Отиди на
Форум "Наука"

Recommended Posts

  • Глобален Модератор
Публикува (edited)

Видове вируси и техните действия

Компютърният вирус е програма, която се размножава и разпространява като атакува други програми. Това се извършва без знанието и разрешението на потребителя. Компютърният вирус е програма, която е създадена с възможност да се размножава сама като заразява други файлове. Когато става дума за буут сектор (boot sector) вируси, тогава е заразен сектора за първоначално зареждане на операционната система на флопи или твърдия диск. Въпреки, че основната функция, която определя вирусите, е това, че се размножават, повечето от тях са опасни, тъй като съдържат код, който поврежда информацията в компютъра. Първият компютърен вирус е бил открит през 1986 г. и оттогава до сега в света са регистрирани няколко десетки хиляди вируса. В повечето случаи само малка част от тях са активни и опасни, тъй като съвремените антивирусни програми до голяма степен предпазват потребителите от новите компютърни вируси, като предлагат комбинирана защита от Интернет червеи, вируси и троянски коне.

Когато инфектираната програма е стартирана, вирусът извършва действие, което може да бъде:

1. Дразнещо – показване на съобщение на определена дата, забавена производителност на системата, промяна на резолюцията на екрана, издаване на странни звуци и др.

2. Фатално – изтриване на файлове, кражба на лични данни, сриване на системата и др.

Зловредният софтуер се разпространява чрез прикрепени към имейли файлове; чрез P2P, LAN, WAN мрежи; чрез линкове към инфектирани сайтове, файлове и др.

Не всички зловредни програми са вируси. Ето някои по-известни:

1. Червеи – Червеят е програма, която се размножава, но не инфектира други програми. Той заразява компютри независимо дали са част от мрежа или не. Червеят се копира от и на флопи дискети, CD, DVD, Blu-Ray и "флашки", както и на различни дялове на хард диска. Ако заразеният компютър е част от мрежа, той може да инфектира и другите компютри в нея. Червеите често крадат и унищожават данни и се разпространяват основно чрез Интернет. За разлика от вирусите, компютърните червеи са злонамерени програми, които сами се копират от една система в друга, вместо да заразяват файловете, разположени в компютъра. Например червей, който се разпоространява масово по електронната поща (mass-mailing email worm) изпраща копия до всички адреси за електронна поща, които може да открие записани в заразения компютър. Мрежовият червей се копира и разпространява по мрежата, Интернет червея се разпространява чрез Интернет и т.н. За да се предпазите от този вид вируси е необходимо никога да не отваряте прикачени файлове, които получавате неочаквано.

2. Троянски коне – Троянският кон е зловредна програма, която е скрита в безобидна такава. Когато тази програма бъде стартирана, се стартира и троянският кон, за да изпълни определена задача. Троянските коне могат да откраднат лична информация (пароли, потребителски имена), да изтрият файлове, да форматират твърдия диск и др. Троянският кон може да е наскиран като програма, която се инсталира, за да върши нещо напълно нормално (напр. да изпълнява mp3 музика, но всъщност прави нещо злонамерено (напр. изпраща номерата на въведените кредитни карти на зададен email адрес). Троянците, често са използвани, за да се получи таен достъп до системата, на която са инсталирани, т.е. някой отдалечено да контролира компютъра Ви. Троянските коне не се размножават като вирусите и не се разпространяват като червеите. За разлика от компютърните вируси, на троянските коне не е нужна програма-домакин, те самите са самостоятелно приложение. Веднъж изпълнени, те изкривяват нужните им системни функции към свои собствени handler-и. Забавят локалния компютър и имат всички странични ефекти и проявления на вирусите. Проблемът при тях идва, ако компютърът е включен в мрежа от локален или глобален тип. Има троянски коне, които отварят специална мрежова услуга, която може да се използва от недобросъвестни потребители за достъп до машината от разстояние. В зависимост от хардуерните възможности на системата и софтуерните възможности на троянския кон е възможно дори подслушване на разговорите и запис на обстановката в реално време на мястото, на което се намира компютъра. Често срещана е и комбинация на троянски кон и вирус, поради което антивирусните програми сканират и за този вид програми.

3. Droppers (контейнери) – "Контейнерът" е такава програма, която е създадена да преодолее антивирусната защита на компютъра - обикновено чрез криптиране, което пречи на антивирусната програма да го засече. Тя се спотайва в компютъра до настъпването на определено събитие и тогава го инфектира с вируса, който съдържа, т.е. тя действа като „контейнер за вируси". Оттам идва и наименованието й.

4. Бомби – Бомбата е вреден скрипт или програма, която се задейства при изпълнението на определени условия. Някои бомби се активират на определени дати като използват системния часовник. Например, бомбата може да бъде програмирана да изтрие всички *.doc файлове на Нова година. Друга бомба може да изчака да бъде отворена за 17 път и тогава да се задейства. Логическите бомби са специален вид троянски коне, които се активират в точно или приблизително определен момент от време или изпълнението на някакво външно условие.

Вирусите могат да се разпространяват чрез „контейнери" или да се размножават като червеите. Могат да атакуват като троянските коне, като се прикачат към други програми. Затова те са и най-опасни.

Вирусите се делят на няколко вида:

1. Boot секторен вирус – Този тип вируси инфектира boot записа на хард диска. Отначало той премества или презаписва оригиналния boot запис като го заменя с инфектиран. Преместеният оригинален запис се записва в сектор, който вирусът маркира като повреден, за да не се използва повече (антивирусните приложения няма да го сканират, защото е повреден). За да се заразите с такъв вирус трябва да стартирате компютъра си от инфектирана дискета, CD, DVD, Blu-Ray, флашка или друг носител на данни. При проверка на boot сектора, вирусът заблуждава антивирусната програма като я насочва да сканира чистото копие вместо заразеното. Този вид вируси се активират след когато системния loader прочете boot сектора от външната памет и го изпълни. При опит за конвенционален достъп до boot сектора често се прилагат stealth техники и операцията бива пренасочена към предварително запазения оригинален boot record. Към boot секторните вируси спадат и Partition table (MBR) вирусите. Разпространяват се само по твърдите дискове.

2. Файлов вирус – Това е един от най-разпространените видове вируси. Тези вируси търсят файлове с определено разширение (обикновено изпълними файлове като *.com и *.exe) и ги инфектират. Когато програмата бъде отворена, вирусът се стартира и инфектира още файлове. Тези вируси се нуждаят от програми домакини. Подобно на биологичните вируси, които се размножават в определени клетки домакини, тези вируси могат да съществуват само в така наречения host-софтуер. За тази цел те използват стартируемите файлове. В отделни случаи, според операционната система, ролята на домакин може да играят overlay и рядко swap файлове. Файловете с данни се нападат от малко вируси. Наред с изброените файлови вируси съществува и голямо количество от други файлови вирусни видове. Те също са смесени форми и се срещат доста по-рядко.

* Compiler и Link вируси - Те използват друг метод за манипулация. Докато досега изброените видове нападаха само изпълними файлове, то тези нападат source кода. Затова и те са специализирани за точно определен програмен език и версия. Обикновено се гнездят в някоя от файловите библиотеки и при свързването се сглобява с останалите модули. Отстраняват се лесно, поради това, че се намира в отключен source код.

* Source вируси – в същността си са идентични със compiler и link вирусите, но за разлика от тях се мултиплицират единствено и само директно в source кода на програмата. Поради същността си са приложими само за интерпретативните езици като Lisp, Prolog, XL…

* XP и AI вируси – Хипотетичното им откриване става още през 1987. Свързани са с експертните системи от високо ниво и изкуствения интелект. Става дума за софтуер, който решава поставените му задачи не на основата на програмни процедури, а на база знания и логически механизъм за извличане на информация. В рамките на тези системи се приемат така наречените метаправила, които не оперират с помощта на файлове. Някои правила са в състояние да модифицират синтактично други правила. При определени обстоятелства може да се активира вирусен механизъм, който да прикачи своя вирулентен код към други правила. Този вид вируси не могат да повредят файловата система или да повлияят на хардуера на компютъра, но могат да изменят резултата, който експертната система връща, като по този начин да повлияе съдбоносно в определени ситуации.

3. Макро вируси - Тези вируси използват специални програми и поддържаните от тях файлове, за да се размножават. Макро вирусите обикновено заразяват файлове на MS Excel, но могат да инфектират и други файлове, които използват програмен език. Те не инфектират програми. Когато бъде отворен заразен документ, вирусът се разпространява и на други документи. Макро вирусите могат да нанесат големи поражения на документите, които се съдържат в заразения компютър. Неприятното е, че могат да се разпространяват между различни операционни системи. Макро вирусите са написани на езици за програмиране (например VisualBasic, които се поддържат от някои продукти като Microsoft Excel и Microsoft Word. Макросите са малки програмки, които са включени в даден документ, за да извършват автоматично някои действия за потребителя (например бързо пресмятане на дадена формула по зададени стойности) . Макро вирусите са често срещана форма на вирусна зараза, която е надмината само от Интернет червеите, поради по-лесното им разпространение. Както при всеки друг вирус, и при макро вирусите има голяма опасност от загуба на данни. Въпреки, че досега Microsoft са въвели няколко форми на защита срещу нежелано изпълнение на макроси, тази форма на вируси е масово разпространена. Най-често макро вирусите заразяват така наречения "глобален шаблон" (global template - например Normal.dot в Word, за да се разпространят във всички други документи в компютъра.

4. Полиморфични вируси - Тези вируси променят своя код с всяка инфекция, което ги прави трудни за засичане.

5. Мулти-полиморфични вируси - Те инфектират boot записи и изпълними файлове. Тези вируси могат да комбинират предимствата на полиморфичните и стелт вирусите.

6. Стелт вируси - Лесно избягват сканиранията на антивирусните програми (чрез криптиране на програмния си код или се крият в паметта) и им пречат да открият промените в заразените от тях файлове, като им предоставят стари данни за същите файлове. Това ги прави трудни за засичане. Тези вируси притежават някои специални техники за прикриване, което прави откриването им доста сложно. Някои вируси от този вид се разпространяват най-напред в компютърната система и по-късно се отдалечават самостоятелно, за да заразят нови програми. Други типове се репродуцират до един майчин вирус, за да могат след това да се активират. Стига се до създаването на вирусни семейства, елементите на които поединично не застрашават системата, но събрани заедно изграждат вируса-майка. Почти винаги кода на stealth вирусите е алгоритмично заключен, като шифърът се променя при всяка мултипликация на вирусния код. В допълнение на това, някои резидентни stealth вируси употребяват защитни техники, които правят невъзможно конвенционалното търсене, като проверка на контролните суми. Те могат да се снемат от оперативната памет.

7. Презаписващи вируси - Това е най-простата форма на вирус. При тях първоначалната програма или част от нея се презаписват от вируса. По този начин се разрушава оригиналната функция на програмата. От гледна точка на автора на вируса това е недостатък, тъй като заразяването се открива твърде бързо. Така вирусите се откриват лесно и се изолират. Има обаче програми, които въпреки презаписването работят безупречно. Това се постига, като вирусът записва своя код не в началото на програмата домакин, а в малко употребявани части, например в подпрограмите за обработка на грешките. В този случай обаче вирусът трябва да познава точно заразяваната програма, което при стандартния софтуер не е проблем.

8. Непрезаписващи вируси - В противоположност на презаписващите вируси, при непрезаписващите функцията на оригиналната програма остава запазена. Най-често кодът се прилепя към края на програмата. В случаите, когато вирус от този вид се копира в средата на програмата, първоначалната част на програмата домакин се копира в края. Всичко това се свързва със старата част посредством команди за преход. След инфекцията се създава нов изпълним файл. При него най-напред се изпълнява вирусния код и чак тогава - същинската програма.

9. Системни вируси - Системните вируси са особено коварни, тъй като се настаняват в паметта още при зареждането на операционната система. По този начин те имат възможност да прилагат въздействието си върху всички действия на операционната система.

10. Live-and-Die и Seek-and-Hide вируси - Тук става дума за вирусни програми, които се задържат определено време в дадена програма или система и от време на време напускат нападнатия софтуер. Това ги прави особено коварни и трудни за откриване, но един път локализирани и проучени те се отстраняват лесно.

11. Вируси, нападащи командния интерпретатор - Тези вируси нападат програмата, която се грижи за потребителския интерфейс към операционната система. Тази част се нарича команден интерпретатор и служи за анализиране на въведените от потребителя команди и стартира съответните handler функции и процедури. Потребителя нормално няма възможност за контрол над приложенията преди зареждането на shell-а и следователно вирусът вече е зареден и има възможност да се прикрие. Затова при чистенето на този вид вируси е от изключителна важност да се разполага с гарантирано чисто копие на операционната система, под която работи компютъра.

12. Драйверни вируси - Този тип вируси използват кода на драйверните програми за периферните устройства, за да се разпространяват оттам и върху други файлове. Те нямат разлика с обикновените файлови вируси и затова специално разграничение не е необходимо.

13. Mailbox вируси - Този вид вируси имат изграден афинитет към мрежовите daemon-и, по-специално към тези, отговарящи за електронната поща. Веднъж заразени, всяка програма пренесена през тях бива заразена и чак тогава се пренася по трасето. Трябва да се обърне внимание на това, че се заразява както изходния, така - и входния трафик.

---

1.Armored ("бронирани")

Тези вируси разполагат със сложни техники за прикриване като шифриране и преместване на вирусния код, за да се избегне откриването и премахването им.

2.Boot - sector infector (BSI)

Тези вируси инфектират сектора за начално зареждане на дискове. Вируси, които заразяват главния запис за начално зареждане (Master Boot Record - MBR), може да инфектират сектора за зареждане на дискети. Ефективното премахване на вируси BSI се осъществява с форматирането на заразения диск. Вируси на MBR не може да бъдат премахнати с форматиране на диска. Boot sector вирусите се разпространяват чрез заразени флопи-дискове. Това обикновено се случва, когато потребителя остави дискета във флопи-дисковото устройство. Когато системата се стартира следващия път, компютърът се опитва първо да зареди от флопито. Ако дискетата е заразена с boot sector вирус, то той ще се запише в boot sector-а на твърдия диск. За да предпазите компютъра си от boot sector вируси, е добре да промените настройките в CMOS така, че да позволяват зареждане на операционната система само от твърдия диск - C:\, но не и от флопито - A:\.

3.Encrypting (шифрирани)

Някои вируси използват шифриране на данни или само шифриране, както се забелязва при полиморфните вируси. Вирусът Monkey заразява основния запис за начално зареждане на твърди дискове и шифрира данните за дялове (partition) на устройството. Файловете на това устройство може да бъдат разглеждани само когато вирусът е зареден в паметта , за да дешифрира данните на твърдия диск. Премахването на вируса Monkey отстранява и възможността за разчитане на шифрирани данни за разпределяне на диска., което на практика изтрива съдържанието на устройството. Вируси като Monkey трябва да се отстраняват с помощта на специални инструменти и техники.

4.File (файлови)

Този тип вируси инфектират файлове например изпълними (.exe) програми или документи (.doc) на Microsoft Word. Когато бъде отворен заразен файл или е стартирана заразена програма, вирусът се изпълнява заедно с инструкциите в съответния файл. "Заразите" на документите на Microsoft Word са познати като "макро вируси". Определени типове файлове като например изображения (JPEG, GIF) или филми (MPEG) не са изпълними и не може да пренасят зараза. Но, от друга страна, някои вируси се маскират като такива "безопасни" файлове, например - JPEG, за да проникват безпрепятствено в системата. Файловите вируси заразяват изпълними файлове, чрез вмъкване на код в някои части на оригиналния файл така, че този код да може да се изпълнява, когато някой се обърне към оригиналния файл. В някои случаи файловите вируси могат да надпишат цял файл или да изтрият оригинала и да създадат вирусно копие със същото име. Файловите вируси винаги имат за своя цел операционната система (Windows, UNIX, Macintosh, DOS и др.). Надписването на цели файлове води до пълна и невъзвратима загуба на оригиналните данни.

5.Macro (макро вируси)

Макро вирусите може да се изпълняват само в програми, които поддържат макроси. Microsoft Word и Microsoft Excel са най - често използваните програми за заразяване с макро вируси, създавани на Visual Basic for Applications или WordBasic. От появата на първия макро вирус през 1995 г. - Concept, макро вирусите започват стремително разпространение. Днес те са преобладаващия тип вируси "на свобода".

6.Master Boot Record (MBR)

Всички твърди дискове съдържат главен запис за начално зареждане (Master Boot Record - MBR), към който се обръща компютърът при стартиране. MBR вирусите заразяват този запис на твърдия диск с вирусен код, когато системата зареди от заразена дискета. Често срещан начин на заразяване е когато потребителят забрави заразена дискета във флопидисковото устройство при изключване на компютърът. Следващия път, когато включи компютъра, той се опитва да зареди операционната система от дискетата, като заразява твърдия диск с вируса MBR. Впоследствие вирусът се изпълнява заедно с нормалния код на MBR всеки път когато системата се зарежда от вече заразения твърд диск. После вирусите MBR се опитват да заразят секторите за начално зареждане на дискети и дискове, когато бъдат използвани. MBR вирусите не се отстраняват от диска в процес на форматиране. Тъй като MBR се намира на различно място в диска, един вирус MBR трябва да бъде премахван с инструмент като FDISK или като системата се зареди от чиста стартова дискета, преди да бъде използвана антивирусна програма.

7.Polymorphic (полиморфни)

Както подсказва името им ("поли" - много и "морфос" - форма), полиморфните вируси съдържат сложни инструкции, които позволяват на вирусите да мутират в нови и различни форми в рамките на същото семейство вируси. Разкриването на добре програмиране полиморфни вируси е изключително трудно. Новите евристични методи подпомагат откриването и премахването на нови и по - рано неоткриваеми полиморфни вируси на свобода. За съжаление евристичните методи понякога отчитат лъжливи "положителни" резултати или неправилно разпознаване, когато търсят "подобен на вирус" код. Полиморфните вируси променят кода си, за да се избегне откриването им от антивирусните програми. Полиморфният вирус се прекодира или се променя всеки път, когато се записва. Това прави възможността за възникване на негови вариации много голяма.

8.Stealth (скрити, прикрити, потайни)

Тези вируси се опитват да скрият присъствието си на заразената система, така че да могат да се репродуцират и да останат неразкрити дълго време. Прикритите вируси могат да прихващат системни съобщения за проверка и да ги връщат обратно с отчет за незаразен документ, като така препятстват разкриването им. Налични са няколко добре познати, но рядко срещани експертни техники за прикриване, които включват "брониране", "дълбане" и "тунелиране". Стелт вирусите се опитват да се скрият и да не могат да бъдат открити. Един от методите за това е пренасочването на повикванията направени към заразения файл. Например, вирусът може да стои в паметта, и само когато бъде направена заявка за писане върху дискета, той да се активира. Създателите на вируси винаги са се стремили да предпазят своите творения от идентифициране и елиминиране чрез антивирусни програми. Най-простите методи за прикриване са блокирането на някои сектори, маркирани като физически повредени. По-сложните методи прилагат подобрени начини за маскиране, както и възможности за симулиране на неадекватни състояния. Тези прости средства за самозащита се реализират чрез допълнително включване на подпрограма за шифриране. Тя привежда преди активизиране шифрирания вирусен код в изпълнима форма. По този начин се затруднява идентифицирането от антивирусната програма, поради невъзможността да бъде открит явен отключен символен низ. Върховите постижения засега включват динамична промяна на ключа, метода, дори и алгоритъма на шифроване и изпълнение на вирусната програма. Този процес се нарича мутиране на вирулентният код и прави почти невъзможно откриването и дезинфектирането. Всичко това в комбинация на антитрасиращи методи и наличието на голямо количество дезинформация, пренасяна и променяна динамично в кода на вируса го прави изключително опасен.

9.Terminate and stay resident (TSR)

Тези вируси за DOS се зареждат в паметта, когато бъдат стартирани, независимо че първоначално приела ги програма може да е прекратила работата си. След първоначалното заразяване много TSR вируси са създадени така, че да се зареждат в паметта при всяко стартиране на системата.

10.Tunneling (тунелиране)

Такива вируси могат директно да викат оригиналните манипулатори на прекъсване (interrupt handlers) в DOS и BIOS, като заобикалят програмите за мониторинг, които се изпълняват с цел откриване на вирусна активност. Интересното в случая е, че някои антивирусни програми също използват техника на тунелиране, за да заобикалят вируси, които евентуално се изпълняват в паметта.

11.Multipartite (многокомпонентни)

Многокомпонентните вируси се опитват да се разпространят с голяма скорост, като заразяват по -няколко различни начина едновременно. Най-честия прийом на многокомпонентните вируси е да заразяват както програми, така и главния запис за начално зареждане. Този тип вируси често се разпространяват успешно на свобода, но по принцип са рядкост.

12. Малуер (Malware)/Грейуеър (Grayware)

Злонамереният код, като вирусите, червеите или троянските коне, се нарича понякога "малуер" (злосторен софтуеър) или "грейуеър" (сив софтуер).

---

Какви са видовете вируси и как работят?

Видовете вируси са няколко основни с множество от подвидове. В тази версия са описани 30 вида вируси и 8 вида вирусоподобни програми. Често вирусите представляват няколко от тези "видове" събрани в един вирус.

Пример: резидентни и Stealth едновременно или други качества като често пъти са по много. Комбинациите между тези "видове" е най-коварното при вирусите.

Вирусите са написани като изпълним код който се самозаписва някъде из програмата като модифицира програмата да изпълнява този код или кода се записва с стартовите сектори на дискетите или харддиска за да се изпълни.

Така вирусът става активен и нанася своят удар върху софтуера. Има и вирусоподобни програми които помагат на вирусите. За тези програми прочетете в раздела вирусоподобни програми по-късно в тази точка.

Резидентни - те остават резидентни в паметта така както остава някой драйвер (до изключването или рестартирането на компютъра). От паметта вируса може да се размножава и да смущава работата на компютъра и да поврежда файлове и цели програми.

Boot - тези вируси се самокопират в зареждащия сектор на дискетите и на харддиска като копират системните файлове (ако харддиска е системен или дискетата е системна) на друго място на дискетата или на харддиска. Така при опит да се зареди от заразената системна дискета вирусите се зареждат успоредно с ОС нанасят своите удари върху софтуера

Вируси с директно действие - са вируси които се стартират нанасят своят удар върху софтуера и се "самоизключват", но остават като инфекция

----------------------------------------------------------------------------------

Stealth - вирусите са най - коварните защото те причиняват големи щети и остават резидентни в RAM. Те още прикриват симптомите на вирусната инфекция и взаимодействат с различни антивирусни програми като принуждават програмата да каже че няма вируси. Тези вируси не показват промени по размерите на файла който са инфектирали което ги прави трудни за засичане и обезвреждане! Самият вирус лесно се укрива и трудно се премахва. Секторите от харддиска и/или дискетата където е записан оригинала на вируса се маркират като лоши (механично повредени) въпреки че не са повредени по никакъв начин. Всички антивирусни програми който проверяват харддиска или дискетите "виждат" маркираното - "лош сектор" и го прескачат и не засичат вируса. Друга мярка за защита е заетата техника от полиморфичните вируси на самопроменящ се код на вируса за допълнителна самозащита

Макровируси - вируси специално написани на "Word macro language" и на "Visual Basic Macro language" като създават отделни макроси - вируси. Тези вируси често предизвикват правописни и стилистични грешки по текстовете на "WinWord"; "MacWord"; "DosWord" а също и по таблиците на "DosExcel", "WinExcel и "MacExcel" . Тези вируси не правят разлика между отделните версии на Word и Excel. Макро вирусите се пренасят като макроси по документи и таблици със записани макроси. Стартирането на макросите стартира и макро вирусите. Макро вирусите нападат първо файла Normal.dot (когато става дума за Word) или Normal.xlt (когато става дума за Excel), а после и всеки отворен документ

Логическите вируси - предизвикват не само множество щети но предизвикват и много логически грешки по време на работа. Те се активират ако определени условия се изпълнят правилно

Time-bomb - вирусите са вируси с назначена дата на активиране. Ако попаднат в компютъра преди датата на активирането им те само се размножават без да предизвикват повреди. На датата на активирането или след нея вирусите се активират и нанасят своят удар. Пример за такъв вирус е CIH (т.нар. Чернобил), който се активира на 26-ти април

MBR (Master Boot Record) - вирусите работят на принцип близък на Boot вирусите. С тази разлика че те не копират системните файлове а се "смесват" с тях и ги модифицират за да приемат вируса като част от тях което прави невъзможно премахването им. Когато от заразен системен харддиск или заразена от системна дискета, се зарежда ОС, вирусите се зареждат отново успоредно с ОС и нанасят своят жесток удар върху софтуера

BIOS вирусите - това са тези вируси които освен че причиняват щети правят и промени по BIOS-a на компютъра или се записват там. Най-честите промени са свързани с флопитата често се обявява че флопитата не са инсталирани и компютъра не може да ги използва. Разбира се и често пъти вирусите така разбъркват данните от BIOS-а че компютърът не може да се стартира. Вирусите причинили всякакви промени промени по BIOS-a не позволяват нормалното преконфигуриране Трети вируси се самозаписват в BIOS-a и се самостартират от там още преди ОС да е заредена. Борбата с тези вируси е най-сложна защото те контролират целият хардуер и софтуер

Размножаващи се - тези вируси само се размножават без да причиняват никакви повреди и каквито и да било други щети и последици

--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Joke programs - всъщност те не са вируси, а шегаджийски програми които се разпространяват като вирусите. Тези програми не причиняват никакви щети. Те само извеждат глупави съобщения и още по-глупави шеги

Virus creating tool viruses - не са вируси, а инструменти за създаване на вируси в големи количества. Вирусите, създадени от тези инструменти обикновено са шифровани и лесно засечими както и лесно отстраними

ANTI-VIRUS viruses - не са вируси, а антивирусни програми които се разпространяват като вирусите и обикновено са блок за самотестване срещу вируси. Желателно е да не ги допускате по диска (дисковете) и дискетите си

Хардуерните вируси са вируси които спъват работата на хардуера по всякакви начини: симулирайки хардуерни проблеми, механически повредени сектори, по дисковете и дискетите, повреди по тях, провалят тестовете на дисковите контролери и принуждавайки компютъра да не работи с дадени компоненти от хардуера. Вируса FireBurn е точно такъв с цел самосъхранение блокира клавиатурата и мишката

COM вирус е този вирус който напада и заразява само * .СОМ файлове

ЕХЕ вирус е този вирус който напада и заразява само * .ЕХЕ файлове

СОМ/ЕХЕ - вирус е този вирус който напада и заразява както * .СОМ, така и файлове и * .ЕХЕ файлове

Суматорните вируси са предвидени да събират и закръглят стойности, предизвиквайки много големи бъркотии. Започвайки от най-ниските нива на Excel и стигат до най-високите нива на счетоводни и ведомствени и подбанкови и банкови нива и функции. Тези вируси могат да объркат сметки, подменят стойности и резултати и знаци в зависимост от индентификацията на дадено действие и сумите и вида на стойностите. Често тези вируси вкарват в обръщение неверни стойности представяйки ги за верни, както и да отхвърлят верните стойности като ги представят за грешни.

Псевдорутерните са вируси които само смущават трансфера на данни като предизвикват частични задръствания по мрежите и трансферните линии. Попаднали на подходящо устройство или в главният компютър на мрежа те започват да се размножават и да предизвикват тотални задръствания по мрежите и трансферните линии и препращат информацията по различни вектори където тя се губи. E-mail и локалните мрежи са главното им поле на действие

Информационни замърсители са вируси с функций като на псевдорутерните, само че за да предизвикат тотално задръстване и объркване на мрежите и на трансферните линии не е необходимо да са в главен компютър или устройство, а където и да било по мрежата и устройствата. Често тези вируси пращат пратка на адрес различен от този който потребителя е посочил или обявяват съществуващ адрес в мрежа за невалиден или ако се набере грешен адрес вирусите го приемат за валиден и пращат информацията в различни вектори на трансфер където тя се губи.

Полиморфните вируси са много трудни за засичане, идентифициране и премахване защото те постоянно променят своят код. Няма два еднакви кода на един и същ полиморфичен вирус който е способен да направи хиляди самомодификации с цел да се самопредпази от антивирусните програми. Принципа на полиморфията при вирусите е всяко копие да се кодира различно.

Биокомпютърните вируси са много интересни. Те представляват нещо като един вирус разделен на две "половини", които са програмирани да се търсят взаимно (една-друга) и когато се открият да се съединят и да образуват вируса. Всяка (коя да е)"половина" поотделно е безобидна но ако двете се съберат заедно, вируса се образува и се активира и нанася своят удар по софтуера.

Бинарни вируси са вирусите които са написани на машинен език и също като биокомпютърните вируси са в две части, които взаимно се търсят една друга. Това че са написани на машинен език ги прави малки и трудно засечими.

RAM вирусите са вируси които само се размножават и седят в оперативната памет (RAM) и окупират голяма част от нея и не се улавят от антивирусните програми, които сканират RAM за резидентни вируси. Те не причиняват никакви щети но бързо и лесно се размножават. Тези вируси също често пъти заставят програмата да не стартира и да изведе съобщение за не достатъчно RAM-паметта, въпреки че компютъра в повечето случай има достатъчно количество RAM-памет за да изпълни програмата

Companion вирусите са вируси които са нещо средно между шегаджийските програми (joke programs), RAM-вирусите и размножаващите се вируси. Този тип вируси се записват в началото на програмата и при нейното изпълнение вируса задава някакъв въпрос. при правилен отговор вируса стартира програмата. При грешен отговор вируса или блокира компютъра или го рестартира

Вируси убийци - по непотвърдени данни съществува и такава категория вируси. Те не повреждат данни или каквото и да било друго, но убиват оператора. Такъв вирус са използвали в КГБ като крайна мярка на защита на компютрите им през студената война. Вируса се е казвал 666 и е обърквал до такава степен мозъчните вълни че е причинявял невероятно главоболие и смърт. Много любопитни хакери, кракери и американски експерти и програмисти са се опитвали да откраднат вируса но никой още не е успял...

FAT Scrabmlers - тези вируси така разбъркват двете копия на FAT че всичко записано на диска става негодно за каквито и да е манипулации. Двете Копия на FAT се разбъркват Всяко по различен начин с цел максимални щети. Няма Друг изход освен Форматиране от BIOS и след това предформатна подготовка с FDISK и повторно форматиране с Format /u /c /s

Java вируси - това са вируси които могат да заразяват само Java програми и заразяват всякакви компютри и операционни среди защото се стартират не от ОС а от браузера

Е - Mail вируси - особено актуална категория вируси разпространява се чрез електронна поща и използва адресната книга за да нападне нови компютри.

WAP вируси - току що появила се категория със / засега / единствен представител - Timofonica нападат GSM, Palm PC и лаптопи, ако те използват WAP. Засега няма данни за вредни кодове, но се очаква да се получи нещо като разбъркване на мрежите, сривове, раздуване на телефонни сметки, разпращане на телефонни номера или адреси.

Забележка: вирусите за PC не могат да заразяват Power Machintosh и вирусите за Power Machintosh не могат са заразяват РС компютри, защото има разлики в интерфейса на двете групи хардуер. Двете групи са взаимно несъвместими. Тази забележка не важи за Java вирусите.

Вирусоподобни програми:

----------------------------------------------

Червеи (Worms) - Програми които се самокопират, но заразяват и други програми, но не винаги причиняват щети

Host червеи - Имат нужда от локална мрежа, за да се самокопират и за да могат да функционират.

Net Worm - разпространява части от себе си по мрежа и има нужда от мрежа за да може частите му да работят съвместно. Може да съществува и на единичен компютър но се самокопира на различни места и/или дялове на харддиска.

Троянски кон - това са програми които са скрити в други програми. Тази система е ефективна. докато основната програма върши нещо, то във фонов режим се имплантира вирус или се създават други проблеми. Пример за това е FreeWare програмата ProMail 2000 v. 1.02 която служи като оптимизатор на мрежовия трафик и разпределение на пощата. Програмата създава файла ACCOUNT.INI в който се съдържат всички имена пароли и привилегии за достъп на всички потребители и информация за степента на защита на мрежата който файл се копира и копието му се изпраща като прикачен файл по електронна поща до създателя на програмата.

"Терористи" (Droppers) - програми направени за заобикаляне на антивирусните защити. При създаване се използва мощна криптираща система със защитна цел. Тази криптираща система прави невъзможно откриването от антивирусни програми. "Терористите" най често транспортират и имплантират вируси.

Бомби - Тези програми изчакват определено събитие на компютъра, което събитие ще ги стартира и те ще инсталират вируса който носят със себе си. Тези програми имат много и разнообразни начини на действие (все вредни) и се стартират от разнообразни събития в компютъра ви или в определени дни.

INI програми - тези програми са във формат на стандартен *.INI файл. Много опасни и силно разрушителни. Модифицират се системните файлове на Windows. Това реално са вредни опции в *.INI файловете.

BAT инфектори - асоциират се с *.BAT файлове. Може да се асоциират всякакви унищожителни програми съвместими с РС. Това е или елементарен *.BAT код или е програма която се извиква с модифицирани *.BAT файлове.

Редактирано от ISTORIK
  • Глобален Модератор
Публикува

Ето малко илюстрации към казаното по-горе...

post-471-1230059915_thumb.jpg

post-471-1230059925_thumb.jpg

post-471-1230059936.jpg

post-471-1230060002_thumb.jpg

Публикува

Много добър материал, направо е за поздравления не, ами за цяла каца бира. Между другото винаги си бележа статиите, преди да ги публикувам на

обществена страница, и само аз си знам къде, как и с каква марка са белязани, и по тези белези си ги познавам ако са преписани някъде. Тук виждам и разпознавам доста от моите писаници, в този материал. Всяка статия е белязана с различна марка, едновременно с това, на различно масто, и нямам 2 статии с еднакви марки, или марки на едно и също място. ползвам тези марки, и белязани места за да разпозная моя статия ли е или не. Историк каква е библиографията на материала ти?

Историк, моля цитирай източници и автори.

Познах си писаниците по една малка уловка която съм скрил в материала, и тя е липсата на ясно и точно описана разлика между вирус и червей. Никоя антивирусна програма не дава смислено обяснение каква е разликата, просто си бръщолевят някакви несвързани логично глупости, коио се опитват да ни пробутват на нас, мислейки ни за тъпи. опитват се с две еднакви, логически несвързани определения да опишат две различни неща, и да пробутат тия определения за различни.

До тези които ме познават и познават стила ми на писане, мислите ли че ще напиша такава глупост без дадена цел?

Накратко, вирусът и червеят са програмни единици, работещи под съответните ОС, и съобразявайки се със свойствата, и възможностите на ОС. Например с отмирането на ДОС, отмират и вирусите. ДОС е еднозадачна ОС, и единственият начин, да имаш паразитен процес, е да се представи пред ОС като подпроцес на основния. Това включва сложни рутини по сливане с файла гостоприемник, и създаване на логически преходи между оригиналните части от кода и новите след заразяване, така че файлът да остане работоспособен. Не винаги става, но като стане става доста трудно да се заподозре. ако не стане, програмата няма да работи адекватно, някой все ще заподозре нещо, нали това работеше вчера, днес защо не иска? аст от тези файлове подлежат на дезинфекциране, ако са нападнати от непрезаписващ вирус, и други не подлежат ако са нападнати от презаписващ. по-горе в писаниците ми, които историк е цитирал, пише какви са разликите, и как точно работят.

такааа, да видим какво е характерното ча червея

С появата на уин 95, и след това на НТ ядрото, многозадачността на операционната система вече е реален факт, и е завършено като разработка, макар че с микрософт и финалните версии са бета версии, и при тях никога нищо не е завършено, ама това е отделна тема. Та да се върнем на многозадачността. Това улеснява писането на зловредни кодове, защото вече могат много процеси да работят паралелно. Това значи че кода намалява и се упорстява, защото остават само рутините, които са самият payload, и всякакви рутини по сливане с файлове, белязане на вече заразените файлове за да не ги зараз отново и прочието отпадат. Това води до намаляване на размера и упостряване на кода. Това позволява и по-начинаещи да си избиват комплексите за малоценност, и улеснява случаите на индустриален шпионаж. Намаляването на размера е по-скоро теоритично, защото с визуалните езици, кода е одста по-голям от колкото с език от ниско ниво. Дори кода да съдържа по-малко редове, и рутини, нивото на което се намира програмния език компенсира за размера. тези "заразени" файлове не са заразени. за това тези файлове не могат да се изчистят. при опит за изчистване, антивируса може да разпознае зловредния код и да го махне, но проблемът е, че зловредният код е цялото съдържание на файла. с премахването му остава празен изпълним файл. Това причината поради която антивируса казва не може да се изчисти и директно трие файла. Така класическите вируси отмиряха, и на тяхно място дойдоха червеите.

В наши дни, червеите отмират, и идва друга още по-лоша гадост. След червеите сме свидетели на Rootkits друг още по-гаден бич. Рууткитс идват от времето когато юникс владееше нета. Тогава се използваха като инстрлументи които злоупотребяват със слаби точки в ОС за да приповдигнат правата за даден процес до ниво администратор, кадето процесът получава неограничен контол над системата и ресурсите и. В уиндоуския вариант обаче, имаме същата функция + една нова - да прикрива изпълнението на друг код, и да го направи неуловим за антивирусни, програми, антишпионски праграми, огнени стени и прочието, като отклонява запитванията на тези програми другаде, където програмите ще видят че всичко е наред. По този случай избягвайте да пускате дискове на Сони ентертейнмънт, на РС независимо от съдържанието им на вашето РС. Те слагат малко шпионче дето следи дали се опитвате да копирате, и ако копирате саботира процеса, и се прикрива от рууткит. Това е тахната форма на copy protection.

  • Глобален Модератор
  • Глобален Модератор
Публикува
Така вече материала става, наистина достоен за една двойна почерпка!...

Бих ти го припомнил в удобен за мен момент...

  • 1 месец по късно...
  • Глобален Модератор
Публикува (edited)

Най-интересните вируси за 2008 г.

Panda Security състави списък с най-интересните компютърни вируси, които макар да не са причинили големи епидемии, по една или друга причина са станали забележителни през втората половина на миналата година, съобщава PCworld.bg.

P2PShared.U - Този опасен код се разпространява с помощта на пощенски съобщения с тема „McDonalds ви желае весела Коледа!". В съобщението става дума за купон, даващ правото на безплатен обяд във веригата McDonald's. Именно този купон е носител на вируса. По този начин безплатният обяд може да ви излезе скъпо.

Agent.JEN - Представете си куриер, които ви звъни на вратата със съобщение, че има пратка за вас.

Но ако вратата бъде отворена, пълчища мошеници завземат дома ви. Именно до това може да доведе Agent.JEN, ако се докопа до компютъра ви. Той се разпространява в пощенски съобщения, привидно изпратени от куриерската служба UPS.

Всеки, който свали или отвори прикрепения файл, пуска троянски кон, който веднага започва да вкарва други видове вреден код в компютъра ви.

Banbra.FXT - Преструвайки се на съобщение от бразилски съд, Banbra.FXT съобщава на жертвите, че те се намират под следствие и предлага да покаже подробен отчет за хода на делото. Този отчет реално е троянец, който попаднал в компютъра краде банкови пароли и друга лична информация.

Banker.LGC - Състезателят от Формула 1 Фернандо Алонсо е катастрофирал?

Нищо подобно - това е просто поредната история, измислена от троянски кон с цел да ви накара да отворите видеофайл.

Всички, които го правят получават троянец, падащ си по банкова информация.

Sinowal.VTJ - Един от най-чудатите вируси за 2008 г.

Той се разпространява чрез пощенски писма от неизвестен подател, които твърдят че получателят им е изпратил вируси и го заплашват с полиция. Всички усилия са насочени към това, потребителят да отвори и разпечата приложение, което е „явно доказателство за вината му в разпращане на опасни съобщения".

В резултат в компютъра се вмъква Sinowal VTJ.

BatGen.D - Този вирус е специалист в приготвянето на опасни торти.

Той попада в компютъра във вид на файл с название personalcake.bat. На практика вирусът представлява инструмент за създаване на вреден софтуер, който след това пита потребителя как би искал да нарече творението си (seleccionaelnombredelpastel - изберете име за тортата).

Aidreden.A - Вирусът предсказва бъдещето, и то в съвсем мрачни краски.

Когато компютърът ви е заразен, на екрана се извежда съобщение „Вие ще умрете през следващия месец". Този диалогов прозорец е снабден с опция-бутон ОК. Едва ли някой потребител би се съгласил спокойно с това предсказание.

Banker.LLN - Този троянски кон попада в компютъра във вид на файл с название barackobama.exe и иконка изобразяваща флага на САЩ. Естествено, вирусът няма нищо с изборите за президент, а спокойно си краде банкова информация.

Banbra.GDB - Когато на вратата ви чука полиция, по-добре е да й отворите.

Но не и когато това е троянски кон. Banbra.GDB попада в компютъра във вид на съобщение, привидно изпратено от бразилската полиция. В писмото се казва, че вашият компютър участва в незаконна дейност.

На потребителя се предлага да свали отчет, съдържащ доказателства за това твърдение.

Ако той се съгласи, и стартира приложението, в компютъра започва да шета банков троянец.

Spammer.AKE - Това е червей, разпространяващ се в пощенски съобщения, съдържащи призиви за приятелство и любов. Не се връзвайте. В противен случай, компютърът ви ще бъде използван за разпращане на спам.

http://news.ibox.bg/

Редактирано от ISTORIK
  • 1 месец по късно...
  • Глобален Модератор
Публикува (edited)

Най-страшните вируси от близкото минало

Ако до сега не сте се сблъсквали с компютърни вируси, има време - задължително ще се сблъскате. Вероятно обаче не сте заварили времената, когато антивирусен софтуер почти нямаше, а вирусите се ширеха на воля, нанасяйки всеки ден загуби за милиони долари.

Днес вирусите също ни тровят живота, но в повечето случаи даже обикновеният средностатистически потребител може да почисти компютъра си от опасен софтуер. Но преди няколко години в такива случаи се налагаше форматиране на твърдия диск и даже това не винаги водеше до желания резултат.

Нека си спомним онези тъмни времена, когато най-страшните вируси бяха господари на компютрите и да се молим никога да не ги срещнем.

Brain, 1986

Всичко започна от него... Brain е праотецът на всички сегашни вируси още от далечната 1986 г. Той не причиняваше особена вреда на компютрите, но на практика даде старт на хакерската индустрия.

Michelangelo, 1991

Това навярно е един от най-жестоките вируси за MS DOS. Michelangelo проникваше в boot сектора на твърдия диск, пък и в изобщо във всеки диск или дискета, поставени в компютъра, което му даваше възможност бързо да се разпространява. Вирусът тихо си седеше в РС-то, без да дава признаци на живот. Но след това 6 март се превръщаше в истински кошмар - Микеланджело се активираше и унищожаваше данните на хиляди компютри.

Melissa, 1999

Червеят Melissa (наречен впрочем на името на стрийптизоьрка) разруши множество системи за електронна поща, принуждавайки компютрите да се заливат един друг с електронни писма. В крайна сметка авторът на вируса беше заловен и осъден на 20 години затвор.

ILOVEYOU, 2000

Този вирус беше много хитро замислен. Потребителят, който получеше писмо с тема "I LOVE YOU" с прикрепен файл, най-често го отваряше, тъй като то наистина приличаше на любовно съобщение. Файлът използва скрипт, който разпращаше камари писма, задръстваше трафика и за капак - изтриваше важните файлове в компютъра. Резултатите бяха шокиращи - 10 % от всички компютри бяха заразени, а загубите надхвърлиха $5,5 млн. Това е може би вирусът, нанесъл най-големи вреди.

Code Red, 2001

Code Red нападаше основно уеб сървърите, вместо обикновените потребителски машини. Той променяше и нарушаваше конструкцията на сайтовете, блокираше достъпа до хостингите и IP адресите, включително и тези на Белия дом.

Nimda, 2001

Базиран на Code Red, вирусът Nimda поразяваше компютрите по-мащабно. Под неговите удари попаднаха както обикновените потребители (електронна поща, уеб сайтове, мрежи и т.н.), така и сървъри. Той ефективно проникваше в компютрите - 22 минути след като беше създаден, вирусът се оказа най-разпространения опасен код в Интернет.

Klez, 2001

Този вирус е специалист по електронна поща. Klez е една от шегаджийските програми, който в полето "От кого" се подписваше с името на Бил Гейтс и ви предлагаше пари.

Slammer, 2003

Още един бърз разпространител на зараза. Този червей порази 75 000 машини само за 10 минути, като по този начин забави работата с Интернет и прекрати работата на хиляди сайтове.

My Doom, 2004

Известен е като най-бързия пощенски вирус. My Doom заразяваше компютрите така, че те изпращаха още повече спам, отколкото предишната машина. Всъщност, вирусът е бил насочен само към сайта на неособено популярната компания SCO Group, която преследваше съдебно други фирми-разработчици, считайки, че те са откраднали от нея програмен код, който сега се използва в операционната система Linux.

Storm, 2007

Вирусът Storm все още се среща, разпространява се като спам чрез електронната поща с прикрепен файл и в крайна сметка успя да зарази повече от 10 милиона компютри в цял свят. Главната цел на вируса е зомбирането на машините, за да могат да бъдат управлявани от едно място с цел атака на мрежови ресурси.

Sality.AO, 2009

Вирусът Sality.AO е заплаха, съчетаваща функциите на традиционните вируси и водещите тенденции при съвременния зловреден софтуер. Инфектира голям брой компютри, но не - с цел постигане на известност, а - с цел финансова възвръщаемост за кибер-престъпниците, информират от PandaLabs.

Sality.AOизползва техники, които не са срещани от години, като EPO (Entry Point Obscuring) или Cavity. При тях заразяването се постига чрез модификация на оригиналния файл, което допълнително затруднява откриването на вируса. Характерно за техниката EPO e, че заразяването не започва веднага, вирусът се опитва да скрие своята входна точка, като изчаква изпълнението на част от легитимния файл и чак тогава влиза в действие.

Другата наблюдавана техника Cavity осигурява въвеждането на вирусния код в рамките на файловия код, превръщайки инфектирания файл в трудно откриваем, поради непроменената му големина.

Тези техники са далеч по-сложни, изискващи много по-големи умения и познания, отколкото тези, използвани от автоматичните инструменти, които създават повечето настоящи интернет заплахи.

Този вид модифицирани файлове, предоставящи възможност за свалянето на друг злонамерен софтуер върху компютъра, е определен от PandaLabs като хибрид, съчетаващ функциите на троянски кон и вирус.

http://pcworld.bg/

Редактирано от ISTORIK
Публикува

Както винаги, чудесно включване от пазителя на времето. Историк, отвоно си се справил чудесно. Поздравления!

  • Глобален Модератор
Публикува

Много съм старателен, особено, когато пиша по теми, които не са по специалността ми или по такива, от които нищо не разбирам. (писал съм и в разделите по химия и математика!)... :post-20645-1121105496:

Публикува
Много съм старателен, особено, когато пиша по теми, които не са по специалността ми или по такива, от които нищо не разбирам. (писал съм и в разделите по химия и математика!)... :post-20645-1121105496:

и наистина успяваш. страхотни включвания, поздравления.

  • Глобален Модератор
Публикува

Merci, merci!

:)):

Напиши мнение

Може да публикувате сега и да се регистрирате по-късно. Ако вече имате акаунт, влезте от ТУК , за да публикувате.

Guest
Напиши ново мнение...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Зареждане...

За нас

"Форум Наука" е онлайн и поддържа научни, исторически и любопитни дискусии с учени, експерти, любители, учители и ученици.

За своята близо двайсет годишна история "Форум Наука" се утвърди като мост между тези, които знаят и тези, които искат да знаят. Всеки ден тук влизат хиляди, които търсят своя отговор.  Форумът е богат да информация и безкрайни дискусии по различни въпроси.

Подкрепи съществуването на форумa - направи дарение:

Дари

 

 

За контакти:

×
×
  • Create New...
×

Подкрепи форума!

Твоето дарение ще ни помогне да запазим и поддържаме това място за обмяна на знания и идеи. Благодарим ти!