózat, beleértve az e-mail rendszert és az internetet;
merevlemez, amely vírust kapott a fertőzött programokkal végzett munka következtében;
az előző felhasználó után a RAM-ban maradt vírus.
A számítógép vírusfertőzésének fő korai jelei a következők:
a szabad RAM mennyiségének csökkentése;
a számítógép betöltésének és működésének lassítása;
érthetetlen (ok nélküli) változtatások a fájlokban, valamint az állományok méretének és utolsó módosításának dátumának változásai;
hibák az operációs rendszer betöltésekor;
képtelenség menteni a fájlokat a szükséges könyvtárakba;
érthetetlen rendszerüzenetek, zenei és vizuális effektusok stb.
A vírus aktív fázisának jelei:
fájlok eltűnése;
formázás merevlemez;
képtelenség betölteni a fájlokat vagy az operációs rendszert.
Sok különböző vírus létezik. Feltételesen a következők szerint osztályozhatók:
1) boot vírusok vagy BOOT vírusok megfertőzik a lemezek rendszerindító szektorait. Nagyon veszélyes, a lemezen tárolt összes információ teljes elvesztéséhez vezethet;
2) fájl vírusok megfertőzni a fájlokat. A következőkre oszthatók:
programokat megfertőző vírusok (.EXE és .COM kiterjesztésű fájlok);
Makróvírusok Adatfájlokat, például Word-dokumentumokat vagy Excel-munkafüzeteket megfertőző vírusok;
a műholdas vírusok más fájlok nevét használják;
A DIR vírusok eltorzítják a fájlstruktúrákra vonatkozó rendszerinformációkat;
3) rendszerindító fájl vírusok képes megfertőzni mind a rendszerindító szektor kódját, mind a fájlkódot;
4) láthatatlan vírusok vagy a STEALTH vírusok meghamisítják a lemezről olvasott információkat, így az erre szánt program hibás adatokat kap. Ez a technológia, amelyet néha Stealth technológiának is neveznek, BOOT vírusok és fájlvírusok esetén egyaránt használható;
5) retrovírusok megfertőzni a víruskereső programokat, megpróbálva megsemmisíteni vagy letiltani őket;
6) féregvírusok a kisméretű e-mail üzeneteket úgynevezett fejléccel látják el, amely lényegében magának a vírusnak a helyének webcíme. Amikor megpróbál egy ilyen üzenetet elolvasni, a vírus elkezdi olvasni a "testét" a globális internetes hálózaton keresztül, és a letöltés után pusztító akcióba kezd. Nagyon veszélyesek, mivel nagyon nehéz felismerni őket, mivel a fertőzött fájl valójában nem tartalmazza a vírus kódját.
Ha nem tesz lépéseket a számítógépes vírusok elleni védekezés érdekében, a fertőzés következményei nagyon súlyosak lehetnek. Számos országban büntetőjogi szabályozás ír elő felelősséget a számítógépes bűncselekményekért, beleértve a vírusok bevezetését is. Az információk vírusok elleni védelmére általános és szoftveres eszközöket használnak.
A vírusfertőzés és annak pusztító hatásai megelőzésére szolgáló gyakori gyógymódok a következők:
információk biztonsági mentése (másolatok készítése a merevlemezek fájljairól és rendszerterületeiről);
véletlenszerű és ismeretlen programok használatának megtagadása. Leggyakrabban a vírusok számítógépes programokkal együtt terjednek;
az információkhoz való hozzáférés korlátozása, különösen a hajlékonylemez fizikai védelme a fájlok másolása közben.
A különféle vírusirtó programok (vírusirtó programok) a védelmi szoftverek közé tartoznak.
Vírusirtó egy program, amely észleli és semlegesíti a számítógépes vírusokat. Megjegyzendő, hogy a vírusok fejlesztésükben megelőzik a vírusirtó programokat, ezért még a vírusirtó rendszeres használata esetén sincs 100%-os biztonsági garancia. A víruskereső programok csak az ismert vírusokat képesek felismerni és megsemmisíteni, új számítógépes vírus megjelenésekor addig nem létezik védelem az ellen, amíg ki nem fejlesztették rá a saját víruskeresőt. Azonban sok modern víruskereső csomag tartalmaz egy speciális szoftvermodult, az úgynevezett heurisztikus elemző, amely képes megvizsgálni a fájlok tartalmát a számítógépes vírusokra jellemző kód jelenlétére. Ez lehetővé teszi az új vírussal való fertőzés időben történő azonosítását és figyelmeztetését.
A következő típusú víruskereső programokat különböztetjük meg:
1)detektor programok: arra szolgálnak, hogy megtalálják az ismert vírusok valamelyikével fertőzött fájlokat. Egyes detektorprogramok a vírusok ellen is képesek meggyógyítani a fájlokat, vagy megsemmisíteni a fertőzött fájlokat. Vannak speciális, azaz egy vírus kezelésére tervezett detektorok és polifágok amely képes leküzdeni számos vírust;
2) gyógyító programok: a fertőzött meghajtók és programok gyógyítására tervezték. A program kezelése abból áll, hogy eltávolítjuk a vírus testét a fertőzött programból. Lehetnek polifágok és speciálisak is;
3) auditor programok: a fájlok vírusfertőzésének észlelésére, valamint a sérült fájlok megtalálására tervezték. Ezek a programok megjegyzik a program állapotával és a lemezek rendszerterületeivel kapcsolatos adatokat normál állapotban (fertőzés előtt), és összehasonlítják ezeket az adatokat a számítógép futása közben. Adatellentmondás esetén a fertőzés lehetőségéről szóló üzenet jelenik meg;
4) gyógyítók-auditorok: a lemezek fájljaiban és rendszerterületeiben bekövetkezett változások észlelésére szolgál, és változtatások esetén visszaállítja azokat eredeti állapotukba.
5) szűrőprogramok: az operációs rendszer felé irányuló hívások lehallgatására szolgál, amelyeket a vírusok a vírusok terjedésére és a felhasználó tájékoztatására használnak fel. A felhasználó engedélyezheti vagy letilthatja a megfelelő műveletet. Az ilyen programok rezidensek, azaz a számítógép RAM-jában találhatók.
6) oltási programok: fájlok és rendszerindító szektorok feldolgozására szolgálnak, hogy megakadályozzák az ismert vírusok általi fertőzést (az utóbbi időben ezt a módszert egyre gyakrabban használják).
Meg kell jegyezni, hogy egy „legjobb” vírusirtó kiválasztása rendkívül hibás döntés. Több különböző vírusirtó csomag egyidejű használata javasolt. Víruskereső program kiválasztásakor ügyeljen egy olyan paraméterre, mint a felismerő aláírások száma (a vírust garantáltan felismerő karaktersorozat). A második paraméter az ismeretlen vírusok heurisztikus elemzőjének jelenléte, jelenléte nagyon hasznos, de jelentősen lelassítja a program működési idejét.
Ellenőrző kérdések
Mi az a számítógépes vírus?
Hogyan fertőzi meg a vírus a számítógépet?
Hogyan működnek a számítógépes vírusok?
Milyen számítógépes vírusfertőzési forrásokat ismer?
Milyen jelek alapján lehet kimutatni a számítógépes vírusfertőzés tényét?
Milyen típusú vírusokat ismer? Milyen pusztító akciókat hajtanak végre?
Milyen lépéseket kell tenni a számítógépes vírusfertőzés megelőzése érdekében?
Mi az a vírusirtó? Milyen típusú vírusirtót ismer?
Mi az a heurisztikus elemző? Milyen funkciókat lát el?
Számítógépes vírusok- speciális programok, amelyeket a kiberbűnözők hoznak létre bármilyen előny megszerzése érdekében. Működési elvük eltérő lehet: vagy információkat lopnak el, vagy valamilyen műveletre késztetik a felhasználót a támadók érdekében, például számlát töltsenek fel vagy pénzt küldjenek.
Manapság sokféle vírus létezik. A főbbeket ebben a cikkben tárgyaljuk.
Jelenleg több tízezren vannak. számítógépes vírusok.
Az élőhelytől függően a vírusokat rendszerindításra, fájlrendszerre, rendszerre, hálózatra és fájlrendszerindításra osztják.
Boot vírusok a lemez indító szektorába vagy a rendszerlemez indítóprogramját tartalmazó szektorba fecskendezve.
Fájlvírusok főként .COM és .EXE kiterjesztésű futtatható fájlokba vannak beágyazva.
Rendszervírusok behatolni a rendszermodulokba és a periféria-illesztőprogramokba, a fájlkiosztási táblákba és a partíciós táblákba.
VAL VEL hálózat vírusok lakják a számítógépes hálózatokat; f fájl - indítható (többfunkciós) megfertőzi a lemez indító szektorait és az alkalmazásfájlokat.
A környezet fertőzésének módja szerint a vírusokat rezidens és nem rezidens vírusokra osztják.
Rezidens vírusok Ha egy számítógépet fertőzött, az a RAM-ban hagyja a benne rejlő részét, amely azután elfogja az operációs rendszer hozzáférését más fertőző objektumokhoz, beléjük fecskendezi magát, és pusztító műveleteket hajt végre egészen a számítógép leállításáig vagy újraindításáig. Memória nélküli rezidens vírusok ne fertőzze meg a PC RAM-ja korlátozott ideig aktív.
A vírusok felépítésének algoritmikus jellemzője befolyásolja megnyilvánulásukat és működésüket. Például a replikátor programok gyors reprodukálásuk miatt a fő memória túlcsordulásához vezetnek, míg a replikátorprogramok megsemmisítése nehezebbé válik, ha a reprodukált programok nem az eredeti pontos másolatai. Számítógépes hálózatokban elterjedt programokat-"férgek". Kiszámolják a hálózati számítógépek címeit, és ezekre a címekre küldik maguknak másolatait, fenntartva a kommunikációt egymással. Ha a" féreg "megszűnik bármelyik PC-n, a többiek keresnek egy szabad számítógépet, és beadják ugyanazt a programot azt.
"trójai faló"Olyan program, amely hasznos programnak álcázza magát, olyan további funkciókat hajt végre, amelyekről a felhasználó nem is tud (például információkat gyűjt a nevekről és jelszavakról, és azokat egy speciális fájlba írja, amelyhez csak a vírus létrehozója fér hozzá), vagy tönkreteszi a fájlrendszert.
Logikai bomba Olyan program, amely egy nagy szoftvercsomagba van beépítve. Mindaddig ártalmatlan, amíg egy bizonyos esemény be nem következik, utána a logikai mechanizmusa megvalósul. Például egy ilyen vírusprogram bizonyos számú alkalmazási program, komplexum után kezd működni; meghatározott ügyirat vagy iratnyilvántartás jelenlétében vagy hiányában stb.
mutáns programok,önreplikálva olyan másolatokat készítenek újra, amelyek egyértelműen különböznek az eredetitől.
Láthatatlan vírusok, vagy a lopakodó vírusok elfogják az operációs rendszer fertőzött fájlok és lemezszektorok hívásait, és nem fertőzött objektumokat helyettesítenek magukkal. A fájlokhoz való hozzáférés során az ilyen vírusok meglehetősen eredeti algoritmusokat használnak, amelyek lehetővé teszik a helyi víruskereső monitorok „becsapását”.
Makróvírusok használja az irodai adatfeldolgozó programokba (szövegszerkesztők, táblázatkezelők stb.) beépített makrónyelvek lehetőségeit.
A számítógépes rendszerek és hálózatok erőforrásaira gyakorolt hatás mértéke vagy pusztító képessége szerint ártalmatlan, ártalmatlan, veszélyes és pusztító vírusokat különböztetünk meg.
Ártalmatlan vírusok nincsenek romboló hatással a PC működésére, viszont sokszorosításuk következtében túlterhelhetik a RAM-ot.
Ártalmatlan vírusok nem semmisíti meg a fájlokat, de csökkenti a szabad lemezterületet, grafikus effektusokat jelenít meg, hangeffektusokat hoz létre stb. Veszélyes vírusok gyakran súlyos zavarokhoz vezetnek a számítógép működésében; romboló - információk törlésére, alkalmazási programok működésének teljes vagy részleges megzavarására. Ne feledje, hogy minden fájl, amely képes betölteni és végrehajtani a programkódot, potenciális hely a vírus behatolására.
Aki számítógéppel foglalkozik, az kétségtelenül sokszor találkozott a "vírus", "trójai", "trójai faló" és hasonló fogalmakkal korábban, a számítógépek előtti korszakban, amelyet kizárólag az orvosbiológiai és történeti kutatásokban használtak. Ezek a szavak egy bizonyos típusú programokat jelölnek, amelyeket gyakran használnak a tapasztalatlan felhasználók megrémítésére, és leírják ellenállhatatlan erejüket, amelyek mindent tönkretehetnek a számítógépben, még a merevlemez mechanikai szerkezetét is.
Számítógépes vírus egy rosszindulatú számítógépes program, amely egy kódrészletet tartalmaz, amely azután fut le, hogy egy vírus fut egy számítógépes rendszeren. Futás közben a vírus saját másolataival megfertőz más programokat.
A vírus hatása a felhasználó enyhe bosszúságától a rendszeren lévő összes adat teljes megsemmisítéséig terjedhet. Egyes vírusok azonban képesek replikálni magukat és átterjedni más rendszerekre. Ez megnehezíti a vírusok lokalizálását és az ellenük való védekezést. Egy egyszerű vírus írásához csak néhány sornyi kódot kell beírnia.
A vírusok továbbíthatók kommunikációs vonalakról vagy a fertőzött médián való terjedésről... Ez megnehezíti a vírus létrehozójának lokalizálását. Egyes vírusok megbújhatnak más programokban, vagy behatolhatnak a számítógép operációs rendszerébe.
A vírustámadások sebezhetőek minden számítógépes operációs rendszer egyesek azonban sebezhetőbbek, mint mások. A vírusok gyakran megbújnak új számítógépes játék amelyet online letölthet. Emellett vírusok is megtalálhatók benne makrók irodában használt információs rendszerek, vagy az internetes weboldalakról letöltött komponensekben. A vírusok számítógépekbe való bejutásának módjai eltérőek, de van egy közös vonásuk: a vírusok bejutnak a számítógépes rendszerekbe csak külső forrásból.
Amint a vírus belép a rendszerbe, azonnal megkezdheti pusztító tevékenységét, vagy a vírus megvárhatja valamilyen esemény általi aktiválódást, például bizonyos adatok beérkezését vagy egy meghatározott dátum vagy időpont kezdetét. Ismert a vírusok többféle formája amelyek behatolhatnak a számítógépes rendszerbe.
trójai faló olyan számítógépes program, amely a program egy részében el van rejtve vagy el van rejtve. Más vírusokkal ellentétben a trójaiak nem replikálják magukat a rendszeren. A trójai falók egyes formái beprogramozhatók önmegsemmisítésre, és az általuk okozott pusztításon kívül nem hagynak más nyomot. Egyes hackerek trójai programokat használnak jelszavak lekérésére és visszaküldésére a hackernek. Ezen túlmenően banki csalásokhoz is használhatók, ahol kisebb összegeket vonnak le a törvényes számlákról, és utalnak át egy titkos számlára.
Férgek olyan programok, amelyek tönkreteszik a számítógépes rendszert. Beszivároghatnak az adatfeldolgozó programokba, és lecserélhetik vagy megsemmisíthetik az adatokat. A férgek olyanok, mint a trójai falók, mivel nem képesek megismételni magukat. A vírusokhoz hasonlóan azonban nagy károkat okozhatnak, ha nem észlelik időben. Sokkal egyszerűbb egy féreg vagy trójai faló eltávolítása, ha a pusztító programnak csak egyetlen példánya létezik.
Logikai bombák hasonlóak a trójai falókhoz használt programokhoz. A logikai bombáknak azonban van egy időzítője, amely adott napon és időpontban felrobbantja őket. Például egy vírus Michelangelo van egy kioldó beállítva a híres művész, Michelangelo születésnapjára - március 6-ra. A logikai bombákat gyakran használják az elégedetlen alkalmazottak, akik beállíthatják, hogy aktiválják őket, miután elhagyják a céget. Például egy logikai bomba „felrobbanhat”, amikor az alkalmazott nevét eltávolítják a bérjegyzékből. A beépített késleltető mechanizmusnak köszönhetően a logikai bombákat aktívan használják zsarolásra. Például egy zsaroló küldhet üzenetet, hogy ha kifizetnek neki egy bizonyos összeget, utasítást ad a logikai bomba letiltására.
Eredettörténet a vírusok meglehetősen homályosak, csakúgy, mint a fejlesztőik céljai. A számítógépes könyvek azt állítják, hogy az első ismert vírus egy olyan program volt, amely az univerzum modelljét valósította meg, amelyben éltek olyan lények, amelyek képesek voltak mozogni, táplálékot keresni és enni, valamint szaporodni és éhen halni. A könyv szerzői szerint a vírusprogramok tisztán tudományos kutatások eredményei egyes, önálló létezésre képes mesterséges organizmusok, például élőlények létrehozása terén. Ezt hangsúlyozza az ilyen kutatások alapján kidolgozott programok elnevezése is - vírusok, pl. valami élő, szaporodásra, mutációra és öntúlélésre képes. Meg kell értenünk, hogy a számítógépes vírusok létrehozóit ártalmatlan különcöknek kell minősítenünk, akik kizárólag a való élettől elválasztott tudományos problémákkal foglalkoznak.
Nem megyünk bele a vitákba ebben az ügyben, csak annyit jegyzünk meg, hogy az első olyan program, amely valóban vírusnak mondhatta magát, a 1987 évés ez a pakisztáni vírus volt, amelyet Amdjat és Bazit Alvi testvérek fejlesztettek ki. Céljuk az volt, hogy megbüntessenek (!) amerikai állampolgárokat, amiért olcsón vásároltak pakisztáni műsormásolatokat. Továbbá a vírusok száma lavina sebességgel növekedni kezdett, és a számítógépekben való megjelenésükből adódó veszteségek milliók és százmillió dollárra rúgtak. A számítógépek különféle természetű vírusokkal való megfertőzése járvány jelleget öltött, és védőintézkedések, köztük törvényes intézkedések meghozatalát tette szükségessé. Nézzük meg, hogyan kerülnek ezek a rosszindulatú lények, vírusok a számítógépes rendszerekbe.
A vírusok sokféle útvonalon bejuthatnak. A vírusok a legkülönfélébb forrásokból, végrehajtható programokból, a kollégák által átvitt programokból és fájlokból, archivált formában vásárolt szoftverekből jutnak be számítógéprendszerébe. Vessünk egy pillantást az adatok tárolására használt struktúrára floppy lemezek feltárni azokat a helyszíneket, amelyek funkcionálisan alkalmasak a vírusok rejtett létezésére. A hajlékonylemezeken adatfájlok, programok és operációs rendszer szoftverek tárolhatók. Az adatfájlok átvitelének leggyakoribb közvetítőjeként szolgálnak. A hajlékonylemez egy rendszerindító szektorból és adatokból áll. Ha szükséges, a rendszerindító szektor tárolhatja a számítógép indításához szükséges információkat. Partícióinformációkat, rendszerindítás-kezelési információkat és fájlhelyadatokat is tárol. Az adat a floppy lemezen tárolt összes tartalom. A vírusok kedvenc élőhelyei a rendszerindító szektorok és a hajlékonylemezen tárolt végrehajtható fájlok. A rendszerindító szektorba helyezett vírusok akkor indulhatnak el, ha a rendszert hajlékonylemezről indítják. A futtatható fájlokba ágyazott vírusok a fertőzött programmal együtt indulnak el, majd megkezdik tevékenységüket a számítógépes rendszerben.
Ugyanazok a vírusátviteli képességek biztosítják CD-k, amelyek mára a fájlok és információk számítógépek közötti átvitelének fő eszközeivé váltak. A CD-k bináris digitális információkat tartalmaznak, amelyek a lemez felületén mikroszkopikus gödrök létrehozásával íródnak a lemezre. Az információt úgy olvassák be, hogy egy lézer által generált fénysugarat átengednek a lemezen. A kompakt lemezek abban hasonlítanak a hajlékonylemezekhez, hogy rendszerindító szektort és adatstruktúrát is használnak az adatok tárolására.
Az internet új csatlakozási lehetőségeket kínál a felhasználóknak, amelyek növelik a vírusvédelmet érintő biztonsági rések lehetőségét. A webes technológiák, mint például a Java és az ActiveX kisalkalmazások létrehozása, megkönnyítik a felhasználók számára az interneten keresztüli interakciót, másrészt kényelmes eszközként szolgálnak a rosszindulatú szoftverek terjesztéséhez. A számítógépre telepített munkaállomás felhasználói szoftvereket és adatfájlokat használnak feladataik elvégzéséhez. Mindezek az információk, beleértve az operációs rendszert is, a számítógép merevlemezén tárolódnak. A számítógép működéséhez szükséges információk állandó tárolásának másik helye a nem felejtő CMOS memória, amely a számítógép alapvető bemeneti / kimeneti rendszerét (BIOS) tárolja; A rendszerindítás során BIOS-eljárásokat használnak, így azok fertőzése a CMOS kis mérete ellenére is komoly veszélyt jelent. Így a számítógépben két fő hely van, amelyek folyamatosan képesek tárolni és frissíteni az információkat - a merevlemez és a CMOS memória. A számítógépes rendszer ezen összetevői azok a helyek, ahol a vírusok leggyakrabban eljutnak, amikor megfertőzik a számítógépet. A vírusok kedvenc élőhelye a merevlemez. HDD a következő elemekből áll. Partíciós tábla a lemez partícióinak és szerkezetének nyomon követésére A Master Boot Record, amely jelzi, hogy ez a lemez képes-e a rendszerindításra vagy sem. A rendszerindító szektor, amely megmondja a rendszerbetöltőnek, hogy hol keresse az operációs rendszer indításához szükséges első fájlt. ... Az első FAT egy rekordot tárol, amely jelzi, hogy az összes többi rekord hogyan kapcsolódik a lemez adattároló területén. ... A második FAT, amely az első FAT biztonsági másolata arra az esetre, ha az első megsérülne. ... Diagnosztikai henger, amelyet egy hardver vagy szoftver hibáinak nyomon követésére vagy problémák elkülönítésére használnak. Csak a merevlemez számára érhető el belső feladatokhoz. Leggyakrabban a vírusok elrejtőznek a rendszerindító szektorokban, ami lehetővé teszi számukra, hogy befolyásolják a rendszerindítást (lásd a következő részt). Egy másik kedvenc hely a futtatható fájlok. A végrehajtható fájlok a következő elemeket tartalmazzák. Fejléc, amely tájékoztatja az operációs rendszert a fájl típusáról, és arról, hogy a jelenlegi operációs rendszerrel működik-e. Ezenkívül a fejléc további információkat is tartalmaz, amelyekre az operációs rendszernek szüksége lehet, például a fájl megnyitásához szükséges memória mennyiségét A fejléc egy meghatározott területet foglal el, amely elválaszthatja a fájl különböző részeit. Lábléc, amely tájékoztatja a számítógép operációs rendszerét, ha a fájl végét elérték. Ezenkívül tájékoztatja a számítógépet arról, hogy mit tegyen, miután elérte a fájl végét. A fájl kiegészíthető jelentéktelen információval, így a lemezre írt adatok bizonyos mennyiségű helyet kitöltenek. A végrehajtható fájl kiterjesztése nem tartalmaz információt. Például egy 500 bájt kódot tartalmazó végrehajtható fájl egy 512 bájtos blokkba írható 12 komplement bájttal. Futtatható fájl megfertőzésekor a vírus a program futtatható kódját saját kódjára cseréli. A program indulásakor a víruskód elindul, és különféle műveleteket hajt végre a programnak végrehajtandó műveletek helyett. A vírus élőhelye közvetlenül összefügg a működésével (mint a valódi élő vírusok esetében). A vírustámadásokat akár aszerint is besorolhatjuk, hogy hol helyezkednek el a számítógépen.
A vírustámadásoknak három fő típusa van.
Boot szektor vírusai megfertőzi a számítógépes rendszer indító szektorát vagy fő rendszerindító rekordját. Amikor a számítógép elindul, a vírusprogram aktiválódik. A rendszerindító szektor vírusai elsősorban az eredeti rendszerindító kódot mozgatják vagy felülírják, és fertőzött rendszerindító kóddal helyettesítik. Az eredeti rendszerindító szektor információi átkerülnek a lemez másik szektorába, amely hibás lemezterületként van megjelölve, és a továbbiakban nem kerül felhasználásra. Mivel a rendszerindító szektor az első, amelyet a számítógép indításakor betölt, a rendszerindító szektor vírusainak észlelése kihívást jelenthet. A rendszerindító szektor vírusai az egyik legnépszerűbb vírustípus. A számítógép indításakor fertőzött hajlékonylemezek használatával terjedhetnek. Ez könnyen megtörténhet, ha a hajlékonylemezt a számítógép újraindításakor behelyezik a meghajtóba.
Fájlokat megfertőző vírusok, megfertőzi a végrehajtható fájlokat. Csak akkor aktiválhatók, ha a fájl végrehajtódik. A leggyakrabban érintett fájlok a COM, EXE, DLL, DRV, BIN, SYS és VXD fájlok. A fájlokat megfertőző vírusok rezidensekké válhatnak, és más futtatható programokhoz kapcsolódhatnak. A fájlfertőző vírusok általában saját utasításaikkal helyettesítik a végrehajtható fájlprogram letöltésére vonatkozó utasításokat. Ezután áthelyezik az eredeti programbetöltési utasítást a fájl egy másik részébe. Ez a folyamat növeli a fájl méretét, ami segíthet a vírus észlelésében.
Makrókon alapuló vírusok ( makrovírusok), nem kívánt műveleteket hajthat végre az alkalmazás makrónyelvének használatával a más dokumentumokhoz való terjesztésükhöz. Megfertőzhetik például a Microsoft Word DOT és DOC fájlokat, valamint a Microsoft Excel fájlokat.
Ezek a vírusok a platformközi vírusokat, és megfertőzheti mind a Macintosh rendszereket, mind a PC-ket.
Más vírusok is rendelkezhetnek a fent leírt típusok közül egy vagy több jellemzővel.
* A láthatatlan vírusok (szleng név - "lopakodó vírusok") munkájuk során megpróbálnak elbújni az operációs rendszer és a vírusirtó programok elől. Az operációs rendszer használatára irányuló összes kísérlet elfogásához a vírusnak a memóriában kell lennie. A lopakodó vírusok elrejthetik a fájlméretben, a könyvtárszerkezetben vagy az operációs rendszer más részein végzett változtatásokat. Emiatt sokkal nehezebb felismerni őket. A lopakodó vírusok blokkolásához észlelni kell őket, amíg a memóriában vannak.
* A titkosított vírusok működés közben titkosítják víruskódjukat, ami lehetővé teszi számukra, hogy megakadályozzák a vírus észlelését és felismerését.
* A polimorf vírusok minden fertőzéssel megváltoztathatják megjelenésüket. Mutációs mechanizmusokat alkalmaznak megjelenésük megváltoztatására, és megnehezítik a felismerést. A polimorf vírusok több mint kétmilliárd különböző formát ölthetnek, mivel minden fertőzéssel megváltoztatják a titkosítási algoritmust. A többkomponensű vírusok a rendszerindító szektorokat és a végrehajtható fájlokat is megfertőzik. Ez az egyik legnehezebben észlelhető vírus, mivel a többkomponensű vírusok kombinálhatják a lopakodó és a polimorf vírusrejtő módszerek egy részét vagy mindegyikét.
* A közelmúltban megjelent önfrissítő vírusok, amelyek képesek az interneten keresztül titkosan frissíteni kommunikációs munkamenetek során.
* Szokatlan rendszerüzenetek megjelenése.
* Fájlok eltűnése vagy méretük növekedése.
* A rendszer lassulása.
* Hirtelen lemezterülethiány.
* A lemez elérhetetlenné válik.
Víruskereső szoftver A vírusok elleni védekezés egyik fontos módja a víruskereső szoftver telepítése. A víruskereső programnak három fő feladata van.
* Vírusfelderítés.
* Vírus eltávolítás.
* Proaktív védelem.
* A Digital Signature Scan segítségével azonosítható a vírus egyedi digitális kódja. A digitális aláírás egy előre telepített hexadecimális kód, amelynek jelenléte a fájlban vírusfertőzésre utal. A digitális aláírás-ellenőrzés rendkívül sikeres módszer a vírusok azonosítására. Ez azonban teljes mértékben a vírusok digitális aláírásait tartalmazó adatbázis fenntartásától és a vizsgálómotor bonyolultságától függ. Valószínűleg hamis vírus észlelése egy sértetlen fájlban.
* A heurisztikus elemzés (vagy szabályvizsgálat) gyorsabb, mint a legtöbb hagyományos vizsgálat. Ez a módszer egy sor szabályt használ a fájlok hatékony elemzésére, és gyorsan észleli a gyanús víruskódokat. Mint már említettük, minden heurisztikus módszer valamilyen formában emulálja a víruskód végrehajtását. Ezért némi tapasztalat birtokában a vírusfejlesztő meg tudja védeni "termékét" a heurisztikus elemzéssel történő észleléstől. A heurisztikus elemzés hajlamos téves riasztásokra, és sajnos egy sor vírusészlelési szabály helyességétől függ, amelyek folyamatosan változnak.
* A memóriapróba egy másik gyakran használt módszer a vírusok észlelésére. Ez attól függ, hogy felismeri-e az ismert vírusok helyét és kódjaikat, amikor a memóriában vannak. Míg a memória feltárása általában sikeres, ez a módszer erőforrásigényes lehet. Ezenkívül zavarhatja a számítógép normál működését.
* A megszakításfigyelés a megszakítási hívásokat használó vírustámadások lokalizálásával és megelőzésével működik. A megszakítási hívások különféle funkciókra vonatkozó kérések rendszermegszakításokon keresztül. A megszakításfigyelés, mint például a memóriafeltárás, szintén jelentős rendszererőforrásokat meríthet ki. Problémákat okozhat a jogrendszer hívásaiban, és lelassíthatja a rendszert. A vírusok és a jogi rendszerhívások nagy száma miatt a megszakításfigyelés nehézségeket okozhat a vírusok lokalizálásában.
* Az integritás-ellenőrzés (más néven ellenőrző összegek kiszámítása) megvizsgálja a programfájlok jellemzőit, és megállapítja, hogy nem módosították-e azokat víruskóddal. Ez a módszer nem igényel szoftverfrissítést, mert nem támaszkodik a vírusok digitális aláírására. Ehhez azonban szükség van egy vírusmentes fájlok ellenőrzőösszeg-adatbázisának fenntartására. Az Integrity Monitoring nem képes észlelni a passzív és az aktív lopakodó vírusokat. Ezenkívül nem tudja név vagy típus alapján azonosítani az észlelt vírusokat. Ha a víruskereső program memóriarezidens, akkor folyamatosan figyeli a vírusokat. Ez egy hagyományos biztonsági intézkedés a fájlkiszolgálók számára, mivel minden fájlt érvényesíteni kell használatkor. A folyamatos megfigyelés nem megfelelő az ügyfélgép számára, mert túl sok információt tud feldolgozni, ami lelassítja a számítógépet. Az ügyfélgépen célszerű a víruskereső programot úgy konfigurálni, hogy egy adott időpontban fusson. Például akkor indítható el, amikor a számítógép elindul, vagy amikor új fájlt olvasunk be egy hajlékonylemezről. Egyes csomagok (beleértve az alábbiakban ismertetett Norton AntiVirus és MacAfee VirusScan programokat) ütemezett vizsgálatként ismert technikát alkalmaznak a merevlemez víruskeresésére meghatározott időpontokban. Egy másik módszer egy vírusirtó program használata, amikor a számítógép tétlen. Például egy képernyővédő program részeként használható.
1. Programok – detektorok észlelik az ismert vírusok valamelyikével fertőzött fájlokat, az ilyen programok tiszta formájukban ma már ritkák.
2. A fágok vagy programok - orvosok, valamint programok - vakcinák nemcsak megtalálják a vírusokkal fertőzött fájlokat, hanem "meg is gyógyítják" azokat, i.e. törölje a vírusprogram törzsét a fájlból, visszaállítva a programot a vírusfertőzés előtti állapotba. Munkájuk kezdetén a fágok vírusokat keresnek a RAM-ban, megsemmisítik azokat, és csak ezután kezdik el "gyógyítani" a fájlokat. Polifágok – nagyszámú vírust elpusztítanak. Aidstest, Scan, Norton AntiVirus, Doctor Web.
3. A programok-auditorok a vírusok elleni védekezés legmegbízhatóbb eszközei. A könyvvizsgálók emlékeznek a kezdeti állapot programokat, ha a számítógép még nem fertőzött vírussal, majd rendszeresen hasonlítsa össze a fájl aktuális állapotát az eredetivel. Ha változásokat észlel, üzenetek jelennek meg a kijelzőn. ADinf.
4. Programok - szűrők vagy "figyelők" - kis rezidens programok, amelyek állandóan a számítógép memóriájában találhatók. Figyelik a számítógép működését és észlelik a vírusokra jellemző gyanús számítógépes tevékenységeket. Amikor bármely program megpróbálja végrehajtani a megadott műveleteket, a "figyelő" üzenetet küld, és a felhasználó megtilthatja vagy engedélyezheti a megfelelő művelet végrehajtását. A szűrők képesek észlelni a vírust annak korai szakaszában, de nem "gyógyítják meg" a fájlokat és lemezeket.
