• Skriptovací viry. Antivirový průmysl v předvečer desátého výročí Zpráva na téma script virus

    Je třeba poznamenat také skriptové viry, které jsou podskupinou souborových virů. Tyto viry jsou napsány v různých skriptovacích jazycích (VBS, JS, BAT, PHP atd.). Buď infikují jiné skriptovací programy (příkazové a servisní soubory MS Windows nebo Linux) nebo jsou součástí vícesložkových virů. Tyto viry mohou také infikovat soubory jiných formátů (například HTML), pokud v nich lze spouštět skripty.

    Trojské programy.

    Trojské koně se od sebe liší akcemi, které provádějí na infikovaném počítači.

    Backdoor - obslužné programy vzdálené správy Trojan

    Trojské koně této třídy jsou nástroje pro vzdálenou správu počítačů v síti. Svou funkčností v mnohém připomínají různé administrační systémy vyvíjené a distribuované výrobci softwarových produktů.

    Jedinou vlastností těchto programů je klasifikace jako škodlivé trojské koně: absence varování o instalaci a spuštění. Po spuštění se trojský kůň nainstaluje do systému a poté jej sleduje, přičemž uživateli nejsou poskytovány žádné zprávy o činnostech trojského koně v systému. Navíc odkaz na „trojského koně“ nemusí být v seznamu aktivních aplikací. V důsledku toho si „uživatel“ tohoto trojského koně nemusí být vědom jeho přítomnosti v systému, zatímco jeho počítač je otevřený pro dálkové ovládání.

    Skryté nástroje pro správu vám umožňují dělat vše, co do nich autor vložil s počítačem: přijímat nebo odesílat soubory, spouštět a ničit je, zobrazovat zprávy, mazat informace, restartovat počítač atd. Výsledkem je, že tyto trojské koně lze použít k detekci a přenosu důvěrných informací, spouštění virů, ničení dat a tak dále. - Postižené počítače jsou vystaveny škodlivým akcím hackerů.

    Trojské koně tohoto typu jsou tedy jedním z nejnebezpečnějších typů škodlivého softwaru, protože obsahují možnost široké škály škodlivých akcí, které jsou vlastní jiným typům trojských koní.

    Samostatně je třeba poznamenat skupinu zadních vrátek, které se mohou šířit po síti a infiltrovat další počítače, jako to dělají počítačoví červi. Od červů se takové "trojské koně" liší tím, že se nešíří po síti samovolně (jako červi), ale pouze na speciální příkaz od "vlastníka", který danou kopii trojského programu řídí.

    Trojan-PSW - krádež hesla

    Tato rodina zahrnuje trojské koně, které „kradou“ různé informace z infikovaného počítače, obvykle systémová hesla (PSW – Password-Stealing-Ware). Po spuštění trojské koně PSW vyhledávají systémové soubory, které ukládají různé důvěrné informace (obvykle telefonní čísla a hesla pro přístup k internetu) a odesílají je na e-mailovou adresu nebo adresy uvedené v kódu trojského koně.

    Existují trojské koně PSW, které hlásí i další informace o infikovaném počítači, jako jsou informace o systému (paměť a místo na disku, verze operačního systému), typ používaného e-mailového klienta, IP adresa atd. Některé trojské koně tohoto typu „kradou“ registrační informace pro různý software, přístupové kódy k síťovým hrám a tak dále.

    Trojan-AOL je rodina trojských koní, které „kradou“ přístupové kódy do sítě AOL (America Online). Pro jejich velký počet jsou vyčleněni do zvláštní skupiny.

    Trojan-Clicker - Internetové klikače

    Rodina trojských koní, jejichž hlavní funkcí je organizovat neoprávněný přístup k internetovým zdrojům (obvykle k webovým stránkám). Toho je dosaženo buď odesláním příslušných příkazů do prohlížeče, nebo nahrazením systémových souborů, které obsahují "standardní" adresy internetových zdrojů (například soubor hosts v MS Windows).

    Útočník může mít pro takové akce následující cíle:

    zvýšit návštěvnost jakýchkoli stránek za účelem zvýšení počtu zobrazení reklam;

    organizování DoS útoku (Denial of Service) na jakémkoli serveru;

    přilákání potenciálních obětí k infekci viry nebo trojskými koňmi.

    Trojan-Downloader – doručení dalších škodlivých programů

    Trojské koně této třídy jsou navrženy tak, aby stahovaly a instalovaly na počítač oběti nové verze škodlivých programů, instalaci „trojských koní“ nebo reklamních systémů. Programy stažené z internetu jsou pak buď spuštěny ke spuštění, nebo jsou trojským koněm registrovány pro automatické načítání v souladu s možnostmi operačního systému. Tyto akce probíhají bez vědomí uživatele.

    Informace o jménech a umístění stažených programů jsou obsaženy v kódu a datech trojského koně nebo je trojský kůň stahuje z „řídícího“ internetového zdroje (obvykle z webové stránky).

    Trojan-Dropper – instalátory jiného malwaru

    Trojské koně této třídy jsou napsány za účelem tajné instalace jiných programů a téměř vždy se používají k „vsunutí“ virů nebo jiných trojských koní na počítač oběti.

    Tyto trojské koně obvykle bez jakýchkoli zpráv (nebo s falešnými zprávami o chybě v archivu nebo nesprávné verzi operačního systému) ukládají jiné soubory na disk v některém adresáři (do kořenového adresáře jednotky C:, do dočasného adresáře, do adresářů Windows) a spusťte je ke spuštění.

    Obvykle je struktura takových programů následující:

    Hlavní kód

    "Hlavní kód" extrahuje zbývající komponenty ze svého souboru (soubor 1, soubor 2,.), zapíše je na disk a otevře (spustí je ke spuštění).

    Obvykle jedna (nebo více) komponent jsou trojské koně a alespoň jedna komponenta je „trik“: vtipný program, hra, obrázek nebo něco podobného. "Trik" je odvrátit pozornost uživatele a/nebo ukázat, že spustitelný soubor skutečně dělá něco "užitečného", když je komponenta Trojan instalována do systému.

    V důsledku používání programů této třídy hackeři dosahují dvou cílů:

    skrytá instalace trojských koní a/nebo virů;

    ochranu před antivirovými programy, protože ne všechny jsou schopny zkontrolovat všechny součásti uvnitř souborů tohoto typu.

    Trojan-Proxy - Trojské proxy servery

    Rodina trojských koní, které tajně poskytují anonymní přístup k různým internetovým zdrojům. Obvykle se používá k rozesílání spamu.

    Trojan-Spy – spyware

    Tyto trojské koně elektronicky špehovají uživatele infikovaného počítače: informace zadané z klávesnice, snímky obrazovky, seznam aktivních aplikací a akce uživatele s nimi jsou ukládány do souboru na disku a pravidelně odesílány útočníkovi.

    Trojské koně tohoto typu se často používají ke krádeži informací od uživatelů různých online platebních a bankovních systémů.

    Trojan - další trojské koně

    Mezi tyto trojské koně patří ty, které provádějí další akce spadající pod definici trojských koní, tj. zničení nebo úmyslná úprava dat, narušení výkonu počítače atd.

    Tato kategorie také zahrnuje „víceúčelové“ trojské koně, například ty, které sledují uživatele a poskytují vzdálenému útočníkovi službu proxy.

    Rootkit - skrytí přítomnosti v operačním systému

    Koncept rootkitu k nám přišel z UNIXu. Zpočátku se tento koncept používal k označení sady nástrojů používaných k získání práv root.

    Vzhledem k tomu, že nástroje jako rootkit se nyní „zakořenily“ na jiných operačních systémech (včetně Windows), měla by být taková definice rootkitu uznána jako morálně zastaralá a neodpovídá skutečnému stavu věcí.

    Rootkit je tedy programový kód nebo technika zaměřená na skrytí přítomnosti určitých objektů (procesů, souborů, klíčů registru atd.) v systému.

    Chování rootkitů v klasifikaci společnosti Kaspersky Lab podléhá pravidlům převzetí: Rootkit je nejmladší chování mezi malwarem. To znamená, že pokud má program Rootkit součást trojského koně, je detekován jako trojský kůň.

    ArcBomb - "bomby" v archivech

    Jsou to archivy speciálně navržené tak, aby způsobovaly abnormální chování archivátorů při pokusu o rozbalení dat – zamrzání nebo výrazné zpomalení počítače nebo zaplnění disku velkým množstvím „prázdných“ dat. Zvláště nebezpečné jsou „archivní bomby“ pro souborové a poštovní servery, pokud server používá nějaký druh automatického zpracování příchozích informací – „archivní bomba“ může server jednoduše zastavit.

    Existují tři typy takových „bomb“: nesprávná hlavička archivu, duplicitní data a identické soubory v archivu.

    Nesprávné záhlaví archivu nebo poškozená data v archivu mohou vést k selhání konkrétního archivátoru nebo algoritmu rozbalování při analýze obsahu archivu.

    Velký soubor obsahující opakovaná data umožňuje archivovat takový soubor do malého archivu (např. 5GB dat je zabaleno do 200KB RAR nebo 480KB ZIP archivu).

    Velké množství identických souborů v archivu také prakticky neovlivňuje velikost archivu při použití speciálních metod (např. existují metody pro zabalení 10100 stejných souborů do 30KB RAR nebo 230KB ZIP archivu).

    Trojan-Notifier – upozornění na úspěšný útok

    Trojské koně tohoto typu jsou navrženy tak, aby informovaly svého „majitele“ o infikovaném počítači. Současně jsou na „master“ adresu odeslány informace o počítači, například IP adresa počítače, číslo otevřeného portu, e-mailová adresa atd. Odesílání se provádí různými způsoby: e-mailem, speciálně navrženou adresou na webovou stránku "majitele", zprávou ICQ.

    Tyto trojské koně se používají ve vícesložkových trojských sadách, aby informovali svého „vlastníka“ o úspěšné instalaci součástí trojských koní do napadeného systému.

    Virus je program schopný vytvářet kopie sebe sama (nemusí být nutně totožné s originálem) a vkládat je do souborů, systémových oblastí počítače, počítačových sítí a také provádět další destruktivní akce. Kopie si zároveň zachovávají možnost další distribuce. Počítačový virus je klasifikován jako malware.

    Škodlivý program – počítačový program nebo přenosný kód určený k implementaci ohrožení informací uložených v CS nebo ke skrytému zneužití zdrojů CS nebo k jinému dopadu, který narušuje normální fungování CS. Malware zahrnuje počítačové viry, trojské koně, červy atd.

    2. Životní cyklus viru.

    Vzhledem k tomu, že charakteristickým rysem virů v tradičním smyslu je schopnost reprodukce v rámci jednoho počítače, dochází k rozdělení virů do typů v souladu s metodami reprodukce.

    Samotný proces šlechtění lze podmíněně rozdělit do několika fází:

    - Vloupat se do počítače

    – Aktivace viru

    – Hledejte objekty pro infekci

    – Příprava virových kopií

    – Zavedení virových kopií

    Vlastnosti implementace každé fáze generují atributy, jejichž sada ve skutečnosti určuje třídu viru.

    3. Makroviry. Skriptovací viry. Dát příklad.

    Makroviry jsou viry napsané v jazyce maker a spouštěné v prostředí aplikace. V drtivé většině případů se bavíme o makrech v dokumentech Microsoft Office.

    Příklady. Zástupci rodiny Macro.Word97.Thus patří mezi nejničivější makroviry. Tyto viry obsahují tři procedury Document_Open, Document_Close a Document_New, kterými nahrazují standardní makra, která se spouštějí při otevírání, zavírání a vytváření dokumentu, čímž infikují další dokumenty. 13. prosince se spustí destruktivní funkce viru – smaže všechny soubory na disku C: včetně adresářů a podadresářů. Úprava Macro.Word97.Thus.aa kromě zadaných akcí při otevření každého infikovaného dokumentu vybere náhodný soubor na lokálním disku a zašifruje prvních 32 bajtů tohoto souboru, čímž systém postupně uvede do nefunkčního stavu.

    Skriptové viry jsou viry, které běží v prostředí specifického příkazového prostředí: dříve - soubory bat v příkazovém prostředí DOS, nyní častěji VBS a JS - skripty v příkazovém prostředí Windows Scripting Host (WSH).

    Příklady. Virus.VBS.Sling je napsán v jazyce VBScript (Visual Basic Script). Po spuštění hledá soubory s příponami .VBS nebo .VBE a infikuje je. Když přijde 16. června nebo červenec, virus po spuštění smaže všechny soubory s příponami .VBS a .VBE včetně sebe sama.

    Virus.WinHLP.Pluma.a je virus, který infikuje soubory nápovědy systému Windows. Při otevření infikovaného souboru nápovědy se spustí virový skript, který netriviální metodou (ve skutečnosti zranitelností ve zpracování skriptu) spustí určitý řádek kódu obsažený ve skriptu jako běžný soubor Windows. Spuštěný kód vyhledá soubory nápovědy na disku a vloží skript automatického spuštění do jejich systémové oblasti.

    Typy počítačových virů

    Dnes neexistuje nikdo, kdo by neslyšel o počítačových virech. Co to je, co jsou typy počítačových virů a malware, zkusme na to přijít v tomto článku. Počítačové viry lze tedy rozdělit do následujících typů:

    Reklamní a informační programy jsou takové programy, které kromě své hlavní funkce zobrazují také reklamní bannery a všechny druhy vyskakovacích reklam. Takové zprávy s reklamou může být někdy docela obtížné skrýt nebo zakázat. Takové adwarové programy jsou založeny na chování uživatelů počítačů a jsou z bezpečnostních důvodů systému značně problematické.

    Zadní vrátka

    Skryté administrační nástroje vám umožňují obejít bezpečnostní systémy a dát počítač nainstalovaného uživatele pod vaši kontrolu. Program, který běží v utajeném režimu, dává hackerovi neomezená práva ovládat systém. Pomocí takových backdoor programů je možné získat přístup k osobním a osobním údajům uživatele. Často se takové programy používají k infikování systému počítačovými viry a ke skryté instalaci škodlivých programů bez vědomí uživatele.

    Spouštěcí viry

    Hlavní spouštěcí sektor vašeho HDD je často postižen speciálními zaváděcími viry. Viry tohoto typu nahrazují informace, které jsou nezbytné pro bezproblémový start systému. Jedním z důsledků takového škodlivého programu je nemožnost zavést operační systém...

    botnet

    Botnet je plnohodnotná síť na internetu, která podléhá správě útočníka a skládá se z mnoha infikovaných počítačů, které se vzájemně ovlivňují. Kontrola nad takovou sítí je dosažena pomocí virů nebo trojských koní, které proniknou do systému. Během provozu se škodlivé programy nijak neprojevují, čekají na příkaz útočníka. Tyto sítě se používají k odesílání zpráv SPAM nebo k organizaci DDoS útoků na požadované servery. Zajímavé je, že uživatelé infikovaných počítačů nemusí vůbec vědět, co se v síti děje.

    Využívat

    Exploit (doslova bezpečnostní díra) je skript nebo program, který využívá specifické díry a zranitelnosti operačního systému nebo jakéhokoli programu. Obdobným způsobem pronikají do systému programy, pomocí kterých lze získat administrátorská přístupová práva.

    Hoax (doslova vtip, lež, podvod, vtip, podvod)

    Mnoho uživatelů internetu již několik let dostává e-mailové zprávy o virech, které se údajně šíří e-mailem. Taková varování jsou rozesílána hromadně s plačtivou žádostí o jejich zaslání všem kontaktům z vašeho osobního seznamu.

    Pasti

    Honeypot (honey pot) je síťová služba, která má za úkol monitorovat celou síť a opravovat útoky, když dojde k požáru. Jednoduchý uživatel vůbec neví o existenci takové služby. Pokud hacker prozkoumává a monitoruje síť, zda neobsahuje mezery, může využít služeb, které taková past nabízí. Tím se zapíše do souborů protokolu a spustí se automatický poplach.

    Makroviry

    Makroviry jsou velmi malé programy, které jsou napsány v jazyce aplikačních maker. Takové programy jsou distribuovány pouze mezi dokumenty, které jsou vytvořeny speciálně pro tuto aplikaci.

    Pro aktivaci těchto škodlivých programů je třeba spustit aplikaci a spustit infikovaný soubor makra. Rozdíl od konvenčních makrovirů spočívá v tom, že k infekci dochází v dokumentech aplikace, nikoli ve spustitelných souborech aplikace.

    Zemědělství

    Pharming je skrytá manipulace s hostitelským souborem prohlížeče s cílem nasměrovat uživatele na falešnou stránku. Podvodníci hostí velké servery, které ukládají velkou databázi falešných webových stránek. Při manipulaci s hostitelským souborem pomocí trojského koně nebo viru je docela možné manipulovat s infikovaným systémem. Díky tomu bude infikovaný systém načítat pouze falešné stránky, i když do lišty prohlížeče zadáte správnou adresu.

    Phishing

    Phishing se doslova překládá jako „vylovení“ osobních údajů uživatele na internetu. Útočník během svých akcí odešle e-mail potenciální oběti, kde je uvedeno, že je nutné odeslat osobní údaje k potvrzení. Často se jedná o jméno a příjmení uživatele, nezbytná hesla, PIN kódy pro přístup k online účtům uživatele. Pomocí takto odcizených dat se hacker může vydávat za jinou osobu a provádět jakékoli akce jejím jménem.

    Polymorfní viry

    Polymorfní viry jsou viry, které při práci využívají maskování a reinkarnaci. Během toho si mohou sami změnit svůj programový kód, a proto je velmi obtížné je odhalit, protože signatura se v průběhu času mění.

    Softwarové viry

    Počítačový virus je běžný program, který má schopnost připojit se k jiným běžícím programům a ovlivnit tak jejich práci. Viry šíří své kopie samy, což je výrazně odlišuje od trojských koní. Rozdíl mezi virem a červem je také v tom, že aby virus fungoval, potřebuje program, ke kterému může připojit svůj kód.

    rootkit

    Rootkit je specifická sada softwaru, která je skrytě instalována v systému uživatele, přičemž zajišťuje utajení osobního přihlášení a různých procesů kyberzločince při vytváření kopií dat.

    Skriptujte viry a červy

    Tyto typy počítačových virů se píší poměrně snadno a jsou distribuovány především prostřednictvím e-mailu. Skriptovací viry používají skriptovací jazyky k tomu, aby se přidávaly do nově vytvořených skriptů nebo se šířily prostřednictvím provozních síťových funkcí. K infekci často dochází e-mailem nebo v důsledku výměny souborů mezi uživateli. Červ je program, který se sám replikuje, ale infikuje i jiné programy. Červi se při množení nemohou stát součástí jiných programů, což je odlišuje od běžných typů počítačových virů.

    Spyware

    Špioni mohou zasílat osobní údaje uživatele bez jeho vědomí třetím stranám. Spyware zároveň analyzuje chování uživatele na internetu a na základě shromážděných dat uživateli zobrazuje reklamu nebo vyskakovací okna (pop-up okna), která uživatele jistě zaujmou.

    Makroviry (makroviry) jsou programy v jazycích (makrojazycích) zabudované do některých systémů zpracování dat (textové editory, tabulkové procesory atd.), jakož i ve skriptovacích jazycích, jako je VBA (Visual Basic for Applications) JS ( Java Script). Pro svou reprodukci takové viry využívají schopnosti makrojazyků a s jejich pomocí se přenášejí z jednoho infikovaného souboru (dokumentu nebo tabulky) do jiných. Makroviry pro Microsoft Office jsou nejrozšířenější. Existují také makroviry, které infikují dokumenty a databáze Ami Pro. Pro existenci virů v konkrétním systému (editoru) je nutné mít v systému zabudovaný makrojazyk s následujícími schopnostmi:

    1. vazba programu v makrojazyku na konkrétní soubor;
    2. kopírování makro programů z jednoho souboru do druhého;
    3. schopnost získat kontrolu nad programem maker bez zásahu uživatele (automatická nebo standardní makra).

    Tyto podmínky splňují editory Microsoft Word, Office a AmiPro, stejně jako tabulkový procesor Excel a databáze Microsoft Access. Tyto systémy obsahují makrojazyky: Word - Word Basic; Excel, Access - VBA. kde:

    1. Makro programy jsou svázány s konkrétním souborem (AmiPro) nebo jsou uvnitř souboru (Word, Excel, Access);
    2. jazyk maker umožňuje kopírovat soubory (AmiPro) nebo přesouvat programy maker do souborů systémových služeb a upravitelných souborů (Word, Excel);
    3. při práci se souborem za určitých podmínek (otevření, zavření atd.) jsou volány makroprogramy (pokud existují), které jsou definovány speciálním způsobem (AmiPro) nebo mají standardní názvy (Word, Excel).

    Tato funkce makro jazyků je navržena pro automatické zpracování dat ve velkých organizacích nebo globálních sítích a umožňuje organizovat takzvaný „automatizovaný pracovní postup“. Na druhou stranu schopnosti makro jazyků takových systémů umožňují viru přenést svůj kód do jiných souborů a tím je infikovat. Viry přebírají kontrolu při otevírání nebo zavírání infikovaného souboru, zachycují standardní funkce souborů a poté infikují soubory, ke kterým je nějakým způsobem přistupováno. Analogicky s MS-DOS můžeme říci, že většina makrovirů je rezidentních: jsou aktivní nejen v době otevření/zavření souboru, ale dokud je aktivní samotný editor.

    Viry Word/Excel/Office: obecné informace

    Fyzické umístění viru uvnitř souboru závisí na jeho formátu, který je v případě produktů Microsoft extrémně složitý - každý soubor dokumentu Word, tabulka Excel je sekvence datových bloků (každý z nich má také svůj vlastní formát), vzájemně propojených pomocí velkého množství servisních dat. Tento formát se nazývá OLE2 - Object Linking and Embedding.

    Struktura souborů Word, Excel a Office (OLE2) připomíná sofistikovaný systém souborů na disku: „kořenový adresář“ souboru dokumentu nebo tabulky ukazuje na hlavní podadresáře různých datových bloků, několik tabulek FAT obsahuje informace o umístění datové bloky v dokumentu a tak dále. Systém Office Binder, který podporuje standardy Word a Excel, navíc umožňuje vytvářet soubory, které současně obsahují jeden nebo více dokumentů aplikace Word a jednu nebo více tabulek aplikace Excel. Word viry mohou infikovat dokumenty aplikace Word a viry Excel mohou infikovat tabulky aplikace Excel, a to vše je možné v rámci jednoho souboru na disku. Totéž platí pro Office. Většina známých virů pro Word je nekompatibilní s národními (včetně ruských) verzí Wordu nebo naopak - jsou určeny pouze pro lokalizované verze Wordu a nefungují pod anglickou verzí. Virus v dokumentu je však stále aktivní a může infikovat další počítače s nainstalovanou odpovídající verzí aplikace Word. Viry pro Word mohou infikovat počítače jakékoli třídy. Infekce je možná, pokud je na tomto počítači nainstalován textový editor, který je plně kompatibilní s Microsoft Word verze 6 nebo 7 nebo vyšší (například MS Word pro Macintosh).

    Totéž platí pro Excel a Office. Je třeba také poznamenat, že složitost formátů dokumentů Word, Excel a zejména Office má následující zvláštnost: v souborech dokumentů a tabulkách jsou datové bloky "navíc", tzn. data, která nijak nesouvisí s upravovaným textem nebo tabulkami, nebo jsou kopiemi jiných dat v souboru, která tam náhodou byla. Důvodem výskytu takových datových bloků je shluková organizace dat v OLE2 dokumentech a tabulkách - i když je zadán pouze jeden znak textu, pak je pro něj alokován jeden nebo i více datových clusterů. Při ukládání dokumentů a tabulek do clusterů, které nejsou naplněny „užitečnými“ daty, zůstává „smetí“, které se do souboru dostane spolu s dalšími daty. Množství "odpadu" v souborech lze snížit zrušením výběru možnosti "Povolit rychlé ukládání" ve Wordu/Excelu, ale tím se pouze sníží celkové množství "odpadu", ale neodstraní se úplně. Důsledkem toho je skutečnost, že při úpravách dokumentu se jeho velikost mění bez ohledu na akce s ním prováděné – při přidávání nového textu se může velikost souboru zmenšit, při mazání části textu naopak zvětšit.

    Stejné je to s makroviry: když je soubor infikován, jeho velikost se může zmenšit, zvětšit nebo zůstat nezměněna. Je třeba také poznamenat, že některé verze OLE2.DLL obsahují drobnou chybičku, v jejímž důsledku se při práci s dokumenty Wordu, Excelu a zejména Office dokumentů objevují náhodná data z disku včetně důvěrných dat (smazané soubory, adresáře, atd.) .d.). Do těchto bloků se mohou dostat i virové příkazy. Výsledkem je, že po dezinfekci infikovaných dokumentů je aktivní kód viru ze souboru odstraněn, ale některé jeho příkazy mohou zůstat v blocích „smetí“. Takové stopy přítomnosti viru jsou někdy viditelné v textových editorech a mohou dokonce způsobit reakci některých antivirových programů. Tyto zbytky viru jsou však zcela neškodné: Word a Excel jim nevěnují žádnou pozornost.

    Viry Word/Excel/Office: jak fungují

    Provádí různé akce při práci s dokumentem aplikace Word verze 6 a 7 nebo vyšší: otevře dokument, uloží, vytiskne, zavře atd. Word zároveň vyhledává a provádí odpovídající „vestavěná makra“ - při ukládání souboru příkazem Soubor / Uložit je voláno makro FileSave, při ukládání příkazem Soubor / Uložit jako - FileSaveAs, při tisku dokumentů - FilePrint atd., pokud jsou samozřejmě definována makra. Existuje také několik „automatických maker“, která jsou automaticky volána za různých podmínek. Když například otevřete dokument, Word jej zkontroluje na přítomnost makra AutoOpen. Pokud takové makro existuje, Word jej spustí. Po zavření dokumentu Word spustí makro AutoClose, při spuštění Wordu se zavolá makro AutoExec, při zavření AutoExit a při vytváření nového dokumentu AutoNew.

    Podobné mechanismy (avšak s jinými názvy maker a funkcí) se používají také v Excelu/Office, kde roli auto- a vestavěných maker plní automatické a vestavěné funkce přítomné v jakémkoli makru nebo makru, a v jednom makru může být přítomno několik vestavěných funkcí a automatické funkce. Automaticky (tj. bez zásahu uživatele) se také provádějí makra/funkce spojené s jakýmkoli klíčem nebo časem nebo datem, tzn. Word/Excel zavolá makro/funkci, když je stisknuta určitá klávesa (nebo kombinace kláves) nebo když je dosaženo určitého bodu v čase. V Office jsou možnosti odposlechu událostí poněkud rozšířeny, ale princip je stejný.

    Makroviry, které infikují soubory Wordu, Excelu nebo Office, obvykle používají jednu ze tří výše uvedených metod – buď je ve viru přítomno automatické makro (automatická funkce), nebo je předefinováno jedno ze standardních systémových maker (spojené s některým menu item) nebo se virové makro zavolá automaticky, když stisknete libovolnou klávesu nebo kombinaci kláves. Existují také semiviry, které všechny tyto triky nepoužívají a množí se pouze tehdy, když je uživatel samostatně spustí. Pokud je tedy dokument infikován, Word při otevření dokumentu zavolá infikované makro AutoOpen (nebo AutoClose při zavření dokumentu) a spustí tak kód viru, pokud to není zakázáno systémovou proměnnou DisableAutoMacros. Pokud virus obsahuje makra se standardními názvy, jsou ovládána vyvoláním příslušné položky nabídky (Soubor/Otevřít, Soubor/Zavřít, Soubor/UložitAs). Pokud je některý symbol klávesnice předefinován, pak se virus aktivuje až po stisknutí příslušné klávesy.

    Většina makrovirů obsahuje všechny své funkce jako standardní makra Word/Excel/Office. Existují však viry, které používají triky, aby skryly svůj kód a uložily svůj kód jako jiná než makra. Jsou známy tři takové techniky, všechny využívají schopnost maker vytvářet, upravovat a spouštět další makra. Takové viry mají zpravidla malé (někdy polymorfní) makro zavaděče virů, které zavolá vestavěný editor maker, vytvoří nové makro, naplní jej hlavním virovým kódem, spustí a poté jej zpravidla zničí (aby skrýt stopy přítomnosti viru). Hlavní kód takových virů je přítomen buď v samotném makru viru ve formě textových řetězců (někdy zašifrovaných), nebo je uložen v oblasti proměnných dokumentu nebo v oblasti Auto-text.

    Algoritmus práce makrovirů Word

    Většina známých Word virů po svém spuštění přenese svůj kód (makra) do oblasti globálních maker dokumentu ("obecná" makra), k tomu používají příkazy pro kopírování maker MacroCopy, Organizer.Copy nebo pomocí příkazu editor maker - virus jej zavolá, vytvoří nové makro, vloží do něj svůj kód, který uloží do dokumentu. Při ukončení aplikace Word se globální makra (včetně virových maker) automaticky zapíší do souboru globálních maker DOT (obvykle NORMAL.DOT). Při příštím spuštění editoru MS-Word se tedy virus aktivuje v okamžiku, kdy WinWord načte globální makra, tzn. hned. Poté virus předefinuje (nebo již obsahuje) jedno nebo více standardních maker (například FileOpen, FileSave, FileSaveAs, FilePrint) a zachytí tak příkazy pro manipulaci se soubory. Když jsou tyto příkazy volány, virus infikuje soubor, ke kterému se přistupuje. K tomu virus převede soubor do formátu Template (což znemožňuje další změnu formátu souboru, tedy převod na jakýkoli jiný formát než šablonu) a zapíše do souboru svá makra, včetně Auto-makra. Pokud tedy virus zachytí makro FileSaveAs, je infikován každý soubor DOC uložený prostřednictvím makra zachyceného virem. Pokud je makro FileOpen zachyceno, virus se při čtení z disku zapíše do souboru.

    Druhý způsob zavádění viru do systému se používá mnohem méně často - je založen na tzv. "Add-in" souborech, tzn. soubory, které jsou doplňkovými službami aplikace Word. V tomto případě se NORMAL.DOT nezmění a Word načte virová makra ze souboru (nebo souborů) zadaného jako "Doplněk" při spuštění. Tato metoda téměř úplně opakuje infekci globálních maker, s tou výjimkou, že virová makra nejsou uložena v NORMAL.DOT, ale v nějakém jiném souboru. Je také možné vložit virus do souborů umístěných v adresáři STARTUP - Word automaticky načte soubory šablon z tohoto adresáře, ale s takovými viry se dosud nesetkal. Výše uvedené způsoby zavedení do systému jsou některé analogy rezidentních DOS virů. Obdobou nerezidence jsou makroviry, které nepřenášejí svůj kód do oblasti systémových maker – aby infikovaly jiné soubory dokumentů, buď je hledají pomocí souborových funkcí zabudovaných ve Wordu, nebo odkazují na seznam posledních upravené soubory (seznam naposledy použitých souborů) . Takové viry pak dokument otevřou, infikují a zavřou.

    Algoritmus práce excelových makrovirů

    Metody šíření virů aplikace Excel jsou obecně podobné metodám šíření virů aplikace Word. Rozdíly jsou v příkazech kopírování makra (například Sheets.Copy) a při absenci NORMAL.DOT - jeho funkci (ve virálním smyslu) plní soubory v adresáři Excel STARTUP. Je třeba poznamenat, že existují dvě možné možnosti umístění kódu makroviru v tabulkách aplikace Excel. Naprostá většina těchto virů píše svůj kód ve formátu VBA (Visual Basic for Applications), ale existují viry, které svůj kód ukládají ve starém formátu Excelu verze 4.0. Takové viry se v podstatě neliší od virů VBA, s výjimkou rozdílů ve formátu umístění virových kódů v excelových tabulkách. Přestože novější verze Excelu (od verze 5) používají pokročilejší technologie, možnost spouštět makra ze starších verzí Excelu byla zachována, aby byla zachována kompatibilita. Z tohoto důvodu jsou všechna makra napsaná ve formátu Excel 4 plně funkční ve všech následujících verzích, a to i přesto, že Microsoft jejich použití nedoporučuje a k Excelu nepřikládá potřebnou dokumentaci.

    Virový algoritmus pro Access

    Protože je Access součástí balíčku Office Pro, jsou viry Accessu stejná makra v jazyce Visual Basic jako jiné viry, které infikují aplikace Office. V tomto případě však místo automatických maker má systém automatické skripty, které systém volá při různých událostech (například Autoexec). Tyto skripty pak mohou volat různé makro programy. Při infikování databází Accessu tedy virus potřebuje nahradit nějaký automatický skript a zkopírovat jeho makra do infikované databáze. Infikování skriptů bez dalších maker není možné, protože skriptovací jazyk je dosti primitivní a neobsahuje k tomu potřebné funkce.

    Je třeba poznamenat, že z hlediska Accessu se skripty nazývají makra (makro) a makra moduly (modul), nicméně v budoucnu se bude používat jednotná terminologie - skripty a makra. Čištění databází Accessu je složitější úkol než odstraňování jiných makrovirů, protože v případě Accessu je nutné neutralizovat nejen virová makra, ale i auto-skripty. A protože značná část práce Accessu je přiřazena právě skriptům a makrům, může nesprávné smazání nebo deaktivace jakéhokoli prvku vést k nemožnosti operací s databází. Totéž platí pro viry – nesprávné nahrazování automatických skriptů může vést ke ztrátě dat uložených v databázi.

    AmiPro viry

    Při práci s libovolným dokumentem vytvoří editor AmiPro dva soubory - text samotného dokumentu (s příponou názvu SAM) a doplňkový soubor obsahující makra dokumentu a případně další informace (přípona názvu - SMM). Formát obou souborů je vcelku jednoduchý – jedná se o prostý textový soubor, ve kterém jsou v podobě běžných textových řádků přítomny jak editovatelný text, tak ovládací příkazy. Dokument lze přiřadit libovolnému makru ze souboru SMM (příkaz AssignMacroToFile). Toto makro je analogické s AutoOpen a AutoClose v MS Word a je voláno editorem AmiPro při otevírání nebo zavírání souboru. AmiPro zjevně nemá schopnost umístit makra do "společné" oblasti, takže viry pro AmiPro mohou infikovat systém pouze při otevření infikovaného souboru, ale ne při nabootování systému, jak se to děje s MS-Wordem po infikování soubor NORMAL.DOT. Stejně jako MS Word, i AmiPro umožňuje přepsat systémová makra (např. SaveAs, Save) pomocí příkazu ChangeMenuAction. Při volání přepsaných funkcí (příkazů nabídky) přebírají kontrolu infikovaná makra, tzn. kód viru.

    Stealth viry

    Zástupci této třídy používají různé prostředky k maskování své přítomnosti v systému. Toho je obvykle dosaženo zachycením řady systémových funkcí odpovědných za práci se soubory. Technologie „stealth“ znemožňují detekci viru bez speciálních nástrojů. Virus maskuje jak přírůstek délky postiženého objektu (souboru), tak své vlastní tělo v něm a „nahrazuje“ „zdravou“ část souboru.

    Antivirové programy během kontroly počítače čtou data – soubory a systémové oblasti – z pevných disků a disket pomocí operačního systému a systému BIOS. Stealth – viry, neboli neviditelné viry, po spuštění zanechají v paměti RAM počítače speciální moduly, které zachytí přístup programů k diskovému subsystému počítače. Pokud takový modul zjistí, že se uživatelský program pokouší číst infikovaný soubor nebo systémovou oblast disku, načtená data za běhu nahradí a zůstane tak bez povšimnutí, čímž podvede antivirové programy.

    Stealth viry se také mohou skrývat ve formě proudů v systémových a jiných procesech, což také značně ztěžuje jejich detekci. Takové stealth viry nelze vidět ani v seznamu všech aktuálně běžících procesů v systému.

    Existuje snadný způsob, jak vypnout mechanismus maskování viru stealth. Stačí nabootovat počítač z neinfikované systémové diskety a prohledat počítač antivirovým programem bez spouštění programů z disku počítače (může se ukázat, že jsou infikované). V tomto případě se viru nepodaří získat kontrolu a nainstalovat do RAM rezidentní modul, který implementuje stealth algoritmus, antivirus přečte informace skutečně zapsané na disku a snadno odhalí „bacil“.

    Většina antivirových programů působí proti pokusům stealth virů zůstat bez povšimnutí, ale abychom jim nenechali jedinou šanci, před kontrolou počítače antivirovým programem by měl být počítač nahrán z diskety, na kterou je anti - také by měly být napsány virové programy. Mnoho antivirů je tak úspěšných v odolávání stealth virům, že je odhalí, když se snaží zamaskovat. Takové programy čtou programové soubory, které mají být zkontrolovány, z disku pomocí několika různých metod - například pomocí operačního systému a prostřednictvím systému BIOS: pokud jsou nalezeny neshody, dochází k závěru, že v paměti RAM je pravděpodobně skrytý virus. .

    Polymorfní viry

    Polymorfní viry zahrnují ty, jejichž detekce je nemožná (nebo extrémně obtížná) pomocí tzv. virových signatur – částí trvalého kódu specifického pro konkrétní virus. Toho je dosaženo dvěma hlavními způsoby - zašifrováním hlavního virového kódu nepermanentním klíčem a náhodnou sadou dešifrovacích příkazů nebo změnou samotného spustitelného virového kódu. Existují i ​​další poněkud exotické příklady polymorfismu – například DOS virus „Bomber“ je nešifrovaný, ale sekvence příkazů, které přenášejí řízení na kód viru, je zcela polymorfní.

    Polymorfismus různého stupně složitosti se vyskytuje u virů všech typů – od bootovacích a souborových DOS virů až po viry Windows a dokonce i makroviry.

    Většina otázek souvisí s pojmem „polymorfní virus“. Tento typ počítačového viru je zdaleka nejnebezpečnější.

    Polymorfní viry jsou viry, které upravují svůj kód v infikovaných programech tak, že se dvě instance stejného viru nemusí shodovat v jednom bitu.

    Takové viry nejen zašifrují svůj kód pomocí různých šifrovacích cest, ale obsahují také generační kód šifrovače a dešifrovače, což je odlišuje od běžných šifrovacích virů, které dokážou zašifrovat i části svého kódu, ale zároveň mají konstantní kód šifrovače a dešifrovače.

    Polymorfní viry jsou viry se samomodifikačními dekodéry. Účelem takového šifrování je, že pokud máte infikovaný a původní soubor, stále nebudete moci analyzovat jeho kód pomocí konvenčního rozebrání. Tento kód je zašifrovaný a je to nesmyslná sada příkazů. Dešifrování provádí samotný virus za běhu. Možnosti jsou přitom možné: dokáže se dešifrovat sám najednou, nebo takové dešifrování může provádět „za pochodu“, může opět šifrovat již rozpracované úseky. To vše se děje kvůli ztížení analýzy virového kódu.

    Polymorfní dešifrovače

    Polymorfní viry používají ke generování kódu svých dešifrovačů složité algoritmy: instrukce (nebo jejich ekvivalenty) jsou prohozeny z infekce do infekce, ředěny příkazy, které nic nemění, jako NOP, STI, CLI, STC, CLC, DEC nepoužitý registr, XCHG nepoužité registry atd. d.

    Plnohodnotné polymorfní viry používají ještě složitější algoritmy, v důsledku čehož se dešifrovač virů může setkat s operacemi SUB, ADD, XOR, ROR, ROL a dalšími v libovolném počtu a pořadí. Načítání a změna klíčů a dalších parametrů šifrování je rovněž prováděna libovolnou sadou operací, ve kterých mohou probíhat téměř všechny instrukce procesoru Intel (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP ...) se všemi možnými režimy adresování. Objevují se i polymorfní viry, jejichž decryptor využívá instrukce až Intel386 a v létě 1997 byl objeven 32bitový polymorfní virus, který infikuje soubory Windows95 EXE. Nyní již existují polymorfní viry, které mohou využívat i různé příkazy moderních procesorů.

    Výsledkem je, že na začátku souboru infikovaného takovým virem je sada zdánlivě nesmyslných instrukcí a některé kombinace, které jsou docela účinné, nejsou převzaty proprietárními disassemblery (například kombinace CS:CS: nebo CS :NOP). A mezi touto "kaší" příkazů a dat občas proklouznou MOV, XOR, LOOP, JMP - instrukce, které opravdu "fungují".

    Úrovně polymorfismu

    Existuje rozdělení polymorfních virů do úrovní v závislosti na složitosti kódu, který se nachází v dekodérech těchto virů. Toto rozdělení poprvé navrhl Dr. Alan Solomon, po nějaké době Vesselin Bonchev ji rozšířil.

    Úroveň 1: viry, které mají určitou sadu dešifrovačů s trvalým kódem a při infekci si jeden z nich vyberou. Takové viry jsou „semi-polymorfní“ a nazývají se také „oligomorfní“ (oligomorfní). Příklady: "Cheeba", "Slovensko", "Whale".
    Úroveň 2: Dekodér viru obsahuje jednu nebo více trvalých instrukcí, ale jejich hlavní část není trvalá.
    Úroveň 3: Dešifrovač obsahuje nepoužité instrukce - "smetí" jako NOP, CLI, STI atd.
    Úroveň 4: Dešifrovač používá zaměnitelné instrukce a instrukce pro změnu pořadí (promíchání). Algoritmus dešifrování se nemění.
    Úroveň 5: jsou použity všechny výše uvedené triky, dešifrovací algoritmus je nestabilní, je možné znovu zašifrovat kód viru a dokonce částečně zašifrovat samotný kód dešifrovače.
    Úroveň 6: permutující viry. Hlavní kód viru podléhá změnám - je rozdělen do bloků, které se během infekce přeskupují v libovolném pořadí. Virus zůstává aktivní. Takové viry mohou být nešifrované.

    Výše uvedené rozdělení není prosté nedostatků, protože je provedeno podle jediného kritéria - schopnosti detekovat virus pomocí dešifrovacího kódu pomocí standardní techniky masky viru:

    Úroveň 1: k detekci viru stačí mít několik masek

    Úroveň 2: detekce masky pomocí „zástupných karet“

    Úroveň 3: detekce masky po odstranění instrukcí smetí

    Úroveň 4: Maska obsahuje několik možných možností kódu, tzn. se stává algoritmickým
    Úroveň 5: neschopnost detekovat virus maskou

    Nedostatečnost tohoto dělení byla prokázána u viru 3. úrovně polymorfismu, který se nazývá "Level3". Tento virus, který je jedním z nejsložitějších polymorfních virů, spadá do úrovně 3 podle výše uvedeného rozdělení, protože má konstantní dešifrovací algoritmus, kterému předchází velké množství příkazů „garbage“. V tomto viru však byl algoritmus generování „odpadků“ doveden k dokonalosti: téměř všechny instrukce procesoru i8086 lze nalézt v kódu decryptoru.

    Pokud provedeme rozdělení do úrovní z hlediska antivirů, které používají systémy automatického dešifrování virového kódu (emulátory), pak rozdělení do úrovní bude záviset na složitosti emulace virového kódu. Virus je také možné detekovat jinými metodami, například dešifrováním pomocí základních matematických zákonů atd.

    Proto se mi zdá objektivnější rozdělení, na kterém se kromě kritéria virových masek podílejí i další parametry:

    Stupeň složitosti polymorfního kódu (procento všech instrukcí procesoru, které lze nalézt v kódu dešifrovače)
    Používání anti-emulátorových triků
    Perzistence dešifrovacího algoritmu
    Konstanta délky dekodéru

    Změna spustitelného kódu

    Nejčastěji takovou metodu polymorfismu využívají makroviry, které při vytváření nových kopií sebe sama náhodně mění názvy svých proměnných, vkládají prázdné řádky nebo jinak mění svůj kód. Algoritmus viru tedy zůstává nezměněn, ale kód viru se téměř úplně mění od infekce k infekci.

    Méně často tuto metodu používají složité boot viry. Takové viry vloží do boot sektorů pouze poměrně krátkou proceduru, která načte hlavní kód viru z disku a předá mu kontrolu. Kód pro tento postup se vybírá z několika různých možností (které lze také zředit "prázdnými" příkazy), příkazy se mezi sebou přeskupují a tak dále.

    U souborových virů je tato technika ještě vzácnější, protože musí zcela změnit svůj kód, což vyžaduje poměrně složité algoritmy. K dnešnímu dni jsou známy pouze dva takové viry, z nichž jeden („Ply“) náhodně pohybuje svými příkazy po svém těle a nahrazuje je příkazy JMP nebo CALL. Jiný virus ("TMC") používá složitější metodu - pokaždé, když se infikuje, virus prohodí bloky svého kódu a dat, vloží "smetí", nastaví nové hodnoty offsetu pro data ve svých instrukcích assembleru, změní konstanty atd. . Výsledkem je, že ačkoli virus nešifruje svůj kód, jedná se o polymorfní virus – kód neobsahuje stálou sadu příkazů. Navíc při vytváření nových kopií sebe sama mění virus svou délku.

    Viry podle typu destruktivních akcí

    Podle typu destruktivních akcí lze viry rozdělit do tří skupin:

    Informační viry (viry první generace)

    Takzvané viry první generace jsou všechny v současnosti existující viry, jejichž činnost je zaměřena na zničení, úpravu nebo krádež informací.

    Hardwarové viry (viry druhé generace)

    Tento typ viru je schopen poškodit hardware počítače. Například vymazat BIOS nebo jej poškodit, rozbít logickou strukturu pevného disku tak, že jej bude možné obnovit pouze nízkoúrovňovým formátováním (a i to ne vždy). Jediným zástupcem tohoto typu je nejnebezpečnější ze všech, co kdy existoval, virus Win95.CIH "Chernobl". Najednou tento virus vyřadil z provozu miliony počítačů. Vymazal program z BIOSu, čímž deaktivoval počítač, a totéž zničilo všechny informace z pevného disku, takže bylo téměř nemožné je obnovit.

    V současné době nebyly nalezeny žádné "divoké" hardwarové viry. Odborníci však již předpovídají výskyt nových virů tohoto druhu, které mohou infikovat BIOS. Pro ochranu před takovými viry se na každé základní desce plánuje vytvořit speciální propojky, které budou blokovat zápis do BIOSu.

    Psychotropní viry (viry třetí generace)

    Tyto viry jsou schopny zabít člověka tím, že ho ovlivní prostřednictvím monitoru nebo reproduktorů počítače. Reprodukcí určitých zvuků, dané frekvence nebo určitého blikání různých barev na obrazovce mohou psychotropní viry způsobit epileptický záchvat (u lidí k tomu náchylných), zástavu srdce, mozkové krvácení.

    O skutečné existenci takových virů naštěstí dodnes není známo. Mnoho odborníků zpochybňuje obecnou existenci tohoto typu viru. Jedno je ale jisté. Psychotropní technologie byly již dlouho vynalezeny, aby ovlivnily člověka prostřednictvím zvuku nebo obrazu (neplést s rámem 25). U člověka náchylného k tomu je velmi snadné vyvolat epileptický záchvat. Před několika lety se v některých médiích rozkřiklo o vzniku nového viru s názvem „666“. Tento virus po každých 24 snímcích zobrazí na obrazovce speciální kombinaci barev, která může změnit život diváka. V důsledku toho se člověk dostane do hypnotického transu, mozek ztrácí kontrolu nad prací těla, což může vést k bolestivému stavu, změně režimu činnosti srdce, krevního tlaku atd. Barevné kombinace ale dnes zákon nezakazuje. Na obrazovce se tedy mohou objevit zcela legálně, ačkoli výsledky jejich dopadu mohou být pro nás všechny katastrofální.

    Příkladem takového dopadu je kreslený film „Pokémon“, po představení jednoho ze seriálů v Japonsku skončily stovky dětí v nemocnicích s hroznými bolestmi hlavy, krvácením do mozku. Někteří z nich zemřeli. V karikatuře byly snímky s jasnou generací určité palety barev, zpravidla se jedná o červené záblesky na černém pozadí v určité sekvenci. Po tomto incidentu byla tato karikatura zakázána promítat v Japonsku.

    Lze uvést ještě jeden příklad. Každý si asi pamatuje, co se dělo v Moskvě po odvysílání utkání naší fotbalové reprezentace s japonským týmem (pokud se nepletu). Jenže na velké obrazovce bylo jen video, jak muž s netopýrem rozdrtil auto. To je také psychotropní účinek, vidět video "lidi" začali ničit vše a všechny, kteří jim stáli v cestě.

    Materiály a údaje byly převzaty ze zdrojů:
    http://www.stopinfection.narod.ru
    http://hackers100.narod.ru
    http://broxer.narod.ru
    http://www.viruslist.com
    http://logic-bratsk.ru
    http://www.offt.ru
    http://www.almanet.info

    • Chcete-li psát komentáře, přihlaste se nebo zaregistrujte
    12.09.2013

    - jsou základem většiny makrovirů. Jsou jakýmisi předky celé rodiny makrovirů a jsou také jednou z podskupin. Jsou napsány v obrovském množství programovacích jazyků - od VBS, JS až po BAT a PHP. Hlavním znakem takového škodlivého softwaru je, že se zdá, že je svázán s jedním z vestavěných programovacích jazyků, ve kterých byl vytvořen. Svou podstatou skriptové viry jsou souborem specifických instrukcí, které způsobují, že konkrétní program provádí ty akce, které dříve jeho tvůrci neumožňovali – destruktivní akce.

    Za zmínku stojí, že používání různých skriptů, appletů není samo o sobě škodlivou akcí, spíše naopak, jejich použití pro uživatele ano, protože různé chaty, dialogy a další funkce se objevují výhradně při používání těchto mikroprogramů. Ale v případě, že je do těchto skriptů a apletů vložen škodlivý software, pak mohou útočníci dokonce získat přístup k důvěrným informacím uloženým v počítači uživatele, samozřejmě jsou možné vážnější následky - až po zformátování pevného disku, na který mohou ukládat data, která by se neměla dostat do nesprávných rukou. Přirozeně, že takové viry, které jsou schopny doslova zničit systém, budou poněkud méně časté než ty, které jsou schopny číst informace z osobního počítače uživatele. Stojí za zmínku, že antivirový software nebude schopen detekovat malware. Snad za jediné plus na celé situaci lze považovat to, že ochrana prohlížeče může fungovat jak má a skriptové viry lze zjistit, protože tvůrci prohlížečů o tomto typu škodlivého softwaru hodně vědí.

    Přečtěte si více: