Ognuno di noi ha incontrato un virus informatico almeno una volta nella vita. Ed è un bene se il parassita si è rivelato debole. Il software antivirus può facilmente gestire un semplice virus. Ma il software più serio utilizzato dagli hacker può causare danni irreparabili all'intero sistema e ai dati personali.
Molte persone sanno cos'è un virus informatico. Ma non tutti ne comprendono appieno il ruolo e le capacità. Questo tipo di malware Software Può facilmente copiarsi, penetrare nel codice di altre applicazioni, interrompere le prestazioni delle strutture di memoria del sistema e dei settori di avvio e diffondersi attraverso vari canali di comunicazione.
Molti utenti inesperti credono che lo scopo di un virus sia quello di danneggiare o eliminare i dati personali. Infatti, questo non è il caso. Naturalmente, esistono diversi tipi di virus informatici, ma molto spesso il loro scopo principale è diffondere malware. Ma le azioni di accompagnamento sono solo la cancellazione di informazioni, il danneggiamento di elementi di dati, il blocco del funzionamento e molto altro.
È importante capire che un virus informatico non è sempre gestibile. Pertanto, se l'hacker non desidera creare elementi dannosi, il software può comunque danneggiare il sistema a causa di sviste effettuate durante lo sviluppo e il sistema operativo e altre applicazioni potrebbero semplicemente non registrare tali errori.
Gli utenti inesperti spesso si riferiscono a qualsiasi malware come a un virus. Questo non è del tutto corretto, poiché i virus in particolare sono solo un tipo di tale software.
Quando gli specialisti hanno sviluppato un virus autoreplicante, nessuno lo sapeva. Ma furono proprio tali sviluppi che divennero la base per la sua formazione.
Prima di creare meccanismi autoreplicanti, era necessario stabilire gli algoritmi della teoria. Questo è stato fatto da John von Neumann. Già nel 1951 scoprì modi per creare un tale programma.
La sua idea è stata supportata da molti esperti e ha iniziato una pubblicazione attiva, dedicata allo sviluppo di un sistema autoreplicante.
In uno degli articoli è stata presentata la prima struttura meccanica di questo tipo. Quindi le persone sono state in grado di conoscere un modello bidimensionale di strutture che potrebbero essere attivate, catturate e rilasciate in modo indipendente.
Un tale programma autoreplicante era imperfetto a causa del fatto che la "creatura" virtuale è morta a causa della mancanza di alimentazione corrente alla piattaforma.
Un altro tentativo di sviluppare i primi virus informatici fu l'invenzione di un insolito puzzle chiamato "Darwin". All'inizio degli anni '60, gli scienziati di un'azienda americana crearono una serie di utilità che chiamarono "organismi". Il software doveva essere caricato negli archivi del computer. Gli "organismi" formati da un giocatore avrebbero dovuto consumare gli "organismi" nemici e conquistare il loro territorio. Il vincitore era colui che portava via tutta la memoria o accumulava più punti.
Molte persone credono che l'umanità abbia imparato cosa sia un virus informatico negli anni '70 del XX secolo. Tuttavia, programmi o giochi auto-replicanti come "Darwin" non possono essere definiti virus. I veri "parassiti" divennero noti molto più tardi ed erano molto più influenti e pericolosi.
La maggior parte è stata creata nei primi anni '80. Successivamente, è iniziato lo sviluppo attivo del malware. Di conseguenza, insieme a Elk Cloner, appare il virus di Joe Dellinger, il progetto "Dirty Dozen", seguito da una serie di utility antivirus.
È stato il primo a mostrare al mondo un virus di avvio. Elk Cloner è stato progettato specificamente per l'Apple II. È stato possibile trovare il "parassita" immediatamente all'avvio del sistema: è apparso un messaggio con una piccola poesia in cui il virus minacciava l'utente con la perdita di file personali, l'interruzione del funzionamento del sistema e l'impossibilità di cancellazione.
Anche John Dellinger inizia la sua attività. Ha anche sviluppato un virus per l'Apple II. Lo specialista voleva così essere il primo che ha perso uno dei programmi dannosi. Ha iniziato a "diffondere" in tutta l'università. Uno dei settori dell'analisi della memoria lo ha rilevato facilmente. Benchè utente normale Non sono riuscito a trovare questa sezione nel sistema.
Il virus John Dellinger stava travolgendo la grafica di un famoso puzzle. Di conseguenza, dopo mezzo mese, tutte le versioni "piratate" erano "rotte". Per correggere l'errore, lo sviluppatore ha creato un altro virus che ha corretto la versione precedente.
Nel 1984, molti esperti iniziarono a capire cos'è un virus informatico. È stato pubblicato il primo documento di ricerca che ha sollevato i problemi e le preoccupazioni dell'infezione sistemica. Nonostante il fatto che il termine stesso sia stato proposto dal curatore dell'autore dell'articolo, è il ricercatore Cohen che è chiamato l'autore di questo termine.
Quando molti hanno iniziato a capire cos'è un virus informatico, è diventato chiaro che è necessario creare una protezione del sistema contro di esso. Il primo programma antivirus è stato sviluppato da Andy Hopkins. Un'utility simile analizza il testo del file di boot dal 1984, evidenziando tutti gli elementi dubbi di codici e notifiche.
Un tempo, si è rivelato il più semplice ed efficace. Il programma potrebbe reindirizzare i processi di scrittura e formattazione che hanno avuto luogo attraverso il BIOS. Allo stesso tempo, ha permesso all'utente di intervenire nell'operazione.
Alla fine degli anni ottanta fu rilasciato un PC IBM economico. Il suo aspetto è stato l'impulso per lo sviluppo di virus su larga scala. Pertanto, in un breve periodo di tempo, si sono verificati tre grandi disastri sistemici.
Naturalmente, le epidemie di virus informatici non si sono mai verificate prima. Pertanto, la lotta contro di loro si è rivelata difficile. Il primo attacco è avvenuto grazie al virus Brain, sviluppato da due fratelli nel 1986. E l'anno successivo è stato lanciato su tutti i computer.
Ora è difficile dire quanto sia stata grande l'epidemia. Si sa solo che il virus ha colpito più di 18mila sistemi. Come si è scoperto in seguito, i fratelli non volevano fare del male a nessuno. Il virus avrebbe dovuto punire i "pirati" che hanno rubato il software. Ma qualcosa è andato storto e Brain ha toccato non solo il Pakistan stesso, ma anche gli utenti di tutto il mondo. Molti esperti hanno fatto conoscenza con il primo virus stealth, che ha cambiato il settore infetto al suo originale completo.
Il virus Brain è stato anche associato a un parassita noto come Gerusalemme. Alla fine degli anni '80, diverse aziende e università ne soffrirono. Il virus ha cancellato istantaneamente i dati all'attivazione. Successivamente si è saputo che questo è uno dei parassiti più diffusi che ha colpito gli utenti provenienti da Europa, America e Medio Oriente.
L'infezione da virus informatici non si è fermata qui. Il mondo ha presto appreso del worm Morris. È stato il primo problema di rete a prendere di mira Unix. Era previsto che l'utilità entrasse nel sistema informatico e rimanesse lì, senza possibilità di rilevamento. L'autore del virus voleva renderlo nascosto e innocuo, ma tutto non è andato secondo i piani. Il motivo dell'autopropagazione del virus sono stati gli errori commessi durante lo sviluppo.
L'epidemia ha gravemente compromesso la funzionalità dei sistemi. In seguito si è scoperto che il danno è stato di $ 96 milioni. Tuttavia, se l'autore volesse danneggiare deliberatamente il sistema operativo, l'importo sarebbe molto maggiore.
Questo sviluppo infruttuoso ha portato Morris in tribunale, dove gli sono stati dati tre anni di libertà vigilata, inviato al servizio comunitario e costretto a pagare un importo "tondo".
Fino a quando gli esperti non hanno iniziato a comprendere i tipi di virus informatici, le epidemie sistemiche si sono verificate sempre più spesso. È così che DATACRIME è diventata nota nel 1989. Non era solo un virus, ma un'intera serie. In pochi mesi è riuscita a colpire più di 100 mila sistemi.
Questo problema non poteva passare dai programmatori e presto furono rilasciate utilità che scansionavano le linee caratteristiche di questo virus.
Quando questa serie di programmi virali è stata eliminata, è nato il primo cavallo di Troia, l'AIDS. È così che gli utenti hanno appreso del ransomware che bloccava l'accesso ai dati sul disco rigido e mostrava solo le informazioni sul monitor. L'AIDS ha richiesto $ 189 per un indirizzo specifico. Naturalmente, molti utenti hanno pagato il ransomware. Ma è stato subito arrestato dopo essere stato sorpreso a incassare assegni.
Si è scoperto che sapere cos'è un virus informatico non è sufficiente. Era necessario in qualche modo distinguere tra "parassiti" per sviluppare in seguito utilità protettive. Inoltre, lo sviluppo del PC ha influenzato anche la classificazione dei virus informatici.
Il malware può ora essere classificato in base ai suoi metodi e funzionalità di propagazione. Prima dello sviluppo diffuso di Internet, i virus potevano essere archiviati su floppy disk e altri supporti. Ora vengono trasmessi principalmente attraverso reti locali e globali. Insieme a questo, anche la loro funzionalità è cresciuta.
Sfortunatamente, non è stato ancora possibile sviluppare una classificazione chiara. Tuttavia, i virus possono essere suddivisi in quelli che:
Ciò include i seguenti tipi di virus informatici: file, avvio, script, violazione del codice sorgente, virus macro.
Ad esempio, un file che colpisce il malware file system computer per la sua "riproduzione". È incorporato in quasi tutti i documenti eseguibili. sistema operativo... Di solito, come sua "vittima" può scegliere binari con l'estensione ".exe" o ".com", può influenzare la libreria a collegamento dinamico, "legna da ardere" o file batch.
Un virus macro di solito "si alloggia" nei pacchetti di applicazioni come Microsoft Office. Con l'aiuto dei linguaggi macro, tali "parassiti" possono spostarsi da un file all'altro.
Esistono virus che possono infettare qualsiasi sistema operativo. Ma non tutti sono orientati alla "collaborazione" con ogni piattaforma. Pertanto, gli hacker sviluppano virus per i singoli sistemi operativi. Questo include DOS, Windows, Linux, Unix e molti altri.
La particolarità dei virus informatici è che possono utilizzare tecnologie speciali. Ad esempio, viene utilizzata una tecnica che riduce il tasso di rilevamento. Di conseguenza, le applicazioni antivirus più semplici non sono in grado di rilevare il parassita.
I virus stealth sono tradotti come "invisibili". Tale software ne oscura completamente o parzialmente la presenza. Per fare ciò, il virus intercetta le chiamate al sistema operativo.
Questo gruppo include i rootkit. Possono essere rappresentati da file eseguibili, script, documenti di configurazione. Il loro compito è fornire il mascheramento degli oggetti, gestire gli eventi che si verificano nel sistema, raccogliere dati.
È passato molto tempo dalla comparsa di virus e programmi antivirus. In diversi anni sono comparsi parassiti speciali che sono stati ricordati da tutto il mondo a causa della loro influenza catastrofica.
Ad esempio, CIH è un virus dedicato alla tragedia della centrale nucleare di Chernobyl. Al momento dell'attivazione, il "parassita" ha paralizzato il lavoro di tutti i sistemi. Nimida si è rivelato il virus più veloce che ha impiegato un quarto d'ora per infettare un milione di PC.
Slammer è stato definito il più aggressivo perché il virus ha cancellato le informazioni da 75mila sistemi in soli 10 minuti. Conficker è considerato uno dei "parassiti" più pericolosi. Il worm ha attaccato i sistemi Windows e danneggiato 12 milioni di computer in 3 mesi.
Negli anni 2000 è stato registrato il virus ILOVEYOU. Successivamente, è entrato nel Guinness dei primati, ricevendo il titolo di "Il virus informatico più distruttivo del mondo". Questo worm ha infettato 15 milioni di computer e il danno per l'economia mondiale, secondo varie stime, è stato di 10-15 miliardi di dollari.
Succedono ancora adesso, ma a volte i potenti programmi antivirus li affrontano. Esiste un'organizzazione internazionale indipendente che analizza le prestazioni dei servizi di sicurezza. AV-TEST ha presentato un elenco dei migliori programmi antivirus del 2017:
Queste sono le utenze più efficienti al momento. Sebbene siano tutti a pagamento, ognuno ha un periodo di prova e un costo annuale relativamente basso.
Virus informatici
Virus informaticoè un piccolo programma scritto da un programmatore altamente qualificato in grado di autopropagarsi ed eseguire varie azioni distruttive. Ad oggi sono noti più di 50mila virus informatici.
Esistono molte versioni diverse riguardo alla data di nascita del primo virus informatico. Tuttavia, la maggior parte degli esperti concorda sul fatto che i virus informatici, in quanto tali, siano apparsi per la prima volta nel 1986, sebbene storicamente l'emergere dei virus sia strettamente correlato all'idea di creare programmi autoreplicanti. Uno dei "pionieri" tra i virus informatici è il virus "Brain", creato da un programmatore pakistano di nome Alvi. Solo negli Stati Uniti, questo virus ha infettato oltre 18.000 computer.
I virus agiscono solo in modo programmatico. Di solito si attaccano al file o penetrano nel corpo del file. In questo caso, si dice che il file sia infetto da un virus. Il virus entra nel computer solo insieme al file infetto. Per attivare il virus, è necessario scaricare il file infetto e solo dopo il virus inizia ad agire da solo.
Alcuni virus diventano residenti in memoria durante l'esecuzione di un file infetto (si trovano permanentemente in memoria ad accesso casuale computer) e può infettare altri file e programmi scaricati.
Un altro tipo di virus, subito dopo l'attivazione, può causare seri danni, ad esempio la formattazione di un disco rigido. L'effetto dei virus può manifestarsi in diversi modi: da diversi effetti visivi che interferiscono con il lavoro, alla completa perdita di informazioni.
Le principali fonti di virus:
un floppy disk contenente file infetti da virus;
una rete informatica, compreso un sistema di posta elettronica e Internet;
un disco rigido che ha ricevuto un virus a seguito dell'utilizzo di programmi infetti;
un virus lasciato nella RAM dopo l'utente precedente.
I principali segni precoci di un'infezione da virus del tuo computer:
ridurre la quantità di RAM libera;
rallentamento del caricamento e del funzionamento del computer;
modifiche incomprensibili (senza motivo) ai file, nonché modifiche alle dimensioni e alla data dell'ultima modifica dei file;
errori durante il caricamento del sistema operativo;
l'impossibilità di salvare i file nelle directory richieste;
messaggi di sistema incomprensibili, effetti musicali e visivi, ecc.
Segni della fase attiva del virus:
scomparsa di file;
formattazione disco rigido;
impossibilità di caricare file o sistema operativo.
Ci sono molti virus diversi. Possono essere classificati condizionatamente come segue:
1) virus di avvio o BOOT virus infettano i settori di avvio dei dischi. Molto pericoloso, può portare alla perdita completa di tutte le informazioni memorizzate sul disco;
2) virus di file infettare i file. Sono divisi in:
virus che infettano i programmi (file con estensione .EXE e .COM);
Virus macro Virus che infettano file di dati come documenti Word o cartelle di lavoro Excel;
i virus satellitari utilizzano i nomi di altri file;
I virus DIR distorcono le informazioni di sistema sulle strutture dei file;
3) virus dei file di avvio in grado di infettare sia il codice del settore di avvio che il codice del file;
4) virus invisibili o I virus STEALTH falsificano le informazioni lette dal disco in modo che il programma destinato a queste informazioni riceva dati errati. Questa tecnologia, a volte chiamata tecnologia Stealth, può essere utilizzata sia nei virus BOOT che nei virus di file;
5) retrovirus infettare programmi antivirus, cercando di distruggerli o disabilitarli;
6) virus worm fornire piccoli messaggi di posta elettronica con una cosiddetta intestazione, che è essenzialmente l'indirizzo Web della posizione del virus stesso. Quando si tenta di leggere un messaggio del genere, il virus inizia a leggere il suo "corpo" attraverso la rete Internet globale e dopo averlo scaricato inizia un'azione distruttiva. Sono molto pericolosi, poiché è molto difficile rilevarli, a causa del fatto che il file infetto non contiene effettivamente il codice del virus.
Se non si adottano misure per proteggersi dai virus informatici, le conseguenze dell'infezione possono essere molto gravi. In un certo numero di paesi, la legislazione penale prevede la responsabilità per i reati informatici, compresa l'introduzione di virus. Strumenti generali e software vengono utilizzati per proteggere le informazioni dai virus.
I rimedi comuni che aiutano a prevenire l'infezione da virus e i suoi effetti devastanti includono:
backup delle informazioni (effettuare copie di file e aree di sistema dei dischi rigidi);
rifiuto di utilizzare programmi casuali e sconosciuti. Molto spesso, i virus si diffondono insieme ai programmi per computer;
limitare l'accesso alle informazioni, in particolare, la protezione fisica di un disco floppy durante la copia di file da esso.
Vari programmi antivirus (antivirus) sono indicati come software di protezione.
Antivirusè un programma che rileva e neutralizza i virus informatici. Va notato che i virus sono in anticipo sui programmi antivirus nel loro sviluppo, quindi, anche in caso di uso regolare di antivirus, non esiste una garanzia di sicurezza al 100%. I programmi antivirus possono rilevare e distruggere solo i virus conosciuti; quando appare un nuovo virus informatico, la protezione contro di esso non esiste finché non viene sviluppato un proprio antivirus per esso. Tuttavia, molti pacchetti antivirus moderni includono uno speciale modulo software chiamato analizzatore euristico, che è in grado di esaminare il contenuto dei file per la presenza di codice tipico dei virus informatici. Ciò consente di identificare e avvertire tempestivamente del pericolo di infezione con un nuovo virus.
Esistono i seguenti tipi di programmi antivirus:
1)programmi di rilevamento: sono progettati per trovare file infetti da uno dei virus conosciuti. Alcuni programmi di rilevamento possono anche eliminare i virus dai file o distruggere i file infetti. Esistono rilevatori specializzati, cioè progettati per affrontare un virus e polifagi che può combattere molti virus;
2) programmi di guarigione: progettato per curare unità e programmi infetti. Il trattamento del programma consiste nella rimozione del corpo del virus dal programma infetto. Possono anche essere sia polifagi che specializzati;
3) programmi per revisori: progettato per rilevare l'infezione di file da virus e per trovare file danneggiati. Questi programmi ricordano i dati sullo stato del programma e delle aree di sistema dei dischi nello stato normale (prima dell'infezione) e confrontano questi dati mentre il computer è in funzione. In caso di incongruenza dei dati, viene visualizzato un messaggio sulla possibilità di infezione;
4) guaritori-auditor: progettato per rilevare modifiche nei file e nelle aree di sistema dei dischi e, in caso di modifiche, riportarli allo stato originale.
5) programmi di filtro: progettato per intercettare le chiamate al sistema operativo, che vengono utilizzate dai virus per propagarsi e informarne l'utente. L'utente può abilitare o disabilitare l'operazione corrispondente. Tali programmi sono residenti, cioè si trovano nella RAM del computer.
6) programmi di vaccinazione: vengono utilizzati per elaborare file e settori di avvio al fine di prevenire l'infezione da virus noti (di recente questo metodo è stato utilizzato sempre più spesso).
Va notato che la scelta di un "migliore" antivirus è una decisione estremamente errata. Si consiglia di utilizzare diversi pacchetti antivirus contemporaneamente. Quando si sceglie un programma antivirus, è necessario prestare attenzione a un parametro come il numero di firme di riconoscimento (una sequenza di caratteri che garantisce il riconoscimento di un virus). Il secondo parametro è la presenza di un analizzatore euristico di virus sconosciuti, la sua presenza è molto utile, ma rallenta notevolmente i tempi di funzionamento del programma.
Domande di controllo
Che cos'è un virus informatico?
Come fa un virus a infettare un computer?
Come funzionano i virus informatici?
Quali fonti di infezione da virus informatici conosci?
Con quali segni puoi rilevare il fatto di un'infezione da virus informatico?
Quali tipi di virus conosci? Quali azioni distruttive compiono?
Quali azioni vengono intraprese per prevenire l'infezione con un virus informatico?
Che cos'è l'antivirus? Quali tipi di antivirus conosci?
Che cos'è un analizzatore euristico? Quali funzioni svolge?
Virus informatici- programmi speciali che vengono creati dai criminali informatici per ottenere qualsiasi vantaggio. Il principio del loro funzionamento può essere diverso: rubano informazioni o inducono l'utente a eseguire alcune azioni a vantaggio degli aggressori, ad esempio per ricostituire un conto o inviare denaro.
Oggi ci sono molti virus diversi. I principali saranno discussi in questo articolo.
Ora sono diverse decine di migliaia. virus informatici.
A seconda dell'habitat, i virus sono suddivisi in boot, file, system, network, file-boot.
Virus di avvio iniettato nel settore di avvio del disco o nel settore contenente il programma di avvio per il disco di sistema.
Virus di file sono incorporati principalmente in file eseguibili con estensione .COM e .EXE.
Virus di sistema penetrare moduli di sistema e driver periferici, tabelle di allocazione di file e tabelle di partizione.
INSIEME A Rete i virus abitano le reti informatiche; F file - avviabile (multifunzionale) infettare i settori di avvio del disco e i file dell'applicazione.
Secondo il metodo di infezione dell'ambiente, i virus sono suddivisi in residenti e non residenti.
Virus residenti Quando un computer viene infettato, lascia la sua parte residente nella RAM, che poi intercetta l'accesso del sistema operativo ad altri oggetti di infezione, si inietta in essi ed esegue le sue azioni distruttive fino allo spegnimento o al riavvio del computer. Virus non residenti in memoria non infettare la RAM del PC sono attivi per un tempo limitato.
La caratteristica algoritmica della costruzione dei virus influenza la loro manifestazione e funzionamento. Quindi, i programmi replicatori, a causa della loro rapida riproduzione, portano all'overflow della memoria principale, mentre la distruzione dei programmi replicatori diventa più difficile se i programmi riprodotti non sono copie esatte dell'originale. Nelle reti di computer, diffuso programmi-"vermi". Calcolano gli indirizzi dei computer di rete e inviano copie di se stessi a questi indirizzi, mantenendo la comunicazione tra loro. Se il worm cessa di esistere su qualsiasi PC, gli altri trovano un computer libero e vi iniettano lo stesso programma.
"cavallo di Troia"È un programma che si maschera da programma utile, esegue funzioni aggiuntive che l'utente non conosce nemmeno (ad esempio, raccoglie informazioni su nomi e password, scrivendole in un file speciale accessibile solo al creatore di questo virus), o distrugge il file system.
Bomba logicaÈ un programma incorporato in un pacchetto software di grandi dimensioni. È innocuo fino a quando non si verifica un determinato evento, dopo di che si realizza il suo meccanismo logico. Ad esempio, un tale programma antivirus inizia a funzionare dopo un certo numero di un programma applicativo, un complesso; in presenza o assenza di uno specifico file o record di file, ecc.
programmi mutanti, autoreplicanti, ricreano copie nettamente diverse dall'originale.
Virus invisibili, o virus invisibili intercettano le chiamate del sistema operativo a file e settori del disco infetti e si sostituiscono a oggetti non infetti. Quando accedono ai file, tali virus utilizzano algoritmi abbastanza originali che consentono di "ingannare" i monitor antivirus residenti.
Virus macro utilizzare le funzionalità dei macro-linguaggi incorporati nei programmi di elaborazione dati per ufficio (editor di testo, fogli di calcolo, ecc.).
In base al grado di impatto sulle risorse dei sistemi informatici e delle reti, o capacità distruttive, si distinguono virus innocui, innocui, pericolosi e distruttivi.
Virus innocui non hanno un effetto distruttivo sul funzionamento del PC, ma possono sovraccaricare la RAM a causa della loro riproduzione.
Virus non pericolosi non distruggere file, ma ridurre lo spazio libero su disco, visualizzare effetti grafici, creare effetti sonori, ecc. Virus pericolosi spesso portano a varie gravi interruzioni nel funzionamento del computer; distruttivo - alla cancellazione delle informazioni, all'interruzione totale o parziale del funzionamento dei programmi applicativi. Va tenuto presente che qualsiasi file in grado di caricare ed eseguire il codice del programma è un potenziale luogo per l'infiltrazione di un virus.
Chiunque si occupi di computer, senza dubbio, ha incontrato molte volte il concetto di "virus", "Trojan", "cavallo di Troia" e simili, in precedenza, anche nell'era pre-informatica, utilizzato esclusivamente nella ricerca biomedica e storica. Queste parole denotano un certo tipo di programmi che spesso spaventano gli utenti inesperti, descrivendo la loro forza irresistibile che può distruggere tutto in un computer, compresa la struttura meccanica di un hard disk.
Virus informaticoè un programma informatico dannoso che contiene una parte di codice che viene eseguita dopo che un virus viene eseguito su un sistema informatico. Durante l'esecuzione, il virus infetta altri programmi con copie di se stesso.
L'effetto del virus può variare da un lieve fastidio per l'utente alla completa distruzione di tutti i dati sul sistema. Tuttavia, alcuni virus possono replicarsi e diffondersi ad altri sistemi. Ciò rende difficile la localizzazione dei virus e la protezione contro di essi. Per scrivere un semplice virus, devi solo inserire poche righe di codice.
I virus possono essere trasmessi sulle linee di comunicazione o diffuse su supporti infetti... Ciò rende difficile localizzare il creatore del virus. Alcuni virus possono nascondersi all'interno di altri programmi o infiltrarsi nel sistema operativo del computer.
Gli attacchi di virus sono vulnerabili tutti i sistemi operativi per computer tuttavia, alcuni sono più vulnerabili di altri. I virus spesso si nascondono dentro nuovo gioco per computer che puoi scaricare online. Inoltre, i virus possono essere trovati in macro usato in ufficio sistemi di informazione o nei componenti scaricati dalle pagine Web di Internet. I modi in cui i virus entrano nei computer sono diversi, ma hanno una cosa in comune: i virus entrano nei sistemi informatici solo da fonti esterne.
Non appena il virus entra nel sistema, può iniziare immediatamente la sua attività distruttiva, oppure il virus può attendere l'attivazione da qualche evento, ad esempio la ricezione di determinati dati o l'inizio di una data o un'ora specificate. Conosciuto diverse forme di virus che possono invadere il sistema informatico.
cavallo di Troiaè un programma per computer che è mascherato o nascosto in una parte di un programma. A differenza di altri virus, i trojan non si replicano sul sistema. Alcune forme di cavalli di Troia possono essere programmate per autodistruggersi e non lasciare tracce diverse dalla distruzione che causano. Alcuni hacker utilizzano cavalli di Troia per recuperare le password e inviarle all'hacker. Inoltre, possono essere utilizzati per truffe bancarie in cui piccole somme di denaro vengono prelevate da conti legittimi e trasferite su un conto segreto.
vermi sono programmi che distruggono un sistema informatico. Possono infiltrarsi nei programmi di elaborazione dati e sostituire o distruggere i dati. I worm sono come i cavalli di Troia in quanto non possono replicarsi. Tuttavia, come i virus, possono causare gravi danni se non rilevati in tempo. È molto più facile eliminare un worm o un cavallo di Troia se esiste solo una singola copia del programma distruttivo.
bombe logiche sono simili ai programmi utilizzati per i cavalli di Troia. Tuttavia, le bombe logiche hanno un timer che le fa esplodere in una determinata data e ora. Ad esempio un virus Michelangelo ha un set di trigger per il compleanno del famoso artista Michelangelo - 6 marzo. Le bombe logiche vengono spesso utilizzate da dipendenti scontenti che possono impostarle per l'attivazione dopo aver lasciato l'azienda. Ad esempio, una bomba logica potrebbe "esplodere" quando il nome di quel dipendente viene rimosso dal libro paga. Grazie al meccanismo di ritardo integrato, le bombe logiche vengono utilizzate attivamente per il ricatto. Ad esempio, un ricattatore può inviare un messaggio dicendo che se gli viene pagata una certa somma di denaro, fornirà un'istruzione per disabilitare la bomba logica.
Storia delle origini i virus sono piuttosto vaghi, così come gli obiettivi che i loro sviluppatori perseguono. I libri informatici affermano che il primo virus conosciuto era un programma che implementa un modello dell'Universo, in cui vivevano alcune creature che potevano muoversi, cercare e mangiare cibo, nonché moltiplicarsi e morire di fame. Dal punto di vista degli autori del libro, i programmi antivirus sono il risultato di ricerche puramente scientifiche nel campo della creazione di alcuni organismi artificiali capaci di un'esistenza indipendente, come gli esseri viventi. Ciò è sottolineato anche dal nome dei programmi sviluppati sulla base di tale ricerca: virus, ad es. qualcosa di vivo, capace di riprodursi, mutarsi e sopravvivere. Dobbiamo capire che siamo invitati a classificare i creatori di virus informatici come eccentrici innocui impegnati esclusivamente in problemi scientifici separati dalla vita reale.
Non andremo a fondo nelle polemiche su questo argomento, notando solo che il primo programma che potrebbe davvero affermare di essere un virus è apparso in 1987 anno ed era il virus pakistano, sviluppato dai fratelli Amdjat e Bazit Alvi. Il loro obiettivo era punire (!) i cittadini statunitensi per aver acquistato copie a basso costo di programmi in Pakistan. Inoltre, il numero di virus ha iniziato a crescere a un ritmo vertiginoso e le perdite dovute alla loro comparsa nei computer hanno iniziato a ammontare a milioni e centinaia di milioni di dollari. L'infezione dei computer con virus di varia natura ha assunto il carattere di un'epidemia e ha richiesto l'adozione di misure protettive, anche legali. Consideriamo come queste creature dannose, i virus, entrano nei sistemi informatici.
I virus possono entrare in un'ampia varietà di percorsi. I virus entrano nel tuo sistema informatico da un'ampia varietà di fonti, programmi eseguibili, programmi e file trasferiti all'utente da colleghi, software acquistato in forma archiviata. Diamo un'occhiata alla struttura utilizzata per memorizzare i dati su dischetti per rivelare luoghi funzionalmente adatti all'esistenza nascosta di virus. I dischi floppy possono memorizzare file di dati, programmi e software del sistema operativo. Servono come intermediario più comunemente usato per il trasferimento di file di dati. Un floppy disk è costituito da un settore di avvio e dati. Se necessario, il settore di avvio può memorizzare le informazioni necessarie per avviare il computer. Memorizza anche le informazioni sulla partizione, le informazioni sulla gestione dell'avvio e le informazioni sulla posizione dei file. I dati sono tutti i contenuti archiviati su un floppy disk. L'habitat preferito per i virus sono i settori di avvio e i file eseguibili memorizzati su un dischetto. I virus collocati nel settore di avvio possono essere lanciati quando il sistema viene avviato da un dischetto. I virus incorporati nei file eseguibili vengono lanciati insieme al programma infetto, dopodiché iniziano la loro attività nel sistema informatico.
Le stesse capacità di trasferimento dei virus forniscono CD, che sono ormai diventati il principale mezzo di trasferimento di file e informazioni tra computer. I CD contengono informazioni digitali binarie che vengono scritte sul disco creando fosse microscopiche sulla superficie del disco. Le informazioni vengono lette facendo passare un raggio di luce generato da un laser attraverso il disco. I dischi compatti sono simili ai dischi floppy in quanto utilizzano anche un settore di avvio e una struttura dati per archiviare i dati.
Internet ha fornito agli utenti nuove opzioni di connettività che aumentano il potenziale di falle di sicurezza nella loro protezione antivirus. Le tecnologie Web, come la creazione di applet Java e ActiveX, facilitano l'interazione degli utenti su Internet, ma, d'altra parte, fungono da mezzo conveniente per la distribuzione di software dannoso. Gli utenti di una workstation installata su un computer utilizzano software e file di dati per svolgere i propri compiti. Tutte queste informazioni, compreso il sistema operativo, sono memorizzate sul disco rigido del tuo computer. Un altro luogo di memorizzazione permanente delle informazioni necessarie per il funzionamento di un computer è la memoria CMOS non volatile, che memorizza il sistema di input/output di base (BIOS) del computer; Le procedure del BIOS vengono utilizzate durante l'avvio del sistema, quindi la loro infezione rappresenta un serio pericolo, nonostante le ridotte dimensioni del CMOS. Pertanto, in un computer ci sono due luoghi principali in grado di memorizzare e aggiornare costantemente le informazioni: il disco rigido e la memoria CMOS. Questi componenti del sistema informatico sono i luoghi in cui i virus si infettano più spesso quando infettano un computer. L'habitat preferito per i virus è il disco rigido. disco fissoè costituito dai seguenti elementi. Tabella delle partizioni utilizzata per tenere traccia delle partizioni e della struttura di un disco Il Master Boot Record, che indica se questo disco è in grado di avviarsi o meno. Il settore di avvio, che indica al caricatore di sistema dove cercare il primo file necessario per avviare il sistema operativo. ... Il primo FAT memorizza un record che indica come tutti gli altri record sono correlati nell'area di archiviazione dei dati del disco. ... Il secondo FAT, che è un backup del primo FAT nel caso in cui il primo sia danneggiato. ... Un cilindro diagnostico utilizzato per tenere traccia di errori o isolare problemi in un componente hardware o software. È disponibile solo per il disco rigido stesso per le attività interne. Molto spesso, i virus si nascondono nei settori di avvio, il che consente loro di influenzare l'avvio del sistema (vedere la sezione successiva). Un altro posto preferito sono i file eseguibili. I file eseguibili includono i seguenti elementi. Un'intestazione che informa il sistema operativo del tipo di questo file e se è destinato a funzionare con il sistema operativo corrente. Inoltre, l'intestazione fornisce altre informazioni che potrebbero essere necessarie al sistema operativo, come la quantità di memoria necessaria per aprire il file.L'intestazione occupa un'area specifica che può separare parti diverse del file. Un piè di pagina che informa il sistema operativo del computer quando è stata raggiunta la fine del file. Inoltre, informa il computer su cosa fare dopo aver raggiunto la fine del file. Il file può essere integrato con informazioni insignificanti in modo che i dati scritti sul disco occupino una certa quantità di spazio. L'estensione dell'eseguibile non contiene alcuna informazione. Ad esempio, un file eseguibile contenente 500 byte di codice può essere scritto in un blocco di 512 byte con byte di complemento a 12. Quando si infetta un file eseguibile, il virus sostituisce il codice eseguibile del programma con il proprio codice. All'avvio del programma, viene lanciato il codice del virus, eseguendo varie azioni invece di quelle che il programma dovrebbe eseguire. L'habitat del virus è direttamente correlato al suo funzionamento (come nei veri virus vivi). Gli attacchi di virus possono anche essere classificati in base a dove si trovano sul computer.
Esistono tre tipi principali di attacchi di virus.
Virus del settore di avvio infettare il settore di avvio o il record di avvio principale del sistema informatico. Quando il computer si avvia, il programma antivirus viene attivato. I virus del settore di avvio principalmente spostano o sovrascrivono il codice di avvio originale e lo sostituiscono con codice di avvio infetto. Le informazioni del settore di avvio originale vengono trasferite in un altro settore del disco, che è contrassegnato come area difettosa del disco e non viene ulteriormente utilizzato. Poiché il settore di avvio è il primo elemento caricato all'avvio del computer, il rilevamento dei virus del settore di avvio può essere difficile. I virus del settore di avvio sono uno dei tipi di virus più diffusi. Possono essere diffusi utilizzando dischi floppy infetti all'avvio del computer. Questo può accadere facilmente se il disco floppy viene inserito nell'unità quando il computer viene riavviato.
Virus che infettano i file, infettare i file eseguibili. Possono essere attivati solo quando il file viene eseguito. I file più comunemente interessati sono i file COM, EXE, DLL, DRV, BIN, SYS e VXD. I virus che infettano i file possono diventare residenti e attaccarsi ad altri programmi eseguibili. I virus che infettano i file di solito sostituiscono le istruzioni per scaricare il programma di file eseguibile con le proprie istruzioni. Quindi spostano l'istruzione di caricamento del programma originale in una sezione diversa del file. Questo processo aumenta la dimensione del file, che può aiutare a rilevare il virus.
Virus basati su macro ( virus macro), eseguire azioni indesiderate utilizzando il linguaggio macro dell'applicazione per la loro distribuzione in altri documenti. Possono, ad esempio, infettare file Microsoft Word DOT e DOC, nonché file Microsoft Excel.
Questi virus appartengono a multipiattaforma virus e può infettare sia i sistemi Macintosh che i PC.
Altri virus possono avere caratteristiche di uno o più dei tipi sopra descritti.
* I virus stealth (nome gergale - "virus stealth") cercano di nascondersi sia dal sistema operativo che dai programmi antivirus. Per intercettare tutti i tentativi di utilizzo del sistema operativo, il virus deve essere in memoria. I virus stealth possono nascondere qualsiasi modifica apportata alle dimensioni dei file, alle strutture delle directory o ad altre sezioni del sistema operativo. Questo li rende molto più difficili da rilevare. Per bloccare i virus stealth, devono essere rilevati mentre sono in memoria.
* I virus crittografati crittografano il codice del virus durante il funzionamento, il che consente loro di impedire il rilevamento e il riconoscimento del virus.
* I virus polimorfici possono cambiare aspetto ad ogni infezione. Usano meccanismi di mutazione per cambiare il loro aspetto e renderlo difficile da rilevare. I virus polimorfici possono assumere più di due miliardi di forme diverse perché cambiano l'algoritmo di crittografia ad ogni infezione. I virus multicomponente infettano sia i settori di avvio che i file eseguibili. È uno dei virus più difficili da rilevare perché i virus multicomponente possono combinare alcuni o tutti i virus stealth e polimorfici che nascondono la loro attività.
* Virus autoaggiornanti apparsi di recente, in grado di aggiornarsi segretamente tramite Internet durante le sessioni di comunicazione.
* La comparsa di messaggi di sistema insoliti.
* File che scompaiono o aumentano le loro dimensioni.
* Rallentamento del sistema.
* Improvvisa mancanza di spazio su disco.
* Il disco diventa non disponibile.
Software antivirus Un metodo importante per proteggersi dai virus è l'implementazione di software antivirus. Un programma antivirus ha tre compiti principali.
* Rilevamento virus.
* Rimozione virus.
* Protezione proattiva.
* La scansione della firma digitale viene utilizzata per identificare il codice digitale univoco del virus. La firma digitale è un codice esadecimale preinstallato, la cui presenza nel file indica un'infezione da virus. La scansione della firma digitale è un metodo di grande successo per identificare i virus. Tuttavia, dipende interamente dal mantenimento di un database con le firme digitali dei virus e le complessità del motore di scansione. Possibilmente falso rilevamento di un virus in un file non danneggiato.
* L'analisi euristica (o scansione basata su regole) è più veloce della maggior parte dei metodi di scansione tradizionali. Questo metodo utilizza una serie di regole per analizzare in modo efficiente i file e rilevare rapidamente il codice di virus sospetto. Come notato, tutti i metodi euristici, in una forma o nell'altra, emulano l'esecuzione del codice del virus. Pertanto, con una certa esperienza, uno sviluppatore di virus può proteggere il suo "prodotto" dal rilevamento mediante analisi euristica. L'analisi euristica è soggetta a falsi allarmi e, sfortunatamente, dipende dall'insieme corretto di regole di rilevamento dei virus, che cambiano continuamente.
* La sonda di memoria è un altro metodo comunemente usato con successo per rilevare i virus. Dipende dal riconoscimento della posizione dei virus conosciuti e dei loro codici mentre sono in memoria. Sebbene l'esplorazione della memoria di solito abbia successo, questo metodo può richiedere molte risorse. Inoltre, può interferire con il normale funzionamento del computer.
* Il monitoraggio delle interruzioni funziona localizzando e prevenendo gli attacchi di virus che utilizzano chiamate di interruzione. Le chiamate di interrupt sono richieste per varie funzioni tramite interrupt di sistema. Il monitoraggio delle interruzioni, come l'esplorazione della memoria, può anche drenare risorse di sistema significative. Può causare problemi con le chiamate del sistema legale e rallentare il sistema. A causa dell'elevato numero di virus e chiamate di sistema legali, il monitoraggio degli interrupt può avere difficoltà a localizzare i virus.
* Il controllo di integrità (noto anche come calcolo dei checksum) esamina le caratteristiche dei file di programma e determina se sono stati modificati da un codice virus. Questo metodo non necessita di un aggiornamento software perché non si basa sulle firme digitali dei virus. Tuttavia, richiede di mantenere un database di file di checksum privo di virus. Integrity Monitoring non è in grado di rilevare virus stealth passivi e attivi. Inoltre, non è in grado di identificare i virus rilevati per nome o tipo. Se il programma antivirus è residente in memoria, monitora continuamente i virus. Questa è una misura di sicurezza tradizionale per i file server, poiché ogni file deve essere convalidato quando viene utilizzato. Il monitoraggio continuo può essere inappropriato per una macchina client perché può elaborare troppe informazioni, il che rallenta il computer. Sul computer client, è preferibile configurare il programma antivirus per l'esecuzione in un momento specifico. Ad esempio, può essere avviato all'avvio del computer o quando viene letto un nuovo file da un dischetto. Alcuni pacchetti (inclusi Norton AntiVirus e MacAfee VirusScan descritti di seguito) utilizzano una tecnica nota come scansione pianificata per eseguire la scansione del disco rigido alla ricerca di virus in orari specificati. Un altro metodo consiste nell'utilizzare un programma antivirus quando il computer è inattivo. Ad esempio, può essere utilizzato come parte di un programma salvaschermo.
1. Programmi: i rilevatori rilevano i file infetti da uno dei virus noti, tali programmi nella loro forma pura sono ormai rari.
2. Fagi o programmi - medici e programmi - i vaccini non solo trovano file infetti da virus, ma li "curano", ad es. eliminare il corpo del programma antivirus dal file, ripristinando il programma allo stato in cui si trovava prima dell'infezione da virus. All'inizio del loro lavoro, i fagi cercano virus nella RAM, distruggendoli e solo dopo procedono a "curare" i file. Polifagi: distruggono un gran numero di virus. Aidstest, Scan, Norton AntiVirus, Doctor Web.
3. I programmi-auditor sono tra i mezzi di protezione più affidabili contro i virus. I revisori ricordano lo stato iniziale programmi, quando il computer non è ancora stato infettato da un virus, quindi confrontare periodicamente lo stato corrente del file con l'originale. Se vengono rilevate modifiche, i messaggi vengono visualizzati sullo schermo del display. ADInf.
4. Programmi - filtri o "guardiani" - piccoli programmi residenti che si trovano permanentemente nella memoria del computer. Monitorano le operazioni del computer e rilevano attività informatiche sospette tipiche dei virus. Quando un programma tenta di eseguire le azioni specificate, il "guardiano" invia un messaggio e l'utente può vietare o consentire l'esecuzione dell'operazione corrispondente. I filtri possono rilevare un virus in una fase iniziale della sua esistenza, ma non "curano" file e dischi.
