viermi

viruși de calculator Classic

Termenul „virus de calculator“, a apărut în 1984, atunci când un angajat de la Lehigh University, Statele Unite ale Americii F. Cohen a folosit pentru prima dată în raportul său la conferința privind securitatea informațiilor.







Virușii de computer pot fi clasificate în funcție de următoarele caracteristici:

1) abilități distructive;

2) habitat;

3) o metodă de transmitere;

4) Metoda de activare;

5) o metodă de mascare.

Capacitatea distructivă a unui virus de calculator - caracteristica de capacitatea unui virus de a provoca daune pentru a le sistem informatic infectat.

Capacitatea distructiva poate varia de la non-periculoase, ceea ce duce la o scădere a cantității de memorie liberă pe unitate, sau manifestându-se un sunet inofensive sau efecte vizuale la periculoase.

virusuri periculoase poate provoca defecțiuni grave ale sistemelor informatice, violarea integrității, disponibilității și confidențialității datelor stocate și prelucrate în aceste sisteme.

Metoda de infecție - metoda de introducere a codului virusului în obiectele infectate.

Metode de infecție și de activare, care utilizează un anumit virus depinde în mare măsură de mediul său.

Habitat de un virus de calculator - zonele de sistem ale calculatorului (de exemplu, BIOS), sistemul de operare sau aplicații, componente (fișiere), care sunt penetrate de codul virusului.

Potrivit virusurile habitatului pot fi împărțite în următoarele tipuri:

1. Virușii de fișiere utilizați pentru reproducerea lor a sistemului de fișiere de orice sistem de operare, pătrunzând în fișiere executabile, crearea de fișiere duble (viruși însoțitoare), sau caracteristicile de utilizare ale organizării sistemului de fișiere (viruși link). Virușii de fișiere pot utiliza diferite metode de infecție.

Prin infecție viruși de fișiere metodă sunt împărțite în următoarele tipuri: [1]

1) suprascrierea (suprascrierea);

2) parazitare (parazitare);

3) Viruși Companion (companion);

4) Viruși legături (link);

5) virusuri care infectează module obiect (OBJ);

6) virusuri care infectează bibliotecă compilator (LIB);

7) infectarea cu viruși de cod sursă de program.

Reinscriptibile (suprascrierea) viruși scrie codul lor, în locul codului fișierului infectat, distrugând conținutul său. Downtime de fișiere conduce la o funcționare defectuoasă a sistemului de operare și a aplicațiilor, care este o manifestare a virusului.

Parazitare (parazitare) răspândirea virușilor copii ale sale, astfel încât conținutul fișierelor este schimbat, dar fișierele în sine rămân operare total sau parțial. Astfel de virusuri pot fi înregistrate la începutul fișierului (precedarea), la sfârșitul fișierului (adăugarea), și în mijlocul fișierului (inserarea), și, introducerea de viruși în mijlocul fișierelor poate fi realizată prin diverse metode - prin transferul unei părți a dosarului până la sfârșitul sau copia codul lor în mod deliberat zonă neutilizată

Virușii Companion (companie) pentru a crea un fișier țintă, dublu fișier, care devine de control atunci când un fișier infectat, fișierul infectat în sine nu este schimbat și rămâne funcțional. Acest mecanism este pus în aplicare, de exemplu, în cazul în care un virus infectează un fișier redenumește, iar el a înregistrat sub numele original al fișierului (de exemplu, fișierul notepad.exe este redenumit notepad.exd, iar virusul este scris sub numele Notepad.exe). Când executați managementul devine codul virusului, care lansează apoi originalul

Link-viruși modifica sistemul de fișiere individual al câmpului în așa fel încât sistemul de operare atunci când un fișier infectat începe să funcționeze bine și codul virusului. În acest caz, conținutul unui fișier infectat, virusul nu se schimbă.

Virușii infectează module obiect (OBJ-virusuri). și viruși care infectează bibliotecile compilatorului (LIB-virusuri). - virusul scrie codul, respectiv, în module obiect sau biblioteci. Din moment ce nu sunt îndeplinite aceste fișiere infectate, apoi să se răspândească aceste virusuri folosi COM și EXE tipuri de fișiere? obținut prin legarea OBJ infectate și LIB-fișier cu alte module obiect și biblioteci.

Virușii care infectează codul sursă. adăugarea de propriul lor cod la codul sursă al programelor și a răspândirii virusului are loc după compilarea și legarea. OBJ-virusuri, LIB-viruși și virusuri care infectează textul original al programelor sunt rare.







transmis codul virusului în loc de codul original al încărcătorului de boot.

În operațiunile de Microsoft Office în timp ce lucrează cu documente și tabele se bazează pe performanța propriilor macro-uri - în timp ce salvarea fișierului pe File / Save comanda este invocat FileSave macro, menținând în același timp comanda File / SAVEAS - FileSaveAs, imprimarea documentelor - FilePrint etc. În macro .. -virusah infectarea documente Microsoft Office, sau va rula automat macro-uri (auto-funcție) sau redefinit una dintre macro-uri sistem standard asociate

cu orice element de meniu. Este de asemenea posibil pentru a apela un virus macro cu

Făcând clic pe orice combinație de taste sau tasta.

4. Virusurile script - viruși sunt scrise în orice limbaj de scripting (.. VBS, JS, BAT, PHP, etc.), poate fi privit ca un subset de viruși de fișiere. viruși Script sunt capabili de a infecta alte programe de script, formate de fișiere, în care le puteți face script-ul (de exemplu, HTML-files), sau poate fi parte a virusurilor multi-component.

Conform algoritmului de operare, virusurile pot fi împărțite în rezidente și nerezidente.

viruși - viruși care sunt rezidente în memoria unui calculator infectat pentru timpul de lucru și să infecteze anumite obiecte bazate pe sistemul de operare pentru interceptarea apelurilor la aceste obiecte. Chiar dacă ștergeți toate fișierele infectate copie rezident al virusului rămâne activ și poate

infecta nou create sau restaurate de fișiere de rezervă.

viruși, viruși - nerezidenti timp nesemnificativ activă - numai atunci când este lansat fișierul infectat - și în memoria RAM un mic program nu este capabil de a răspândi virusul.

Distribuția virusurilor nerezidente are loc prin căutarea pe disc fișiere curate și intrările în codul lor virale.

Pentru a ascunde locația de pe computer și pentru a contracara detectarea folosind software-ul anti-virus și alte mijloace de virusuri pot folosi diferite moduri de mascare. Acesta utilizează algoritmi de stealth (stelth - invizibil), auto-codificare și polimorfism (polimorfism - schimbarea), precum și alte tehnici.

viruși Stealth - viruși care folosesc algoritmi speciali pentru a ascunde prezența virusului în sistem. Există mai multe tehnici utilizate viruși stealth să rămână nedetectabile. Primul dintre acestea se bazează pe interceptarea comenzilor de citire sectoarelor infectate și înlocuind în schimb original neinfectați.

viruși polimorfi - viruși care nu au nici o semnătură, respectiv să nu aibă părți permanente ale codului ... Nici un cod de meci în diferite probe ale aceluiași virus se realizează prin criptarea codului virusului, precum și modificarea, programul de decriptare. virusurile polimorfism complică detectarea lor folosind măști virale, care sunt părți permanente ale codului specifice unui anumit virus.

Tehnologia rootkit (rootkit) pot fi utilizate pentru a ascunde prezența sistemului de operare de malware. Rootkit - cod de program sau o metodă pentru a ascunde prezența obiectelor în sistemul specificat (procese, fișiere, chei de registry etc.).

Viermii de rețea diferă de viruși, mai presus de toate, capacitatea de a auto-propaga prin intermediul rețelelor de calculatoare. Între diferite tipuri de viermi sunt caracterizate printr-un număr de caracteristici unice, inclusiv:

1) Modul de transmitere a copiilor sale pe computerele de la distanță;

2) o metodă de activare pe computerul infectat;

3) metoda de penetrare în sistem;

4) Metoda de mascare.

Cele mai frecvente tipuri de viermi sunt viermi, viermi folosind clienți de mesagerie instant, viermi de reproducere în aer IRC-canale, și altele.

Worms, folosind mesageri instant (IM-Worms) - vierme ce se raspandeste pe contactul detectat (din lista de contacte) Posturi care conțin URL-ul, într-un fișier localizat pe orice server de web, în ​​același mod ca și viermii de e-mail trimise.

Viermii in IRC-canalele (IRC-Worms) - vierme care se raspandeste prin intermediul IRC-canale prin trimiterea fișierelor infectate utilizatorilor rețelei, fie prin trimiterea URL-link la o copie a viermelui. În acest caz, utilizatorul atacat trebuie să confirme primirea de fișiere, salvați-l pe disc și deschis (lansare) [1].

Worms rețele de file-sharing (P2P-Worms) - vierme care se raspandeste prin intermediul rețelelor de partajare de fișiere pentru a se copia în directorul de schimb de fișiere pe computerul local și apoi descărcarea de la computerul la distanță pentru a căuta fișiere în rețea.

Alte tipuri de viermi (Net-Worms) [1] a efectuat infectarea calculatoarelor la distanță prin copierea vierme în directoarele inscriptibile pe resursele de rețea disponibile sau aleatoriu caută calculatoare în rețea, conectați la ei și să încerce să deschidă drive-urile lor pentru acces deplin.

Poate că utilizarea vulnerabilități viermele (găuri) în sistemele de operare și aplicații. În acest caz, infecția a afectat computerele viermele trimite un pachet de rețea special concepute sau cerere (exploata vulnerabilități), astfel încât codul de vierme ajunge la mașina victimei.

Pentru a răspândi viermi pot utiliza de utilizare a resurselor de rețea publică, infectarea și FTP-Web-servere, urmate de penetrare pe computere, care sunt accesate la serverul infectat.

Unele tipuri de viermi sunt capabili să paraziteze alte tipuri de malware, cum ar fi troieni, backdoors,

Conceput pentru administrarea la distanță sub acoperire și de a face posibilă pentru a descărca și executa fișiere. Astfel de viermi sunt căutați în calculatoarele din rețea infectate cu un troian backdoor, și le trimite o comandă pentru a descărca și rula copie.

Un număr de vierme sub forma de arhive, inclusiv arhivele, protejată prin parolă, care este indicat în textul scrisorii. Uneori, există programe rău intenționate concepute pentru a distruge alte tipuri de malware. De exemplu, un vierme de rețea Welchia, penetrând calculator Lovesan distrugerea vierme, și apoi a încercat

descărca patch-uri de pe site-ul Microsoft, închiderea o vulnerabilitate în sistem, care este utilizat Lovesan.