W rzeczywistości makrowirusy nie są niezależnym „typem”, ale tylko jedną z odmian dużej rodziny złośliwych programów — wirusów skryptowych. Ich izolacja związana jest tylko z tym, że to makrowirusy położyły podwaliny pod całą tę rodzinę, poza tym wirusy „uwięzione” pod Programy Microsoft Biuro otrzymało najwięcej dystrybucji z całego klanu. Należy również zauważyć, że wirusy skryptowe są podgrupą wirusów plikowych. Wirusy te są pisane w różnych językach skryptowych (VBS, JS, BAT, PHP itp.).

Wspólną cechą wirusów skryptowych jest ich przywiązanie do jednego z „wbudowanych” języków programowania. Każdy wirus jest powiązany z określoną „dziurą” w ochronie jednego z Programy Windows i nie jest niezależny program, ale zestaw instrukcji, które zmuszają ogólnie nieszkodliwy „silnik” programu do wykonywania destrukcyjnych działań, które nie są dla niego charakterystyczne.

Podobnie jak w przypadku dokumentów Word, korzystanie z mikroprogramów (skryptów, apletów Java itp.) samo w sobie nie jest przestępstwem - większość z nich działa dość spokojnie, czyniąc stronę bardziej atrakcyjną lub wygodniejszą. czat, Księga gości, system głosowania, licznik - wszystkie te udogodnienia nasze strony zawdzięczają mikroprogramom - "skryptom". Jeśli chodzi o aplety Java, to ich obecność na stronie też jest uzasadniona – pozwalają np. wyświetlić wygodne i funkcjonalne menu, które rozwija się pod kursorem myszy…

Wygoda to udogodnienie, ale nie zapominaj, że wszystkie te aplety i skrypty to prawdziwe, pełnowartościowe programy. Co więcej, wiele z nich jest uruchamianych i działa nie gdzieś, na nieznanym serwerze, ale bezpośrednio na twoim komputerze! A po wstrzyknięciu do nich wirusa twórcy stron będą mogli uzyskać dostęp do zawartości Twojej twardy dysk. Konsekwencje są już znane - od prostej kradzieży hasła po sformatowanie dysku twardego.

Oczywiście będziesz musiał radzić sobie ze „zabójczymi skryptami” sto razy mniej niż ze zwykłymi wirusami. Nawiasem mówiąc, w tym przypadku nie ma nadziei na zwykłe antywirusy, jednak złośliwy program otwierany wraz ze stroną będzie musiał pokonać ochronę samej przeglądarki, której twórcy doskonale zdają sobie sprawę z takich sztuczek.

Ustawianie poziomu bezpieczeństwa Internet Explorer.

Wróćmy na chwilę do Ustawienia internetowe Eksplorator - czyli w menu Narzędzia / Opcje internetowe / Bezpieczeństwo. Internet Explorer oferuje nam kilka poziomów bezpieczeństwa. Oprócz standardowego poziomu ochrony (strefa Internet) możemy wzmocnić (strefa Restrict) lub osłabić naszą czujność (strefa Zaufane strony). Klikając przycisk Niestandardowe, możemy ręcznie dostosować ochronę przeglądarki.Jednak większość wirusów skryptowych jest rozpowszechniana za pośrednictwem poczty elektronicznej (takie wirusy są często określane jako „robaki internetowe”). Być może najjaśniejszymi przedstawicielami tej rodziny są wirusy LoveLetter i Anna Kournikova, których ataki miały miejsce w sezonie 2001-2002. Oba te wirusy wykorzystywały tę samą technikę, opartą nie tylko na słabej ochronie system operacyjny, ale także na naiwności użytkowników.

Pamiętamy, że w większości przypadków nośnikami wirusów są wiadomości e-mail zawierające załączniki. Pamiętamy również, że wirus może przeniknąć do komputera poprzez programy (pliki wykonywalne z rozszerzeniami *.exe, *.com.) lub poprzez Dokumenty Microsoft gabinet. Pamiętamy też, że od strony zdjęć czy plików dźwiękowych nie grozi nam żaden kłopot. I dlatego, nieoczekiwanie wykopując list ze skrzynki pocztowej z dołączonym do niego zdjęciem (sądząc po nazwie pliku i rozszerzeniu), natychmiast go z radością uruchamiamy ... I dowiadujemy się, że pod nim ukryty był „skrypt” złośliwego wirusa zdjęcie. Dobrze, że wykrywamy to natychmiast, a nie po tym, jak wirusowi udało się całkowicie zniszczyć wszystkie Twoje dane.

Sztuczka twórców wirusa jest prosta – plik, który wydawał nam się obrazkiem, miał podwójne rozszerzenie! Na przykład AnnaKournikova.jpg.vbs

Jest to drugie rozszerzenie, które jest prawdziwym typem pliku, podczas gdy pierwsze jest tylko częścią jego nazwy. A ponieważ rozszerzenie Windows vbs jest dobrze znane, bez wahania ukrywa je przed oczami użytkowników, pozostawiając na ekranie tylko nazwę AnnaKournikova.jpg.

System Windows robi to ze wszystkimi zarejestrowanymi typami plików: uprawnienia są usuwane, a ikona powinna wskazywać typ pliku. Na co, niestety, rzadko zwracamy uwagę.

Ładna pułapka, ale łatwa do wykrycia: sztuczka z podwójnym rozwinięciem nie zadziała, jeśli wcześniej aktywujemy tryb wyświetlania typu pliku. Można to zrobić za pomocą menu Opcje folderów w Panelu. Sterowanie Windows: Kliknij tę ikonę, a następnie otwórz kartę Widok i odznacz Ukryj rozszerzenia dla znanych typów plików.

Pamiętaj: tylko kilka typów plików jest dozwolonych jako „załącznik” do wiadomości e-mail. Pliki txt, jpg, gif, tif, bmp, mp3, wma są stosunkowo bezpieczne.

A oto lista bezwarunkowo niebezpiecznych typów plików:

• § asx com inf msi
• § bas cpl ins pif
• § bat crt js reg
• § cmd exe msc vbs

W rzeczywistości lista potencjalnych „nosicieli wirusów” obejmuje kilkanaście typów plików. Ale są one bardziej powszechne niż inne.

Zanim zacząłem pisać ten artykuł, spotkałem się z jednym z założycieli krajowej branży antywirusowej, Jewgienijem Kasperskym, który przekazał mi pewne dane na temat stanu rosyjskiego i światowego rynku antywirusowego. Rozmawiałem również z Maximem Skidą, przedstawicielem słynnej firmy antywirusowej DialogNauka, menedżerem ds. pracy z dużymi klientami. Z rozmowy dowiedziałem się o ciekawym fakcie – okazuje się, że branża antywirusowa niedługo będzie świętować swoją pierwszą dekadę.

Oczywiście antywirusy pojawiły się ponad dziesięć lat temu. Jednak początkowo były one rozprowadzane jako darmowe antidotum. Nie było odpowiedniego wsparcia dla usługi, ponieważ projekty miały charakter niekomercyjny. Jako branża usługa tworzenia i dostarczania programów antywirusowych ukształtowała się około 1992 roku, a nie wcześniej, co oznacza, że ​​wkrótce będzie obchodzić swoje dziesięciolecie. Dziesięć lat na narodziny i rozwój całej branży z obrotem setek milionów dolarów to bardzo krótki okres. W tym czasie pojawił się zupełnie nowy rynek, powstała pewna lista produktów, pojawiło się tyle nowych terminów, że wystarczyłoby na całą encyklopedię. Należy zauważyć, że czasami niedoświadczonemu użytkownikowi trudno jest nawet odróżnić termin naukowy od nazwy handlowej. Oczywiście, aby korzystać z programów antywirusowych, nie jest konieczne poznanie wszystkich szczegółów struktury i zachowania wirusów, ale posiadanie ogólne pomysły Informacje o tym, jakie główne grupy wirusów utworzyły się dzisiaj, jakie zasady są osadzone w algorytmach złośliwego oprogramowania oraz jak podzielony jest światowy i rosyjski rynek antywirusowy, przyda się dość szerokiemu gronu czytelników, do których adresowany jest ten artykuł.

Dziesięć lat rozwoju rynku antywirusowego w Rosji

Jak już wspomniano, rynek antywirusowy żyje w przededniu swojej dekady. To właśnie w 1992 roku powstał DialogNauka CJSC, co zapoczątkowało aktywną promocję słynnego programu Lozinsky Aidstest na rynku krajowym; od tego czasu Aidstest jest dystrybuowany na zasadach komercyjnych. Mniej więcej w tym samym czasie Jewgienij Kaspersky zorganizował mały dział handlowy w KAMI, który początkowo zatrudniał trzy osoby. Również w 1992 r. rynek amerykański dynamicznie się rozwija Oprogramowanie McAfee Skanowanie antywirusowe. W Rosji rynek rozwijał się wówczas dość powoli i przynajmniej do 1994 r. (rys. 1) obraz wyglądał mniej więcej tak: dominującą pozycję zajmowała DialogNauka (około 80%), Kaspersky Anti-Virus posiadał mniej niż 5 % rynku, cała reszta - kolejne 15% rynku. W 1995 r. Jewgienij Kaspersky przeniósł swój program antywirusowy na 32-bitową wersję Intel Platformy Windows, Novell NetWare i OS/2, w wyniku czego produkt zaczął aktywnie wchodzić na rynek.

Różnorodne programy o podwójnym przeznaczeniu to blokery behawioralne, które analizują zachowanie innych programów i blokują je w przypadku wykrycia podejrzanych działań.

Blokery behawioralne różnią się od klasycznych antywirusów rdzeniem antywirusowym, który „rozpoznaje” i leczy wirusy, które zostały przeanalizowane w laboratorium i dla których przepisano algorytm leczenia, blokery behawioralne różnią się tym, że nie mogą leczyć wirusów, ponieważ nic o nich nie wiedzą. Ta właściwość blokerów jest przydatna, ponieważ mogą działać z dowolnymi wirusami, w tym nieznanymi. Jest to szczególnie prawdziwe dzisiaj, ponieważ dystrybutorzy wirusów i antywirusów korzystają z tych samych kanałów transmisji danych, czyli Internetu. W tym przypadku wirus zawsze ma przewagę (czas opóźnienia), ponieważ firma antywirusowa zawsze potrzebuje czasu, aby sam pobrać wirusa, przeanalizować go i napisać odpowiednie moduły leczenia. Programy z grupy dwufunkcyjnej pozwalają tylko blokować rozprzestrzenianie się wirusa, dopóki firma nie napisze modułu leczenia.

Algorytm „suma kontrolna”

Algorytm sumy kontrolnej zakłada, że ​​działania wirusa zmieniają sumę kontrolną. Jednak synchroniczne zmiany dwóch różnych segmentów mogą spowodować, że suma kontrolna pozostanie taka sama po zmianie pliku. Głównym zadaniem konstruowania algorytmu jest zapewnienie, że zmiany w pliku na pewno doprowadzą do zmiany sumy kontrolnej.

Metody wykrywania wirusów polimorficznych

Na ryc. 6 przedstawia działanie programu zarażonego wirusem (a) oraz programu zarażonego zaszyfrowanym wirusem (b). W pierwszym przypadku schemat wirusa jest następujący: program jest wykonywany, w pewnym momencie kod wirusa zaczyna być wykonywany, a następnie program jest wykonywany ponownie. W przypadku zaszyfrowanego programu wszystko jest bardziej skomplikowane.

Program jest wykonywany, następnie włączany jest dekoder, który odszyfrowuje wirusa, następnie wirus jest przetwarzany i ponownie wykonywany jest kod programu głównego. Kod wirusa w każdym przypadku jest zaszyfrowany inaczej. Jeżeli w przypadku wirusa niezaszyfrowanego porównanie referencyjne umożliwia „rozpoznanie” wirusa po jakiejś stałej sygnaturze, to w postaci zaszyfrowanej sygnatura nie jest widoczna. Jednocześnie poszukiwanie dekodera jest prawie niemożliwe, ponieważ jest on bardzo mały i nie ma sensu wykrywać tak zwartego elementu, ponieważ liczba fałszywych alarmów gwałtownie wzrasta.

Wirusy skryptowe i robaki

Rodzaje wirusów komputerowych

Dziś nie ma takiej osoby, która nie słyszałaby o wirusach komputerowych. Co to jest, jakie są rodzaje wirusów komputerowych i złośliwe oprogramowanie, spróbujmy to rozgryźć w tym artykule. Więc, wirusy komputerowe można podzielić na następujące typy:

pod reklamą i programy informacyjne odnosi się do programów, które oprócz swojej głównej funkcji wyświetlają również banery reklamowe i wszelkiego rodzaju reklamy pop-up. Takie wiadomości z reklamami mogą być czasami dość trudne do ukrycia lub wyłączenia. Takie programy adware opierają się na zachowaniu użytkowników komputerów i są dość problematyczne ze względów bezpieczeństwa systemu.

Backdoory

Ukryte narzędzia administracyjne pozwalają ominąć systemy bezpieczeństwa i przejąć kontrolę nad komputerem zainstalowanego użytkownika. program, który działa w Tryb ukrycia, daje hakerowi nieograniczone prawa do kontrolowania systemu. Za pomocą takich programów typu backdoor można uzyskać dostęp do danych osobowych i danych osobowych użytkownika. Często takie programy są wykorzystywane do infekowania systemu wirusami komputerowymi i potajemnego instalowania złośliwych programów bez wiedzy użytkownika.

Wirusy rozruchowe

Często na główny sektor rozruchowy dysku twardego mają wpływ specjalne wirusy rozruchowe. Wirusy tego typu zastępują informacje niezbędne do sprawnego uruchomienia systemu. Jedną z konsekwencji takiego złośliwego programu jest niemożność uruchomienia systemu operacyjnego...

botnet

Botnet to pełnoprawna sieć w Internecie, która podlega administracji przez atakującego i składa się z wielu zainfekowanych komputerów, które wchodzą ze sobą w interakcje. Kontrolę nad taką siecią uzyskuje się za pomocą wirusów lub trojanów, które przenikają do systemu. Podczas działania złośliwe programy w żaden sposób nie manifestują się, czekając na polecenie atakującego. Takie sieci są używane do wysyłania wiadomości SPAM lub organizowania ataków DDoS na pożądane serwery. Co ciekawe, użytkownicy zainfekowanych komputerów mogą być zupełnie nieświadomi tego, co dzieje się w sieci.

Wykorzystać

Exploit (dosłownie luka w zabezpieczeniach) to skrypt lub program, który wykorzystuje określone luki i luki w zabezpieczeniach systemu operacyjnego lub dowolnego programu. W podobny sposób do systemu przenikają programy, za pomocą których można uzyskać prawa dostępu administratora.

Oszustwo (dosłownie żart, kłamstwo, mistyfikacja, żart, oszustwo)

Od kilku lat wielu użytkowników Internetu otrzymuje wiadomości e-mail dotyczące wirusów, które rzekomo rozprzestrzeniają się za pośrednictwem poczty elektronicznej. Takie ostrzeżenia są wysyłane masowo ze łzami w oczach, aby wysłać je do wszystkich kontaktów z Twojej osobistej listy.

Majdan

Honeypot (garnek miodu) jest usługa sieciowa, którego zadaniem jest monitorowanie całej sieci i naprawianie ataków w przypadku wybuchu epidemii. Prosty użytkownik jest zupełnie nieświadomy istnienia takiej usługi. Jeśli haker zbada i monitoruje sieć pod kątem luk, może skorzystać z usług oferowanych przez taką pułapkę. Spowoduje to zapisanie do plików dziennika i wywołanie automatycznego alarmu.

Makrowirusy

Wirusy makr to bardzo małe programy napisane w języku makr aplikacji. Takie programy są dystrybuowane tylko wśród tych dokumentów, które są tworzone specjalnie dla tej aplikacji.

Aby aktywować takie szkodliwe programy, aplikacja musi zostać uruchomiona, a także musi zostać wykonany zainfekowany plik makra. Różnica w stosunku do konwencjonalnych wirusów makr polega na tym, że infekcja występuje w dokumentach aplikacji, a nie w plikach wykonywalnych aplikacji.

Rolnictwo

Pharming to ukryta manipulacja plikiem hosta przeglądarki w celu skierowania użytkownika do fałszywej witryny. Oszuści hostują duże serwery, takie jak serwery przechowują duża baza fałszywe strony internetowe. Manipulując plikiem hosta za pomocą trojana lub wirusa, całkiem możliwe jest manipulowanie zainfekowanym systemem. W rezultacie zainfekowany system będzie ładował tylko fałszywe strony, nawet jeśli wpiszesz poprawny adres w pasku przeglądarki.

Wyłudzanie informacji

Phishing dosłownie oznacza „wyłowienie” danych osobowych użytkownika podczas korzystania z Internetu. Atakujący w swoich działaniach wysyła potencjalną ofiarę e-mail, gdzie wskazano, że konieczne jest przesłanie danych osobowych w celu potwierdzenia. Często jest to imię i nazwisko użytkownika, wymagane hasła, Kody PIN dostęp do kont użytkowników online. Za pomocą takich skradzionych danych haker może z powodzeniem podszywać się pod inną osobę i wykonywać w jej imieniu dowolne działania.

Wirusy polimorficzne

Wirusy polimorficzne to wirusy, które w pracy wykorzystują kamuflaż i reinkarnację. W trakcie mogą zmienić swoje kod programowania samodzielnie, a przez to bardzo trudne do wykrycia, ponieważ sygnatura zmienia się w czasie.

Wirusy oprogramowania

Wirus komputerowy to regularny program, który posiada możliwość samodzielnego dołączania do innych uruchomionych programów, wpływając tym samym na ich pracę. Wirusy samodzielnie propagują swoje kopie, co znacząco odróżnia je od trojanów. Ponadto różnica między wirusem a robakiem polega na tym, że aby wirus mógł działać, potrzebuje programu, do którego może dołączyć swój kod.

rootkit

Rootkit to specyficzny zestaw narzędzia programowe, który jest ukryty i zainstalowany w systemie użytkownika, zapewniając jednocześnie ukrycie osobistego loginu cyberprzestępcy oraz różne procesy podczas wykonywania kopii danych.

Wirusy skryptowe i robaki

Tego typu wirusy komputerowe są dość proste w pisaniu i są rozpowszechniane głównie za pośrednictwem poczty elektronicznej. Wirusy skryptowe wykorzystują języki skryptowe do pracy w celu dodawania się do nowo tworzonych skryptów lub rozprzestrzeniania się poprzez działające funkcje sieciowe. Często infekcja następuje za pośrednictwem poczty e-mail lub w wyniku wymiany plików między użytkownikami. Robak to program, który sam się powiela, ale infekuje również inne programy. Robaki podczas namnażania nie mogą stać się częścią innych programów, co odróżnia je od zwykłych typów wirusów komputerowych.

Programy szpiegujące

Szpiedzy mogą przesyłać dane osobowe użytkownika bez jego wiedzy osobom trzecim. Programy szpiegujące jednocześnie analizują zachowanie użytkownika w Internecie i na podstawie zebranych danych pokazują mu reklamy lub pop-upy (okna pop-up), które z pewnością go zainteresują.

Wirusy makr to programy w językach (makrojęzykach) wbudowane w niektóre systemy przetwarzania danych (edytory tekstu, arkusze kalkulacyjne itp.), a także w językach skryptowych, takich jak VBA ( Visual Basic dla aplikacji), JS (Java Script). Do ich reprodukcji wirusy takie wykorzystują możliwości makrojęzyków iz ich pomocą przenoszą się z jednego zainfekowanego pliku (dokumentu lub tabeli) na inne. Najbardziej rozpowszechnione są makrowirusy dla Microsoft Office. Istnieją również makrowirusy, które infekują dokumenty i bazy danych Ami Pro. Do istnienia wirusów w konkretnym systemie (edytorze) konieczne jest posiadanie wbudowanego w system języka makr o następujących możliwościach:

1. powiązanie programu w makrojęzyku z określonym plikiem;
2. kopiowanie makroprogramów z jednego pliku do drugiego;
3. możliwość uzyskania kontroli nad programem makr bez ingerencji użytkownika (makra automatyczne lub standardowe).

Redaktorzy spełniają te warunki Microsoft Word, Office i AmiPro, a także arkusz Excel i baza Dane firmy Microsoft dostęp. Systemy te zawierają języki makr: Word - Word Basic; Excel, Access - VBA. W którym:

1. Makroprogramy są powiązane z określonym plikiem (AmiPro) lub znajdują się w pliku (Word, Excel, Access);
2. język makr umożliwia kopiowanie plików (AmiPro) lub przenoszenie programów makr do plików usług systemowych i plików edytowalnych (Word, Excel);
3. podczas pracy z plikiem w określonych warunkach (otwieranie, zamykanie itp.) wywoływane są (jeśli są) programy makr, które są w specjalny sposób zdefiniowane (AmiPro) lub mają standardowe nazwy (Word, Excel).

Ta cecha języków makr jest przeznaczona do automatycznego przetwarzania danych w dużych organizacjach lub w globalne sieci i pozwala na zorganizowanie tzw. „automatycznego przepływu pracy”. Z drugiej strony możliwości języków makro takich systemów pozwalają wirusowi przenosić swój kod do innych plików, a tym samym infekować je. Wirusy przejmują kontrolę podczas otwierania lub zamykania zainfekowanego pliku, przechwytują standardowe funkcje plików, a następnie infekują pliki, do których uzyskuje się dostęp w jakiś sposób. Analogicznie do systemu MS-DOS możemy powiedzieć, że większość wirusów makr jest rezydentnych: są one aktywne nie tylko podczas otwierania/zamykania pliku, ale tak długo, jak aktywny jest sam edytor.

Wirusy Word/Excel/Office: informacje ogólne

Fizyczna lokalizacja wirusa wewnątrz pliku zależy od jego formatu, co w przypadku produktów Microsoft jest niezwykle złożone – każdy plik dokumentu Word, arkusz kalkulacyjny Excel to sekwencja bloków danych (z których każdy również ma swój własny format), połączonych ze sobą przy użyciu dużej ilości danych serwisowych. Ten format nazywa się OLE2 — łączenie i osadzanie obiektów.

Struktura plików Worda, Excela i Office (OLE2) przypomina skomplikowaną system plików dyski: „katalog główny” pliku dokumentu lub tabeli wskazuje główne podkatalogi różnych bloków danych, kilka tabel FAT zawiera informacje o lokalizacji bloków danych w dokumencie itp. Ponadto, System biurowy Binder, który obsługuje standardy Word i Excel, umożliwia tworzenie plików, które jednocześnie zawierają jeden lub więcej dokumentów Word i jeden lub więcej arkuszy kalkulacyjnych Excel. Jednocześnie wirusy Worda mogą infekować dokumenty Worda, a wirusy Excela mogą infekować arkusze kalkulacyjne Excela, a wszystko to jest możliwe w ramach jednego pliku dyskowego. To samo dotyczy pakietu Office. Większość znanych wirusów programu Word jest niekompatybilna z krajowymi (w tym rosyjskimi) wersjami programu Word lub odwrotnie — są przeznaczone tylko dla zlokalizowanych wersji programu Word i nie działają w wersji angielskiej. Jednak wirus w dokumencie jest nadal aktywny i może infekować inne komputery z zainstalowaną na nich odpowiednią wersją programu Word. Wirusy dla programu Word mogą infekować komputery dowolnej klasy. Zakażenie jest możliwe, jeśli ten komputer zainstalowany jest edytor tekstu, który jest w pełni kompatybilny z Microsoft Word w wersji 6 lub 7 lub nowszej (na przykład MS Word dla Macintosh).

To samo dotyczy programu Excel i pakietu Office. Należy również zauważyć, że złożoność formatów dokumentów Word, arkuszy kalkulacyjnych Excel, a zwłaszcza pakietu Office, ma następującą cechę: w plikach dokumentów i tabelach znajdują się „dodatkowe” bloki danych, tj. dane, które nie są w żaden sposób powiązane z edytowanym tekstem lub tabelami, lub są kopiami innych danych w pliku, które się tam znajdowały. Przyczyną występowania takich bloków danych jest klastrowa organizacja danych w dokumentach i tabelach OLE2 - nawet jeśli wprowadzi się tylko jeden znak tekstu, to przydzielony jest do niego jeden lub nawet kilka klastrów danych. Podczas zapisywania dokumentów i tabel w klastrach, które nie są wypełnione „użytecznymi” danymi, pozostają „śmieci”, które trafiają do pliku wraz z innymi danymi. Ilość „śmieci” w plikach można zmniejszyć, odznaczając opcję „Zezwalaj na szybkie zapisywanie” programu Word/Excel, ale to tylko zmniejsza całkowitą ilość „śmieci”, ale nie usuwa ich całkowicie. Konsekwencją tego jest fakt, że podczas edycji dokumentu jego rozmiar zmienia się niezależnie od wykonywanych na nim czynności - przy dodawaniu nowego tekstu rozmiar pliku może się zmniejszyć, a przy usuwaniu fragmentu tekstu może się zwiększyć.

To samo dotyczy wirusów makr: kiedy plik jest zainfekowany, jego rozmiar może się zmniejszyć, zwiększyć lub pozostać niezmieniony. Należy również zauważyć, że niektóre wersje OLE2.DLL zawierają niewielką usterkę, w wyniku której podczas pracy z dokumentami Word, Excel, a zwłaszcza Office, losowe dane z dysku, w tym poufne, mogą dostać się do „śmieci " Bloki ( usunięte pliki, katalogi itp.). Polecenia wirusów również mogą dostać się do tych bloków. W rezultacie po wyleczeniu zainfekowanych dokumentów aktywny kod wirusa jest usuwany z pliku, ale niektóre jego polecenia mogą pozostać w blokach „śmieci”. Takie ślady obecności wirusa są czasem widoczne za pomocą edytory tekstu a nawet może wywołać reakcję niektórych programów antywirusowych. Jednak te pozostałości wirusa są całkowicie nieszkodliwe: Word i Excel nie zwracają na nie uwagi.

Wirusy Word/Excel/Office: jak działają

Wykonuje różne czynności podczas pracy z dokumentem Word w wersji 6 i 7 lub nowszej: otwiera dokument, zapisuje, drukuje, zamyka itp. Jednocześnie Word wyszukuje i wykonuje odpowiednie "wbudowane makra" - przy zapisywaniu pliku poleceniem Plik / Zapisz wywoływane jest makro FileSave, przy zapisywaniu poleceniem Plik / ZapiszAs - FileSaveAs, przy drukowaniu dokumentów - FilePrint itp., jeśli oczywiście są zdefiniowane makra. Istnieje również kilka „automatycznych makr”, które są wywoływane automatycznie w różnych warunkach. Na przykład podczas otwierania dokument słowny sprawdza go pod kątem obecności makra AutoOpen. Jeśli takie makro jest obecne, program Word je wykonuje. Gdy dokument jest zamykany, program Word wykonuje makro Autozamykanie, po uruchomieniu programu Word makro AutoExec jest wywoływane, po zamknięciu — AutoExit, a podczas tworzenia nowego dokumentu — AutoNew.

Podobne mechanizmy (ale z różnymi nazwami makr i funkcji) są stosowane w Excel/Office, w którym rolę makr auto- i wbudowanych pełnią funkcje auto- i wbudowane obecne w dowolnym makrze lub makrach, oraz kilka funkcje wbudowane mogą występować w jednym makro oraz funkcje auto. Automatycznie (tj. bez ingerencji użytkownika) wykonywane są również makra/funkcje związane z dowolnym klawiszem, czasem lub datą, tj. Word/Excel wywołuje makro/funkcję po naciśnięciu określonego klawisza (lub kombinacji klawiszy) lub po osiągnięciu określonego momentu. W pakiecie Office możliwości przechwytywania zdarzeń są nieco rozszerzone, ale zasada jest taka sama.

Makrowirusy, które infekują Pliki Word, Excel lub Office, z reguły używają jednej z trzech metod wymienionych powyżej - albo w wirusie jest obecne automakro (funkcja auto), albo jedno ze standardowych makr systemowych (powiązane z niektórymi pozycjami menu) jest przedefiniowane lub makro wirusa jest wywoływane automatycznie po naciśnięciu dowolnego klawisza lub kombinacji klawiszy. Istnieją również półwirusy, które nie wykorzystują wszystkich tych sztuczek i mnożą się tylko wtedy, gdy użytkownik samodzielnie je uruchamia. Tak więc, jeśli dokument jest zainfekowany, podczas otwierania dokumentu Word wywołuje zainfekowane makro AutoOpen (lub AutoClose, gdy dokument jest zamknięty) i uruchamia w ten sposób kod wirusa, chyba że jest to zabronione przez zmienną systemową DisableAutoMacros. Jeśli wirus zawiera makra o standardowych nazwach, są one kontrolowane przez wywołanie odpowiedniego elementu menu (Plik/Otwórz, Plik/Zamknij, Plik/Zapisz jako). Jeśli dowolny symbol klawiatury zostanie przedefiniowany, wirus zostanie aktywowany dopiero po naciśnięciu odpowiedniego klawisza.

Większość wirusów makr zawiera wszystkie swoje funkcje jako standardowe makra Word/Excel/Office. Istnieją jednak wirusy, które wykorzystują sztuczki, aby ukryć swój kod i przechowywać swój kod jako inne niż makra. Znane są trzy takie techniki, wszystkie wykorzystują zdolność makr do tworzenia, edycji i wykonywania innych makr. Z reguły takie wirusy mają małe (czasem polimorficzne) makro programu ładującego wirusy, które wywołuje wbudowany edytor makr, tworzy nowe makro, wypełnia je głównym kodem wirusa, wykonuje, a następnie z reguły je niszczy (w celu ukryć ślady obecności wirusa). Główny kod takich wirusów jest obecny albo w samym makrze wirusa w postaci ciągów tekstowych (czasem zaszyfrowanych), albo jest przechowywany w obszarze zmiennych dokumentu lub w obszarze Auto-tekst.

Algorytm słowo praca makrowirusy

Większość znanych wirusów Word po uruchomieniu przenosi swój kod (makra) do globalnego obszaru makr dokumentu (makra „ogólne”), w tym celu używają poleceń do kopiowania makr MacroCopy, Organizer.Copy lub za pomocą edytora makr - wirus wywołuje je, tworzy nowe makro, wstawia do niego swój kod, który zapisuje w dokumencie. Po zamknięciu programu Word makra globalne (w tym makra wirusów) są automatycznie zapisywane w pliku DOT makr globalnych (zazwyczaj NORMAL.DOT). Dlatego przy kolejnym uruchomieniu edytora MS-Word wirus jest aktywowany w momencie, gdy WinWord ładuje globalne makra, tj. od razu. Następnie wirus ponownie definiuje (lub już zawiera) jedno lub więcej standardowych makr (na przykład FileOpen, FileSave, FileSaveAs, FilePrint) i w ten sposób przechwytuje polecenia manipulacji plikami. Gdy te polecenia są wywoływane, wirus infekuje plik, do którego uzyskuje się dostęp. W tym celu wirus konwertuje plik do formatu Szablon (co uniemożliwia dalszą zmianę formatu pliku, tj. konwersję do innego formatu innego niż Szablon) i zapisuje do niego swoje makra, w tym Auto-makro. Tak więc, jeśli wirus przechwyci makro FileSaveAs, każdy plik DOC zapisany przez makro przechwycone przez wirusa zostanie zainfekowany. Jeśli makro FileOpen zostanie przechwycone, wirus zapisuje się do pliku podczas odczytywania go z dysku.

Druga metoda wprowadzania wirusa do systemu jest stosowana znacznie rzadziej - opiera się na tzw. plikach „dodatkowych”, czyli tzw. pliki, które są dodatkami usług do programu Word. W takim przypadku plik NORMAL.DOT nie jest zmieniany, a program Word ładuje makra wirusów z pliku (lub plików) określonego podczas uruchamiania jako „Dodatek”. Ta metoda prawie całkowicie powtarza infekcję globalnych makr, z wyjątkiem tego, że makra wirusów są przechowywane nie w NORMAL.DOT, ale w jakimś innym pliku. Możliwe jest również wstrzyknięcie wirusa do plików znajdujących się w katalogu STARTUP — Word automatycznie ładuje pliki szablonów z tego katalogu, ale takie wirusy nie zostały jeszcze napotkane. Powyższe metody wprowadzania do systemu są pewnymi odpowiednikami rezydentnych wirusów DOS. Analogiem nierezydentów są wirusy makr, które nie przenoszą swojego kodu do obszaru makr systemowych - aby zainfekować inne pliki dokumentów, albo szukają ich za pomocą funkcji plików wbudowanych w Word, albo odwołują się do listy ostatnich edytowane pliki (lista ostatnio używanych plików) . Następnie takie wirusy otwierają dokument, infekują go i zamykają.

Algorytm Praca w Excelu makrowirusy

Metody propagacji wirusów programu Excel są zasadniczo podobne do metod rozprzestrzeniania się wirusów programu Word. Różnice dotyczą poleceń kopiowania makr (np. Arkusze.Kopiuj) iw przypadku braku NORMAL.KROPKA - jego funkcję (w sensie wirusowym) pełnią pliki w katalogu STARTUP programu Excel. Należy zauważyć, że są dwa możliwe opcje lokalizacje kodu makrowirusa w Tabele Excela. Zdecydowana większość tych wirusów zapisuje swój kod w formacie VBA (Visual Basic for Applications), ale istnieją wirusy, które przechowują swój kod w starym formacie programu Excel w wersji 4.0. Takie wirusy zasadniczo nie różnią się od wirusów VBA, z wyjątkiem różnic w formacie lokalizacji kodów wirusów w arkuszach kalkulacyjnych Excel. Chociaż nowsze wersje programu Excel (od wersji 5) korzystają z bardziej zaawansowanych technologii, w celu zachowania zgodności zachowano możliwość uruchamiania makr ze starszych wersji programu Excel. Z tego powodu wszystkie makra napisane w formacie Excel 4 są w pełni funkcjonalne we wszystkich kolejnych wersjach, mimo że Microsoft nie zaleca ich używania i nie dołącza do Excela niezbędnej dokumentacji.

Algorytm wirusów dla Access

Ponieważ Access jest częścią Pakiet biurowy Pro, wirusy dla programu Access to te same makra w języku Visual Basic, co inne wirusy, które infekują Aplikacje biurowe. Jednak w tym przypadku zamiast automakr system zawiera: automatyczne skrypty, które są wywoływane przez system przy różnych zdarzeniach (np. Autoexec). Skrypty te mogą następnie wywoływać różne makra. Tak więc, infekując bazy Dane dostępowe wirus musi zastąpić niektóre autoskrypty i skopiować swoje makra do zainfekowanej bazy danych. Infekcja skryptów bez dodatkowych makr nie jest możliwa, ponieważ język skryptowy jest dość prymitywny i nie zawiera niezbędnych do tego funkcji.

Należy zauważyć, że w aspekcie Access skrypty nazywane są makrami (makro), a makra nazywane są modułami (modułem), jednak w przyszłości będzie używana ujednolicona terminologia - skrypty i makra. Czyszczenie baz danych Access jest trudniejszym zadaniem niż usuwanie innych makrowirusów, ponieważ w przypadku Access konieczne jest neutralizowanie nie tylko makr wirusów, ale także autoskryptów. A więc znacząca część Dostęp do pracy przypisane tylko do skryptów i makr, wówczas nieprawidłowe usunięcie lub dezaktywacja dowolnego elementu może doprowadzić do niemożności operacji z bazą danych. To samo dotyczy wirusów – nieprawidłowe podstawianie autoskryptów może prowadzić do utraty danych przechowywanych w bazie danych.

Wirusy AmiPro

Podczas pracy z dokumentem edytor AmiPro tworzy dwa pliki - tekst samego dokumentu (z rozszerzeniem nazwy SAM) oraz dodatkowy plik, zawierający makra dokumentów i ewentualnie inne informacje (rozszerzenie nazwy - SMM). Format obu plików jest dość prosty - są to zwykłe plik tekstowy, w którym zarówno tekst do edycji, jak i polecenia sterujące są obecne jako zwykłe ciągi tekstowe. Dokument można powiązać z dowolnym makrem z pliku SMM (polecenie AssignMacroToFile). To makro jest analogiczne do AutoOpen i AutoClose w MS Word i jest wywoływane przez edytor AmiPro podczas otwierania lub zamykania pliku. Najwyraźniej AmiPro nie ma możliwości umieszczania makr w obszarze „ogólnym”, więc wirusy dla AmiPro mogą infekować system tylko wtedy, gdy otwierany jest zainfekowany plik, ale nie podczas uruchamiania systemu, jak to ma miejsce w przypadku MS-Word po zainfekowaniu Plik NORMAL.DOT. Podobnie jak MS Word, AmiPro umożliwia nadpisanie makr systemowych (np. SaveAs, Save) za pomocą polecenia ChangeMenuAction. Podczas wywoływania nadpisanych funkcji (polecenia menu) kontrolę przejmują zainfekowane makra, tj. kod wirusa.

Wirusy ukrywające się

Przedstawiciele tej klasy na różne sposoby maskują swoją obecność w systemie. Zwykle osiąga się to poprzez przechwycenie serii funkcje systemowe odpowiedzialny za pracę z plikami. Technologie "stealth" uniemożliwiają wykrycie wirusa bez specjalnych narzędzi. Wirus maskuje zarówno przyrost długości zaatakowanego obiektu (pliku), jak i swoje własne ciało, „zastępując” „zdrową” część pliku.

Podczas skanowania komputera programy antywirusowe odczytują dane - pliki i obszary systemowe - z dyski twarde oraz dyskietki za pomocą systemu operacyjnego i BIOS-u. Stealth - wirusy, czyli niewidzialne wirusy, po uruchomieniu pozostawiają w pamięci RAM komputera specjalne moduły, które przechwytują dostęp programów do podsystemu dyskowego komputera. Jeśli taki moduł wykryje, że program użytkownika próbuje odczytać zainfekowany plik lub obszar systemu dysk, zastępuje czytelne dane w podróży, a tym samym pozostaje niezauważony, oszukując programy antywirusowe.

Ponadto wirusy ukrywające się mogą ukrywać się w postaci strumieni w systemie i innych procesach, co również znacznie utrudnia ich wykrycie. Takich ukrytych wirusów nie można nawet zobaczyć na liście wszystkich uruchomionych, w ten moment, w systemie procesowym.

Istnieje prosty sposób na wyłączenie ukrytego mechanizmu maskowania wirusów. Wystarczy uruchomić komputer z niezainfekowanej dyskietki systemowej i przeskanować komputer programem antywirusowym bez uruchamiania programów z dysku komputera (mogą się okazać zainfekowane). W takim przypadku wirus nie będzie w stanie przejąć kontroli i zainstalować rezydentnego modułu w pamięci RAM, który implementuje algorytm ukrywania się, antywirus odczyta informacje faktycznie zapisane na dysku i łatwo wykryje „bakcyla”.

Większość programów antywirusowych przeciwdziała próbom niezauważenia wirusów stealth, jednak aby nie pozostawić im ani jednej szansy, przed sprawdzeniem komputera programem antywirusowym należy go wczytać z dyskietki, na której -programy wirusowe również powinny być napisane. Wiele programów antywirusowych jest tak skutecznych w zwalczaniu ukrytych wirusów, że wykrywają je, gdy próbują się zamaskować. Takie programy odczytują z dysku pliki programów, które mają być sprawdzone, przy użyciu kilku różnych metod - na przykład za pomocą systemu operacyjnego i BIOS-u: jeśli zostaną znalezione niezgodności, stwierdza się, że prawdopodobnie w BARAN.

Wirusy polimorficzne

Do wirusów polimorficznych zaliczamy te, których wykrycie jest niemożliwe (lub niezwykle trudne) przy użyciu tzw. sygnatur wirusów - sekcji stałego kodu specyficznego dla konkretnego wirusa. Osiąga się to na dwa główne sposoby - przez zaszyfrowanie głównego kodu wirusa nietrwałym kluczem i losowym zestawem poleceń deszyfratora lub przez zmianę rzeczywistego kodu wirusa. Istnieją również inne dość egzotyczne przykłady polimorfizmu - na przykład wirus DOS "Bomber" jest niezaszyfrowany, ale sekwencja poleceń przekazująca kontrolę do kodu wirusa jest całkowicie polimorficzna.

Polimorfizm o różnym stopniu złożoności występuje we wszystkich typach wirusów - od wirusów rozruchowych i plikowych DOS po wirusy Windows, a nawet makrowirusy.

Większość pytań dotyczy terminu „wirus polimorficzny”. Ten typ wirusa komputerowego jest zdecydowanie najniebezpieczniejszy.

Wirusy polimorficzne to wirusy, które modyfikują swój kod w zainfekowanych programach w taki sposób, że dwie instancje tego samego wirusa mogą nie pasować w jednym bicie.

Takie wirusy nie tylko szyfrują swój kod przy użyciu różnych ścieżek szyfrowania, ale również zawierają kod generowania programu szyfrującego i deszyfrującego, co odróżnia je od zwykłych wirusów szyfrujących, które mogą również szyfrować części swojego kodu, ale jednocześnie mają stały kod szyfratora i deszyfratora.

Wirusy polimorficzne to wirusy z samomodyfikującymi się dekoderami. Celem takiego szyfrowania jest to, że jeśli masz zainfekowany i oryginalny plik, nadal nie będziesz w stanie przeanalizować jego kodu za pomocą konwencjonalnego demontażu. Ten kod jest zaszyfrowany i jest bezsensownym zestawem poleceń. Odszyfrowywanie jest wykonywane przez samego wirusa w czasie wykonywania. Jednocześnie możliwe są opcje: może odszyfrować się od razu lub może wykonać takie odszyfrowanie „w ruchu”, może ponownie zaszyfrować już opracowane sekcje. Wszystko to ma na celu utrudnienie analizy kodu wirusa.

Dekryptery polimorficzne

Wirusy polimorficzne wykorzystują złożone algorytmy do generowania kodu swoich deszyfratorów: instrukcje (lub ich odpowiedniki) są zamieniane z infekcji na infekcję, rozcieńczane poleceniami, które niczego nie zmieniają, takimi jak NOP, STI, CLI, STC, CLC, DEC unused register, XCHG nieużywane rejestry itp. d.

W pełni rozwinięte wirusy polimorficzne wykorzystują jeszcze bardziej złożone algorytmy, w wyniku czego deszyfrator wirusa może napotkać operacje SUB, ADD, XOR, ROR, ROL i inne w dowolnej liczbie i kolejności. Ładowanie i zmiana kluczy i innych parametrów szyfrowania jest również wykonywana przez dowolny zestaw operacji, w którym można znaleźć prawie wszystkie instrukcje. Procesor Intel(ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP...) ze wszystkimi możliwymi trybami adresowania. Pojawiają się również wirusy polimorficzne, których dekrypter używa instrukcji aż do Intel386, a latem 1997 roku odkryto 32-bitowy wirus polimorficzny, który infekuje pliki Windows95 EXE. Teraz istnieją już wirusy polimorficzne, które mogą również wykorzystywać różne polecenia nowoczesnych procesorów.

W rezultacie na początku pliku zainfekowanego takim wirusem, rekrutuje pozornie bezsensowne instrukcje i niektóre kombinacje, które są całkiem wykonalne, nie są przyjmowane przez zastrzeżone deasemblery (na przykład kombinacja CS:CS: lub CS:NOP). A wśród tej „owsianki” poleceń i danych co jakiś czas przemykają MOV, XOR, LOOP, JMP – instrukcje, które naprawdę „działają”.

Poziomy polimorfizmu

Istnieje podział wirusów polimorficznych na poziomy w zależności od złożoności kodu znajdującego się w dekoderach tych wirusów. Podział ten został po raz pierwszy zaproponowany przez dr. Alan Solomon, po pewnym czasie Vesselin Bonchev go rozbudował.

Poziom 1: wirusy, które mają określony zestaw deszyfratorów z trwałym kodem i wybierają jeden z nich po zainfekowaniu. Takie wirusy są „pół-polimorficzne” i są również nazywane „oligomorficznymi” (oligomorficznymi). Przykłady: „Cheeba”, „Słowacja”, „Wieloryb”.
Poziom 2: Dekoder wirusa zawiera co najmniej jedną stałą instrukcję, ale jej główna część nie jest trwała.
Poziom 3: Deszyfrator zawiera nieużywane instrukcje - "śmieci", takie jak NOP, CLI, STI itp.
Poziom 4: Deszyfrator używa wymiennych instrukcji i instrukcji zmiany kolejności (tasowania). Algorytm deszyfrowania się nie zmienia.
Poziom 5: stosowane są wszystkie powyższe sztuczki, algorytm deszyfrowania jest niestabilny, możliwe jest ponowne zaszyfrowanie kodu wirusa, a nawet częściowe zaszyfrowanie samego kodu deszyfrującego.
Poziom 6: wirusy permutujące. Główny kod wirusa może ulec zmianie - jest podzielony na bloki, które podczas infekcji są przestawiane w dowolnej kolejności. Wirus pozostaje aktywny. Takie wirusy mogą być niezaszyfrowane.

Powyższy podział nie jest wolny od mankamentów, gdyż dokonywany jest według jednego kryterium - możliwości wykrycia wirusa przez kod odszyfrowujący przy użyciu standardowej metody masek wirusowych:

Poziom 1: do wykrycia wirusa wystarczy mieć kilka masek

Poziom 2: wykrywanie masek za pomocą „wildcards”

Poziom 3: wykrywanie masek po usunięciu instrukcji śmieci

Poziom 4: Maska zawiera kilka możliwych opcji kodu, tj. staje się algorytmiczny
Poziom 5: niemożność wykrycia wirusa za pomocą maski

Niewydolność takiego podziału wykazano w wirusie III poziomu polimorfizmu, który nazywa się „Poziom 3”. Wirus ten, będąc jednym z najbardziej złożonych wirusów polimorficznych, zalicza się do poziomu 3 zgodnie z powyższym podziałem, ponieważ ma stały algorytm deszyfrowania, poprzedzony przez duża liczba polecenia-"śmieci". Jednak w tym wirusie algorytm generowania "śmieci" został doprowadzony do perfekcji: prawie wszystkie instrukcje procesora i8086 można znaleźć w kodzie deszyfratora.

Jeśli podzielimy na poziomy pod względem antywirusów, które wykorzystują systemy do automatycznego odszyfrowywania kodu wirusa (emulatorów), to podział na poziomy będzie zależał od złożoności emulacji kodu wirusa. Możliwe jest również wykrycie wirusa innymi metodami, na przykład deszyfrowanie przy użyciu podstawowych praw matematycznych itp.

Dlatego wydaje mi się bardziej obiektywny podział, w którym oprócz kryterium masek wirusowych uczestniczą również inne parametry:

Stopień złożoności kodu polimorficznego (procent wszystkich instrukcji procesora, które można znaleźć w kodzie deszyfratora)
Używanie sztuczek anty-emulatorowych
Trwałość algorytmu deszyfrującego
Stałość długości dekodera

Zmiana kodu wykonywalnego

Najczęściej taką metodę polimorfizmu wykorzystują makrowirusy, które tworząc nowe kopie siebie losowo zmieniają nazwy swoich zmiennych, wstawiają puste wiersze lub w inny sposób zmieniają swój kod. Tak więc algorytm wirusa pozostaje niezmieniony, ale kod wirusa prawie całkowicie zmienia się z infekcji na infekcję.

Rzadziej ta metoda jest używana przez złożone wirusy rozruchowe. Takie wirusy wstrzykują do sektorów rozruchowych tylko dość krótką procedurę, która odczytuje główny kod wirusa z dysku i przekazuje mu kontrolę. Kod dla tej procedury jest wybierany z kilku różnych opcji (które można również rozcieńczyć "pustymi" poleceniami), polecenia są przegrupowywane między sobą i tak dalej.

Ta technika jest jeszcze rzadsza w przypadku wirusów plikowych, ponieważ muszą całkowicie zmienić swój kod, a to wymaga dość skomplikowanych algorytmów. Do chwili obecnej znane są tylko dwa takie wirusy, z których jeden („Ply”) losowo przenosi swoje polecenia po swoim ciele i zastępuje je poleceniami JMP lub CALL. Inny wirus ("TMC") używa bardziej skomplikowanej metody - za każdym razem, gdy się infekuje, wirus zamienia bloki swojego kodu i danych, wstawia "śmieci", ustawia nowe wartości przesunięcia dla danych w swoich instrukcjach asemblera, zmienia stałe itp. . W rezultacie, mimo że wirus nie szyfruje swojego kodu, jest wirusem polimorficznym - kod nie zawiera stałego zestawu poleceń. Co więcej, podczas tworzenia nowych kopii samego siebie wirus zmienia swoją długość.

Wirusy według rodzaju destrukcyjnych działań

Według rodzaju destrukcyjnych działań wirusy można podzielić na trzy grupy:

Wirusy informacyjne (wirusy pierwszej generacji)

Tak zwane wirusy pierwszej generacji to wszystkie obecnie istniejące wirusy, których działania mają na celu zniszczenie, modyfikację lub kradzież informacji.

Wirusy sprzętowe (wirusy drugiej generacji)

Ten typ wirusa może uszkodzić sprzęt komputera. Na przykład wymazać BIOS lub go uszkodzić, zakłócić logiczną strukturę twardego fiskusa w taki sposób, aby możliwe było tylko jego przywrócenie formatowanie niskopoziomowe(a nawet wtedy nie zawsze). Jedynym przedstawicielem tego typu jest najniebezpieczniejszy ze wszystkich, jakie kiedykolwiek istniały, wirus Win95.CIH „Chernobl”. W pewnym momencie wirus ten wyłączył miliony komputerów. Usunął program z BIOS-u, wyłączając w ten sposób komputer, a ten sam zniszczył wszystkie informacje z dysku twardego, tak że przywrócenie go było prawie niemożliwe.

Obecnie nie znaleziono żadnych „dzikich” wirusów sprzętowych. Ale eksperci już przewidują pojawienie się nowych wirusów tego rodzaju, które mogą zainfekować BIOS. Planowane jest wykonanie ochrony przed takimi wirusami na każdym płyta główna specjalne zworki blokujące zapis do BIOS-u.

Wirusy psychotropowe (wirusy trzeciej generacji)

Wirusy te są w stanie zabić osobę, wpływając na nią przez monitor lub głośniki komputera. Wirusy psychotropowe, odtwarzając określone dźwięki, daną częstotliwość lub pewne migotanie różnych kolorów na ekranie, mogą powodować napad padaczkowy (u osób podatnych na to) lub zatrzymanie akcji serca, krwotok mózgowy.

Na szczęście do tej pory nie wiadomo o prawdziwym istnieniu takich wirusów. Wielu ekspertów kwestionuje ogólne istnienie tego typu wirusa. Ale jedno jest pewne. Technologie psychotropowe zostały wynalezione od dawna, aby wpływać na człowieka za pomocą dźwięku lub obrazu (nie mylić z ramą 25). Bardzo łatwo jest wywołać napad padaczkowy u osoby podatnej na to. Kilka lat temu w niektórych mediach pojawił się szum o pojawieniu się nowego wirusa o nazwie „666”. Wirus ten po każdych 24 klatkach wyświetla na ekranie specjalną kombinację kolorów, która może zmienić życie widza. W rezultacie osoba wchodzi w trans hipnotyczny, mózg traci kontrolę nad pracą ciała, co może prowadzić do bolesnego stanu, zmiany trybu pracy serca, ciśnienia krwi itp. Ale dzisiaj kombinacje kolorów nie są zabronione przez prawo. Mogą więc pojawiać się na ekranie całkiem legalnie, choć skutki ich oddziaływania mogą być dla nas wszystkich katastrofalne.

Przykładem takiego wpływu jest kreskówka „Pokemon”, po pokazaniu jednego z seriali w Japonii setki dzieci trafiły do ​​szpitali z okropnym bólem głowy, krwotokiem mózgu. Niektórzy z nich zginęli. W kreskówce były ramki z jasną generacją określonej palety kolorów, z reguły są to czerwone błyski na czarnym tle w określonej kolejności. Po tym incydencie zakazano wyświetlania tej kreskówki w Japonii.

Można podać jeszcze jeden przykład. Wszyscy chyba pamiętają, co wydarzyło się w Moskwie po transmisji meczu pomiędzy naszą drużyną piłkarską a reprezentacją Japonii (o ile się nie mylę). Ale na dużym ekranie pojawił się tylko film pokazujący, jak mężczyzna z kijem zmiażdżył samochód. Jest to również efekt psychotropowy, widząc w filmie „ludzie” zaczęli niszczyć wszystko i wszystkich na swojej drodze.

Materiały i dane zaczerpnięto z zasobów:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.viruslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info

• Aby dodawać komentarze, zaloguj się lub zarejestruj

Zanim zacząłem pisać ten artykuł, spotkałem się z jednym z założycieli krajowej branży antywirusowej, Jewgienijem Kasperskym, który przekazał mi pewne dane na temat stanu rosyjskiego i światowego rynku antywirusowego. Rozmawiałem również z Maximem Skidą, przedstawicielem słynnej firmy antywirusowej DialogNauka, menedżerem ds. pracy z dużymi klientami. Z rozmowy dowiedziałem się o ciekawym fakcie – okazuje się, że branża antywirusowa niedługo będzie świętować swoją pierwszą dekadę.

Oczywiście antywirusy pojawiły się ponad dziesięć lat temu. Jednak początkowo były one rozprowadzane jako darmowe antidotum. Nie było odpowiedniego wsparcia dla usługi, ponieważ projekty miały charakter niekomercyjny. Jako branża usługa tworzenia i dostarczania programów antywirusowych ukształtowała się około 1992 roku, a nie wcześniej, co oznacza, że ​​wkrótce będzie obchodzić swoje dziesięciolecie. Dziesięć lat na narodziny i rozwój całej branży z obrotem setek milionów dolarów to bardzo krótki okres. W tym czasie pojawił się zupełnie nowy rynek, powstała pewna lista produktów, pojawiło się tyle nowych terminów, że wystarczyłoby na całą encyklopedię. Należy zauważyć, że czasami niedoświadczonemu użytkownikowi trudno jest nawet odróżnić termin naukowy od nazwy handlowej. Oczywiście, aby korzystać z programów antywirusowych, nie trzeba znać wszystkich szczegółów struktury i zachowania wirusów, ale mieć ogólne pojęcie o tym, jakie główne grupy wirusów utworzyły się dzisiaj, jakie są zasady osadzone w algorytmach złośliwego oprogramowania oraz podział światowego i rosyjskiego rynku antywirusowego, przyda się dość szerokiemu gronu czytelników, do których adresowany jest ten artykuł.

Dziesięć lat rozwoju rynku antywirusowego w Rosji

Jak już wspomniano, rynek antywirusowy żyje w przededniu swojej dekady. To właśnie w 1992 roku powstał DialogNauka CJSC, co zapoczątkowało aktywną promocję słynnego programu Lozinsky Aidstest na rynku krajowym; od tego czasu Aidstest jest dystrybuowany na zasadach komercyjnych. Mniej więcej w tym samym czasie Jewgienij Kaspersky zorganizował mały dział handlowy w KAMI, który początkowo zatrudniał trzy osoby. Również w 1992 roku McAfee VirusScan szybko podbijał rynek amerykański. W Rosji rynek rozwijał się wówczas dość powoli i przynajmniej do 1994 r. (rys. 1) obraz wyglądał mniej więcej tak: dominującą pozycję zajmowała DialogNauka (około 80%), Kaspersky Anti-Virus posiadał mniej niż 5 % rynku, cała reszta - kolejne 15% rynku. W 1995 roku Jewgienij Kaspersky przeniósł swój program antywirusowy na 32-bitowe platformy Intela Windows, Novell NetWare i OS/2, w wyniku czego produkt zaczął być aktywnie promowany na rynku.

Różnorodne programy o podwójnym przeznaczeniu to blokery behawioralne, które analizują zachowanie innych programów i blokują je w przypadku wykrycia podejrzanych działań.

Blokery behawioralne różnią się od klasycznych antywirusów rdzeniem antywirusowym, który „rozpoznaje” i leczy wirusy, które zostały przeanalizowane w laboratorium i dla których przepisano algorytm leczenia, blokery behawioralne różnią się tym, że nie mogą leczyć wirusów, ponieważ nic o nich nie wiedzą. Ta właściwość blokerów jest przydatna, ponieważ mogą działać z dowolnymi wirusami, w tym nieznanymi. Jest to szczególnie prawdziwe dzisiaj, ponieważ dystrybutorzy wirusów i antywirusów korzystają z tych samych kanałów transmisji danych, czyli Internetu. W tym przypadku wirus zawsze ma przewagę (czas opóźnienia), ponieważ firma antywirusowa zawsze potrzebuje czasu, aby sam pobrać wirusa, przeanalizować go i napisać odpowiednie moduły leczenia. Programy z grupy dwufunkcyjnej pozwalają tylko blokować rozprzestrzenianie się wirusa, dopóki firma nie napisze modułu leczenia.

Algorytm „suma kontrolna”

Algorytm sumy kontrolnej zakłada, że ​​działania wirusa zmieniają sumę kontrolną. Jednak synchroniczne zmiany dwóch różnych segmentów mogą spowodować, że suma kontrolna pozostanie taka sama po zmianie pliku. Głównym zadaniem konstruowania algorytmu jest zapewnienie, że zmiany w pliku na pewno doprowadzą do zmiany sumy kontrolnej.

Metody wykrywania wirusów polimorficznych

Na ryc. 6 przedstawia działanie programu zarażonego wirusem (a) oraz programu zarażonego zaszyfrowanym wirusem (b). W pierwszym przypadku schemat wirusa jest następujący: program jest wykonywany, w pewnym momencie kod wirusa zaczyna być wykonywany, a następnie program jest wykonywany ponownie. W przypadku zaszyfrowanego programu wszystko jest bardziej skomplikowane.

Program jest wykonywany, następnie włączany jest dekoder, który odszyfrowuje wirusa, następnie wirus jest przetwarzany i ponownie wykonywany jest kod programu głównego. Kod wirusa w każdym przypadku jest zaszyfrowany inaczej. Jeżeli w przypadku wirusa niezaszyfrowanego porównanie referencyjne umożliwia „rozpoznanie” wirusa po jakiejś stałej sygnaturze, to w postaci zaszyfrowanej sygnatura nie jest widoczna. Jednocześnie poszukiwanie dekodera jest prawie niemożliwe, ponieważ jest on bardzo mały i nie ma sensu wykrywać tak zwartego elementu, ponieważ liczba fałszywych alarmów gwałtownie wzrasta.