نرم افزارهای جاسوسی روی کامپیوتر چگونه نرم افزارهای جاسوسی را شناسایی و حذف کنیم؟ ویروس جاسوسی یا آنچه در پشت جنگ های اطلاعاتی نهفته است

برای تشخیص علائم جاسوسی بدافزار، به احساسات شخصی خود گوش دهید. اگر به نظر می رسد که رایانه بسیار کندتر شده است یا اتصال اینترنت دیگر آنطور که باید سریع نیست، این اولین علائمی است که نیاز به توضیح بیشتر دارد.

به هر حال، هر آنتی ویروسی به طور قابل اعتماد خطر را تشخیص نمی دهد. یک نمای کلی از بهترین سیستم ها را می توان در جدول زیر مشاهده کرد. برای آنها باید از 800 تا 1800 روبل بپردازید، اما آنها نسبتاً شما را از حملات محافظت می کنند. در عین حال نباید از افت عملکرد به دلیل استفاده از آنتی ویروس ترسید. نسخه های مدرن عملاً بر سرعت رایانه تأثیر نمی گذارد.

مجرمان سایبری در هر ساعت 100 ویروس جدید منتشر می کنند. کامپیوتر رومیزی- هدف اصلی نرم افزارهای جاسوسی آفات تنها زمانی قابل تشخیص هستند که انتخاب درستخدمات رفاهی. فقط چند برنامه به طور قابل اعتماد از رایانه شما در برابر نرم افزارهای جاسوسی محافظت می کنند. در زیر رهبران بازار هستند.

از چندین اسکنر به صورت موازی استفاده کنید

نرم افزارهای جاسوسی یا در سیستم تحت پوشش یک سرویس حفاری می کنند یا در داخل برنامه های فردی. برخی از ویروس‌های عمیق می‌توانند حتی از ابزارهای دفاعی مدرن پنهان شوند. متخصصان در امنیت اطلاعاتدر سال های اخیر، آسیب پذیری ها در سیستم های آنتی ویروس: اخیراً یک متخصص تاویس اورماندیکار در بخش پروژه صفرشرکت گوگل، نقص های عمیقی را در محصولات سیمانتک آشکار کرد.

به ویژه، او از این واقعیت استفاده کرد که سیمانتک این حق را دارد که کد داخل بسته بندی را باز کند هسته ویندوز. با استفاده از روش سرریز بافر، مهندس توانست کدهای مخرب را با حقوق هسته اجرا کند و در نتیجه دور بزند. محافظت از آنتی ویروس- و این فقط یک مثال است.

بنابراین، بررسی با چندین ابزار مفید بسیار مهم است. برای امنیت بیشتر، از برنامه استفاده کنید ابزار اسکن بازیابی Farbar، که گزارش های سرویس های در حال اجرا را ذخیره می کند.

ابزار را راه اندازی کنید و روی "اسکن" کلیک کنید. در پایان فرآیند، در پوشه برنامه، یک گزارش به نام "frst.txt" پیدا خواهید کرد. این فایل را باز کنید و به بخش "خدمات" بروید. در اینجا، به دنبال نام هایی باشید که به نرم افزارهای جاسوسی اشاره می کنند، مانند "SpyHunter". اگر در مورد هیچ یک از آنها مطمئن نیستید، جستجوی گوگل را بررسی کنید.

زمانی که مهمانان ناخوانده شناسایی شدند، برنامه را اجرا کنید SpyBot Search & Destroyو سیستم را اسکن کنید. پس از آن دوباره اجرا کنید ابزار فربر. اگر در نتیجه دیگر سرویس مشکوک را مشاهده نکردید، ویروس حذف شده است. در مواردی که SpyBot چیزی را شناسایی نمی کند، یک اسکنر از آن را اعمال کنید Malwarebytesیا اسکنر آنلاین ESET.

دستورالعمل حفاظت

کامپیوتر خود را با Farbar (1) اسکن کنید. این ابزار همه سرویس های در حال اجرا را در گزارش نمایش می دهد. اگر چیز مشکوکی پیدا نشد، با برنامه از طریق سیستم بروید ESET آنلایناسکنر (2). موذی ترین ویروس ها را فقط می توان با راه حل Rescue Disk از Kaspersky Lab حذف کرد (3).

برنامه های ویژه برای کمک های اضطراری

حتی هنگام انجام انواع بررسی‌ها، باید در نظر داشت که ویروس‌های به‌ویژه موذی مانند روت‌کیت‌ها آنقدر در سیستم پنهان شده‌اند که اسکن Farbar و سایر برنامه‌ها قادر به شناسایی آنها نیستند.

بنابراین، در پایان، همیشه سیستم را با یک ابزار بررسی کنید دیسک نجات کسپرسکی. او هست سیستم لینوکس، که جدا از ویندوز اجرا می شود و رایانه را بر اساس امضاهای به روز ویروس بررسی می کند. به لطف آن، شما حتی پیچیده ترین بدافزارها را نیز در معرض دید قرار می دهید و رایانه خود را از جاسوسان پاک می کنید.

برای مسدود کردن برنامه های sniffing در آینده، باید از آن استفاده کنید آخرین نسخهآنتی ویروس و همه کلید را نصب کنید به روز رسانی سیستم. برای اطمینان از اینکه پیشنهادات شخص ثالث که به طور خودکار به روز نمی شوند همیشه به روز هستند، به یک بسته آنتی ویروس جامع مراجعه کنید Kaspersky Internet Security(مجوز دو دستگاه 1800 روبل هزینه دارد). همچنین محافظت ضد جاسوس افزار را فراهم می کند.

عکس:شرکت های تولیدی

ویروس ها، جاسوس ها و شماره گیرها: چه کسی، چرا و چگونه

فکر می‌کنم اگر امروز از هر دانش‌آموزی بپرسید که لوسان چیست، او به شما در مورد "الیاف مصنوعی که از چند تراکم اتیلن گلیکول و اسید دی بازیک معطر به دست می‌آید" نمی‌گوید. نه، پاسخ او اینگونه خواهد بود: «Lo-vesan، مستعار msblast، نفوذ به سیستم عامل خانواده ویندوز مایکروسافت NT، از یک آسیب‌پذیری در سرویس Microsoft Windows DCOM RPC استفاده می‌کند. «می‌ترسم حدس بزنم که بعد از مدتی چه ارتباطی با کلمه doom وجود خواهد داشت. بدیهی است که نه تنها با بازی با همین نام.

همانطور که از عنوان و مقدمه متوجه شدید، گفتگوی امروز در مورد ویروس ها و موارد مشابه خواهد بود. قبل از پرداختن به پاسخ به سؤالات مطرح شده در عنوان، می خواهم مستقیماً به سراغ «مهمانان» امروزمان بروم. در اینجا، پاسخی در مورد نحوه ورود همه اینها به رایانه های ما داده خواهد شد.

ویروس ها
ویروس ها برنامه هایی هستند که پیامدهای مخربی را به همراه دارند. و مهم نیست که آنها چه هستند: همه چیز می تواند اینجا باشد - از جایگزینی پیش پا افتاده مجوزهای فایل و آسیب به محتوای داخلی آن تا اختلال در اینترنت و فروپاشی سیستم عامل. همچنین، ویروس برنامه‌ای است که نه تنها دارای عملکردهای مخرب است، بلکه قابلیت بازتولید نیز دارد. در اینجا چیزی است که یک کتاب هوشمند در این باره می‌گوید: «یک ویژگی اجباری (ضروری) یک ویروس رایانه‌ای، توانایی ایجاد نسخه‌های تکراری خود (نه لزوماً یکسان با نسخه اصلی) و تزریق آن‌ها به داخل آن است. شبکه های کامپیوترو/یا فایل ها، نواحی سیستم کامپیوتری و سایر اشیاء اجرایی. در عین حال، نسخه های تکراری توانایی انتشار بیشتر "((ج) اوگنی کسپرسکی. "ویروس های کامپیوتری") را حفظ می کنند. در واقع، برای زنده ماندن، ویروس ها نیاز به تکثیر دارند و این توسط علمی مانند زیست شناسی ثابت شده است. به هر حال، از آن ویروس های بسیار بیولوژیکی است و یک نام کامپیوتر وجود داشت. و آنها خودشان نام خود را کاملاً توجیه کردند: همه ویروس ها ساده هستند و با این وجود، علیرغم تلاش شرکت های آنتی ویروس که هزینه های آنها با مبالغ هنگفتی محاسبه می شود. آنها زندگی می کنند و پیشرفت می کنند. ویروسی مانند I-Worm.Mydoom.b. بارها گفته شده است که نمی توانید پیوست های افراد ناشناس را باز کنید و پیام های افراد شناخته شده باید با احتیاط برخورد شود، به خصوص اگر در مورد آن موافق نبودید. این ایمیل حاوی چیزی شبیه به این است: "بررسی کنید عکس باحالدوست دختر من"، پس باید فوراً به سطل زباله فرستاده شود. اما اگر در مثال بالا متن هنوز منطقی باشد، پس محتوای نامه های آلوده به mydoom نسبتاً عجیب است. خودتان قضاوت کنید:

پیام را نمی توان در رمزگذاری ASCII 7 بیتی نشان داد و به عنوان یک فایل پیوست باینری ارسال شده است. پیام جزئی دریافت شده است. پیام حاوی کاراکترهای یونیکد است و به عنوان یک پیوست باینری ارسال شده است. پیام حاوی گرافیک کدگذاری شده با MIME است و به عنوان یک پیوست باینری ارسال شده است. تراکنش پستی ناموفق بود. پیام جزئی موجود است.

نامه حاوی یک فایل با 9 گزینه برای نام فایل پیوست و 5 گزینه برای پسوند است. دو نسخه به جعبه من آمد. اولی یک آرشیو فشرده با ظاهراً یک فایل doc، و دومی یک exe ساده "shnik با نماد جایگزین شده با نماد دفترچه یادداشت. اگر در حالت دوم، هر کاربری با مشاهده رزولوشن متوجه شکافی شود، پس در مورد اول، انجام آن دشوارتر است، دقیقاً در مورد اول، تمایل به نسبت دادن دارم بزرگترین عددعفونت ها این ویروس چه می کند، من نمی گویم، زیرا. این قبلاً بارها در رسانه های مکتوب و منابع آنلاین گفته شده است. در مثال Mydoom با اولین راه انتشار ویروس - از طریق ایمیل - آشنا شدیم.

بیایید به روش بعدی با استفاده از Worm.Win32.Lovesan (همچنین به عنوان msblast شناخته می شود) به عنوان مثال نگاه کنیم. چه چیزی در مورد این ویروس قابل توجه است و چرا به یک عفونت گسترده تبدیل شده است؟ این فرد از این جهت قابل توجه است که اصولاً بر عملکرد سیستم به عنوان یک کل تأثیر نمی گذارد. کامپیوتر آلوده به آن به سادگی نمی تواند به طور معمول در اینترنت گشت و گذار کند. پس از مدتی، علامتی با پیغام خطای RPC ظاهر می شود و پس از آن کامپیوتر دوباره راه اندازی می شود. عفونت چگونه رخ می دهد؟ این ویروس از یک آسیب پذیری در سرویس DCOM RPC در Microsoft Windows 2000/XP/2003 سوء استفاده می کند و از طریق پورت 135 یک آدرس IP خاص وارد رایانه کاربر می شود. چگونه یک مهاجم دقیقا آدرس شما را پیدا می کند؟ بله خیلی ساده اکنون تعداد زیادی اسکنر IP نوشته شده است که حتی یک کودک پیش دبستانی می تواند به راحتی آدرس های IP را پیدا کند و نگاه کند پورت ها را باز کنیدکه از طریق آن می توانید ویروس را در رایانه خود دانلود کنید. برای وضوح، نشان خواهم داد که چگونه عفونت مستقیماً با ویروس Lovesan رخ می دهد. این کرم آدرس های IP را برای پورت های باز و محافظت نشده اسکن می کند. فرآیند در نمودار نشان داده شده است:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- مکث 1.8 ثانیه
20.40.50.20
...
20.40.50.39
----------- مکث 1.8 ثانیه
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
و با همین روحیه و فراتر از آن ادامه می یابد.

کرم یکی از دو روش را برای اسکن انتخاب می کند. روش اول: اسکن یک آدرس پایه تصادفی (A.B.C.D)، که در آن D 0 است و A، B، C به طور تصادفی از محدوده 1-255 انتخاب می شوند. محدوده اسکن به شرح زیر است: ...0.
روش دوم: کرم آدرس را تعیین می کند کامپیوتر محلی(A.B.C.D)، D را صفر می کند و مقدار C را انتخاب می کند. اگر C بزرگتر از 20 باشد، کرم عدد تصادفی بین 1 و 20 را انتخاب می کند. اگر C کمتر یا مساوی 20 باشد، کرم آن را تغییر نمی دهد. . بنابراین، راه دوم انتشار ویروس ها از طریق پورت های کامپیوتری محافظت نشده، با استفاده از شکاف های موجود در نرم افزار است.
راه سوم در هنگام دانلود فایل ها از طریق اینترنت است (چه بخواهید چه نخواهید). باز هم با مثال توضیح می دهم. مثال مطلوب آیا از وب دانلود می کنید؟ جوک جدیدیا یک برنامه یا یک بازی و آلوده به ویروس است. پس از دانلود برنامه / بازی / جوک شروع می شود و - voila - شما صاحب ویروس هستید. در اینجا چه می توان گفت؟ هوشیار باشید، به طور مرتب پایگاه داده های آنتی ویروس خود را به روز کنید، همه برنامه ها را با آنتی ویروس چک کنید و حداقل اصول اولیه را فراموش نکنید. امنیت رایانه. ممکن است کسی بگوید: "مثلاً چرا باید برنامه هایی را که آلوده به ویروس نیستند بررسی کنم؟" من می خواهم بپرسم: "اینها چه نوع برنامه هایی هستند؟" هر برنامه ای می تواند آلوده شود، به خصوص اگر از warezniks یا وب سایت های گروه های هکر دانلود شود.

حالا بیایید به سراغ دانلود ناخواسته برویم. من دو نوع از چنین بارگیری را مشخص می کنم. اول: زمانی که کاربر از بارگیری چیزی در رایانه خود بی خبر باشد. این دانلود با اجرای اسکریپت ها انجام می شود. نوع دوم دانلود ناخواسته زمانی است که چیزی اشتباه دانلود شود. من برای شما یک مثال می زنم. زمانی، یکی از سایت‌هایی که بلافاصله قبل از دانلود یک فایل کرک داشتند، نصب «نوار XXX رایگان» یا «100% کرک اینترنت» را پیشنهاد کرد. اگر کاربر با این موافق بود (و من مطمئن هستم که چنین مواردی وجود داشته است، زیرا هنوز سؤال ماه در "ویرتوال جویز" در مورد "کرک اینترنت 100٪" را به یاد دارم)، یک تروجان یا ویروس دانلود شد. اصولاً تفاوت کم است. با این حال، این جالب ترین چیز نیست: اگر چنین پیشنهاد وسوسه انگیزی رد شود، علامتی با کتیبه ای ظاهر می شود که تقریباً به شرح زیر است: "خطای سایت" و یک دکمه OK یا Continue، با کلیک کردن روی آن تروجان هنوز دانلود شده است. با این حال، در حال حاضر بدون اطلاع کاربر. و فقط یک فایروال می تواند ما را از این امر نجات دهد.
ویروس ها علاوه بر عملکرد مخرب اصلی، چه عوارض جانبی را به همراه دارند؟ یکی از " برنامه های رایگان"- تابعی از حملات DOS (انکار سرویس) به هر سایتی. در اکثر موارد، سایت های شرکت های ضد ویروس، سایت های ضد هرزنامه و - چگونه ممکن است بدون آن باشد - سایت شرکت مایکروسافت که مدت ها در رنج است. یکی دیگر از عوارض جانبی نصب یک کامپوننت در پشتی است که به مهاجم کنترل کامل را بر رایانه کاربر می دهد.

جاسوسان
گروه بعدی شامل نرم افزارهای جاسوسی است که شامل ماژول های تبلیغاتی نیز می شود. راه اصلی برای توزیع این نوع برنامه ها، نصب آنها به عنوان یک جزء، اغلب غیرقابل تفکیک، در هر برنامه ای است. علاوه بر این، دانلودهای ناخواسته (به توضیحات بالا مراجعه کنید) و دانلود کوکی های ردیابی وجود دارد.
این افراد چه کار می کنند؟ بیایید با چیزهایی که برای جاسوسان و ابزارهای تبلیغاتی مزاحم رایج است شروع کنیم. هر دو نوع اطلاعات کاربر و رایانه او را جمع‌آوری می‌کنند، اعمال او را زیر نظر می‌گیرند، انواع جاسوس‌ها - reylogger "s - همچنین هر چیزی را که روی صفحه‌کلید ضربه زده‌اید در یک فایل ضبط می‌کنند. فعالیت شما در اینترنت نیز ردیابی می‌شود: آنچه بازدید می‌کنید، جایی که بیشتر معطل می‌شوید، روی پیوندهایی که روی آن کلیک می‌کنید. پس از جمع‌آوری داده‌ها، همه اطلاعات به مالک ارسال می‌شود. و در اینجا مسیرهای جاسوسی و ابزارهای تبلیغاتی مزاحم از هم جدا می‌شوند. پس از جمع‌آوری داده‌ها توسط ابزارهای تبلیغاتی مزاحم، اطلاعات اغلب به یک سوم فروخته می‌شود. حزبی که به دقت آن را مطالعه می کند. پس از آن، در بهترین موردیک برنامه خط مشی اینترنت شخص ثالث طراحی شده است مانند: چه چیزی را ارائه دهید، کجا تبلیغ خود را آویزان کنید. اما این در بهترین حالت است، و در بدترین حالت، مگا/کیلو/تن ایمیل های هرزنامه به سادگی شروع به ریختن به صندوق پستی شما می کنند.

جاسوس ها چه فرقی با هم دارند؟ پس از بررسی داده های همان reylogger "و یک مهاجم می تواند اطلاعات کاملاً محرمانه شخصی شما را پیدا کند، که بعداً می تواند برای باج گیری از آنها استفاده کند. و چنین مواردی وجود داشته است. علاوه بر این، او می تواند رمزهای عبور کاربر و همچنین را پیدا کند. پیدا کردن نقاط ضعف در سیستم به منظور استفاده از همه اینها برای نصب تروجان ها و اجزای درب پشتی است. در بالا بخوانید که چه چیزی را تهدید می کند.

شماره گیرها
روش های نفوذ آنها با روش هایی که در بالا توضیح داده شد متفاوت نیست. پس یکراست بریم سر اصل مطلب. در اینجا لازم است رزرو کنید که شماره گیرهای کاملاً صلح آمیزی وجود دارد که معمولاً به آنها "Dialers" گفته می شود. این برنامه‌ها برای کمک به شماره‌گیری «کاربران به ارائه‌دهنده دسترسی پیدا می‌کنند و در صورت امکان، حتی در خطوط قدیمی یا «ارتقای‌شده» با او ارتباط پایدار برقرار می‌کنند. همان‌هایی که در مورد آنها صحبت خواهیم کرد نام دیگری دارند - شماره گیرهای رزمی این برنامه ها با استفاده از شکاف های موجود در سیستم عامل و گاهی به دلیل سهل انگاری یا ساده لوحی کاربران (در مورد کرک 100% اینترنت به بالا مراجعه کنید)، این برنامه ها تلفن یک اپراتور مخابراتی از برخی کشورهای عجیب و غریب را جایگزین تلفن ارائه دهنده می کنند. علاوه بر این، در بیشتر موارد، تلفن ارائه‌دهنده خوب قدیمی در پنجره شماره‌گیری باقی می‌ماند. زمان داده شده. و خوب است کاربر عادت به خاموش کردن مودم داشته باشد یا اکسترنال داشته باشد و داد بزند که مامان گریه نکند. و اگر مودم ساکت و توکار هست؟ این همون چیزیه که من درباره اش حرف می زنم. و بیچاره تنها پس از رسیدن چنین قبض هنگفتی برای تلفن از غم خود مطلع می شود.

سازمان بهداشت جهانی
وقت آن است که در مورد اینکه چه کسی این همه کثافت را در وب می نویسد و راه اندازی می کند صحبت کنیم. در اینجا سعی خواهم کرد آن دسته از افرادی را که دست به این عمل ناشایست می زنند، دسته بندی کنم. در مورد هکرهای به اصطلاح "کلاه سفید" گفته نخواهد شد. من توضیح می دهم که چرا. این گونه برای جامعه خطری ندارد و بیشتر به نفع آن است. این آنها هستند که اغلب برای خنثی کردن افراد مضر، ضد ویروس می نویسند. چرا ویروس؟ این برنامه ها با مکانیزم مشابه ویروس ها پخش می شوند. چرا ضد؟ زیرا آنها نوع خاصی از ویروس را از رایانه مسدود یا حذف می کنند. تفاوت اصلی آنها با ویروس ها نیز در خود تخریبی پس از انجام وظیفه و عدم وجود هر گونه عملکرد مخرب است. به عنوان مثال ویروس مشابهی است که مدتی پس از بازگشت Lovesan در وب ظاهر شد.پس از دانلود ویروس آنتی ویروس Lovesan حذف شد و از کاربر خواسته شد که به روز رسانی های ویندوز را دانلود کند.هکرهای "White" نیز شکاف هایی را در نرم افزار پیدا می کنند و سیستم های کامپیوتریآه، پس از آن خطاهای یافت شده را به شرکت ها گزارش می دهند. حالا بیایید به طبقه بندی خود بپردازیم.

نوع اول: "فرزندان فیلمنامه". آنها خود را 37717 (00|_ HaCkeR-rr) می نامند، مجله "Hacker" را می خوانند، یک زبان برنامه نویسی واحد نمی دانند و با دانلود برنامه های آماده از وب، همه تروجان ها و ویروس های "خود" را ایجاد می کنند. برای جلوگیری از حملات، من رزرو می کنم که مجله هکر در اصل بد نیست و مطالب موجود در آن به شکل نسبتاً ساده ارائه شده است - اما در برخی مکان ها به شکلی ساده برای افرادی که قبلا مقداری دانش. تا انتها - برای اینکه آنها را به جایی جذب نکنید، باید فکر کنید.) این "هکرها" معمولاً پس از اینکه یک تروجان دانلود شده از جایی را برای کسی ارسال می کنند و دومی کار می کند، بلافاصله شروع به فریاد زدن در انجمن ها در مورد آنها می کنند. خونسردی، و غیره، و غیره. که آنها بلافاصله به درستی یکسری اظهارات بی طرفانه را در آدرس خود دریافت می کنند، زیرا اینطور نیست. آنها فقط تجربه یا (در برخی موارد) مغز را ندارند.

نوع دوم: "مبتدی". این نوعاز نوادگان مستقیم اولی است. برخی از نمایندگان نوع اول، پس از مدتی مشخص، شروع به درک می کنند که آنها آنقدرها هم که فکر می کردند باحال نیستند، به نظر می رسد که برخی از زبان های برنامه نویسی وجود دارند که می توانید کاری انجام دهید و سپس فریاد نزنید. در کل دنیا در مورد اینکه من چه پسر خوبی هستم. شاید برخی از آنها در آینده به نماینده کلاس حرفه ای تبدیل شوند. این افراد شروع به یادگیری زبان می کنند، سعی می کنند چیزی بنویسند، فکر خلاق در آنها شروع به بیدار شدن می کند. و در همان زمان، آنها شروع به ایجاد خطر خاصی برای جامعه می کنند، زیرا چه کسی می داند که چنین نماینده ای از طبقه ویروس نویسان می تواند از بی تجربگی چه اثر وحشتناکی بنویسد. از این گذشته، وقتی یک حرفه ای کد را می نویسد، هنوز متوجه می شود که برخی از کارها نیازی به انجام ندارند، زیرا. آنها می توانند مقابل او بازی کنند. یک مبتدی چنین دانشی ندارد و به همین دلیل خطرناک است.

نوع سوم: "طرفدار". از نوع دوم توسعه دهید. "طرفداران" با دانش عمیق زبان های برنامه نویسی متمایز می شوند، امنیت شبکه، عمق سیستم عامل ها را درک کند و از همه مهمتر دانش و درک بسیار جدی از نحوه عملکرد شبکه ها و سیستم های کامپیوتری داشته باشد. علاوه بر این، "طرفداران" نه تنها در مورد نقض های امنیتی از بولتن های شرکت یاد می گیرند، بلکه خود آنها را نیز پیدا می کنند. اغلب آنها در گروه های هکر متحد می شوند تا کیفیت "کار" خود را بهبود بخشند. این افراد عمدتاً مخفی هستند و حریص شهرت نیستند، هنگام انجام عملیات موفقیت آمیز نمی دوند تا تمام جهان را در مورد آن مطلع کنند، بلکه ترجیح می دهند موفقیت را در یک حلقه دوستان به طور مسالمت آمیز جشن بگیرند. البته آنها خطر بزرگی دارند، اما از آنجایی که همه آنها افراد آگاه هستند، اقداماتی را انجام نخواهند داد که باعث فروپاشی جهانی هیچ سیستمی شود - مثلاً اینترنت. اگرچه استثنائاتی وجود دارد (همه اسلمر "الف" را فراموش نکرده اند.

نوع چهار: "هکرهای صنعتی". خطرناک ترین نمایندگان خانواده هکرها برای جامعه. آنها را به حق می توان مجرمان واقعی نامید. به وجدان آنهاست که نوشته اکثر شماره گیران و هک شبکه های بانکی دروغ است. شرکت های بزرگو سازمان های دولتی چرا و چرا این کار را انجام می دهند، در ادامه صحبت خواهیم کرد. "صنعت گرایان" با هیچ چیز یا کسی حساب نمی کنند، این افراد می توانند برای رسیدن به اهداف خود هر کاری انجام دهند.

حال بیایید آنچه گفته شد را خلاصه کنیم. «بچه های فیلمنامه»: جوان-سبز و کم تجربه. می خوام نشون بدم که تو از همه باحال ترینی و فقط کول سام از تو باحال تره.
« مبتدی » : ولع نوشتن چیزی مستقل بود . برخی از آنها خوشبختانه پس از تلاش برای تسلط بر پیچیدگی‌های پروتکل‌های اینترنتی و زبان‌های برنامه‌نویسی، این تجارت را رها کرده و به سراغ کارهای صلح‌آمیزتری می‌روند.
"طرفدار": اگر دولت "به گناه، اندازه، درجه، عمق" خود پی برد، آنگاه نماینده ای از این نوع به یک متخصص امنیت رایانه با مهارت بالا تبدیل می شود. من دوست دارم افراد حرفه ای بیشتری به این وضعیت بروند.
«صنایع»: هیچ چیز مقدس نیست. حکمت عامیانه در مورد چنین افرادی به خوبی صحبت می کند: "قبر قوز را درست می کند."
این یک تقسیم تقریبی به انواع نمایندگان کلاس مزاحمان رایانه است. حالا بیایید به این سوال بپردازیم که چرا این کار را انجام می دهند.

برای چی
اما واقعا چرا ویروس ها، تروجان ها، شماره گیرها و دیگر ارواح شیطانی نوشته شده اند؟ یکی از دلایل میل به تأیید خود است. برای نمایندگان نوع اول و دوم معمول است. یکی فقط باید به دوستانش نشان دهد که "مثل یک بچه واقعی و باحال" است، دومی - در درجه اول برای بالا بردن سطح عزت نفس. دلیل دوم کسب تجربه است. معمولی برای مبتدیان. پس از نوشتن اولین شاهکار خود، مطمئناً می خواهید آن را روی کسی آزمایش کنید. نه روی خودم، واقعا بنابراین تعداد معینی از ویروس های جدید، نه همیشه بسیار خطرناک، در وب ظاهر می شوند. دلیل بعدی- روحیه رقابت آیا تا به حال در مورد مسابقات هکرها چیزی شنیده اید؟ آخرین مورد شناخته شده برای من در تابستان اتفاق افتاد. گروه هکر برزیلی برنده شد (معلوم شد که آنها فقط در فوتبال قوی نیستند). وظیفه به شرح زیر بود: چه کسی بیشترین سایت ها را خواهد شکست. اما من مطمئن هستم که مسابقاتی برای پیچیده ترین ویروس و بهترین ها وجود دارد کی لاگر. آدرنالین دلیل دیگری است. تصور کنید: شب، نور مانیتور، انگشتان در اطراف صفحه کلید می چرخند، دیروز یک رخنه در سیستم امنیتی پیدا شد، امروز باید سعی کنید به سیستم دسترسی پیدا کنید و به مدیر همکار نشان دهید که رئیس خانه است. به دنبال این دلیل بعدی می آید - عاشقانه. و چه کسی دوست دارد غروب خورشید را تماشا کند، چه کسی ستاره ها را دوست دارد و چه کسی دوست دارد ویروس بنویسد و سایت ها را خراب کند. این همه آدم، این همه سلیقه. دلیل این است - اعتراض سیاسی یا اجتماعی. به همین دلیل اکثر وب سایت های دولتی، وب سایت های احزاب سیاسی، نشریات چاپی و آنلاین و همچنین شرکت های بزرگ هک می شوند. برای مثال لازم نیست خیلی دور بگردید. بلافاصله پس از شروع جنگ در عراق، حملات ناراضیان از سیاست بوش به سایت های دولت آمریکا و همچنین سایت روزنامه عربی الجزیره و تعدادی دیگر از منابع عربی از طرف مقابل صورت گرفت. و، شاید، آخرین دلیل، پول همه جا حاضر است. به خاطر آنها، هکرهای صنعتی عمدتاً کار می کنند. با هک کردن شبکه های بانکی به حساب های مشتریان دسترسی پیدا می کنند. حدس زدن آنچه در ادامه می آید دشوار نیست. با جمع آوری اطلاعات در مورد هر کاربر شبکه از طریق نرم افزارهای جاسوسی، آنها بیشتر درگیر باج گیری پیش پا افتاده هستند. اقدامات انجام شده توسط "صنعت گران" را می توان برای مدت بسیار طولانی لیست کرد، فقط می خواهم یک بار دیگر بگویم که آنها مجرمان رایانه ای تمام عیار هستند و باید با آنها به عنوان جنایتکار رفتار کرد.

برای جلوگیری از ارسال نامه های خشم آلود خطاب به من با این موضوع: "بقیه اینقدر مهربان و پشمالو هستند، چرا اینقدر از آنها محافظت می کنید؟" ، موارد زیر را خواهم گفت. من قرار نبود از کسی محافظت کنم و هیچ یک از نمایندگان چهار گونه توصیف شده فرشته ای در بدن نیستند - همه آنها شر خاصی را حمل می کنند. اما هکرها به طور دوره ای به ما اطلاع می دهند که همه چیز در این دنیا عالی نیست. من برای شما یک مثال می زنم. ویروس Slammer که به طور موقت اینترنت را فلج کرد، از یک باگی که مایکروسافت سه ماه قبل آن را کشف و اصلاح کرده بود، سوء استفاده کرد. اما به خاطر داشته باشید که این مثال یک استثنا است. و لذا رعایت حداقل اصول اولیه امنیت کامپیوتر ضروری است.

آندری رادزویچ
این مقاله از مطالبی از دایره المعارف ویروس بزرگ، viruslist.com استفاده می کند

طبقه بندی ویروس ها

در حال حاضر وجود ندارد سیستم یکپارچهطبقه بندی و نامگذاری ویروس ها (اگرچه تلاشی برای ایجاد یک استاندارد در نشست CARO در سال 1991 انجام شد). جدا کردن ویروس ها مرسوم است:

توسط اشیاء آسیب‌دیده (ویروس‌های فایل، ویروس‌های بوت، ویروس‌های اسکریپت، ویروس‌های ماکرو، ویروس‌هایی که کد منبع را آلوده می‌کنند):

· در سیستم عامل ها و سیستم عامل های آسیب دیده (DOS، Windows، Unix، Linux، Android)؛

فن آوری های مورد استفاده توسط ویروس (ویروس های چند شکلی، ویروس های مخفی، روت کیت ها)؛

با زبانی که ویروس به آن نوشته شده است ( اسمبلر، زبان سطح بالابرنامه نویسی، زبان برنامه نویسی و غیره)؛

عملکردهای مخرب اضافی (درهای پشتی، کی لاگرها، جاسوسان، بات نت ها و غیره).

با جزئیات بیشتر ما ویروس ها - جاسوس ها را در نظر خواهیم گرفت.

ویروس ها جاسوس هستند

نرم افزارهای جاسوسی (جاسوس افزار نرم افزار، نرم افزار جاسوسی) برنامه ای است که به طور مخفیانه روی رایانه نصب می شود تا اطلاعات مربوط به پیکربندی رایانه، کاربر، فعالیت کاربر را بدون رضایت رایانه جمع آوری کند. آنها همچنین می توانند اقدامات دیگری را انجام دهند: تغییر تنظیمات، نصب برنامه ها بدون اطلاع کاربر، تغییر مسیر اقدامات کاربر

نرم افزارهای جاسوسی می توانند طیف وسیعی از وظایف را انجام دهند، مانند:

جمع آوری اطلاعات در مورد عادت های استفاده از اینترنت و سایت های پربازدید (برنامه ردیابی).

· ضربات کلید روی صفحه کلید (کی لاگرها) را به خاطر بسپارید و اسکرین شات های صفحه (اسکراپر) را ضبط کنید و سپس اطلاعات را برای سازنده نرم افزارهای جاسوسی ارسال کنید.

· کنترل غیرمجاز و از راه دور رایانه (نرم افزار کنترل از راه دور) - درهای پشتی، بات نت ها، پهپادها.

بر روی کامپیوتر کاربر نصب کنید برنامه های اضافی;

· برای تجزیه و تحلیل غیرمجاز وضعیت سیستم های امنیتی (نرم افزار تجزیه و تحلیل امنیتی) - پورت ها و اسکنرهای آسیب پذیری و کرکرهای رمز عبور استفاده شود.

تغییر پارامترهای سیستم عامل (نرم افزار اصلاح کننده سیستم) - روت کیت ها، رهگیرهای کنترل (رباینده ها) و غیره - منجر به کاهش سرعت اتصال به اینترنت یا قطع اتصال به این ترتیب، باز کردن سایر صفحات اصلی یا حذف برخی برنامه ها می شود.

تغییر مسیر فعالیت مرورگر، که مستلزم بازدید کورکورانه از وب سایت ها با خطر ویروس است.

1.3.1 انواع نرم افزارهای جاسوسی

توسطنوع فعالیت، ویروس های جاسوسی را می توان به سه گروه تقسیم کرد:

گروه اول

این ویروس به طور مداوم بر اعمال کاربر نظارت می کند. هنگام خرید از طریق اینترنت، جاسوس اطلاعات کارت اعتباری را دریافت کرده و به اشخاص علاقه مند منتقل می کند. ممکن است تا زمانی که حذف غیرمجاز رخ ندهد متوجه این موضوع نشوید. پولاز حساب شما

گروه دوم

گروه سوم

ویروس اطلاعات مربوط به ایمیل شما را دریافت می کند صندوق های پستی. این مشکلات زیادی را تهدید می کند که کوچکترین آنها انبوهی از ایمیل های هرزنامه، ناخواسته و تبلیغاتی است که به شما برخورد می کند.

همچنین مکانیسم خاصی برای انتشار ویروس وجود دارد.

1.3.2 مکانیسم توزیع

ویروس هابا کپی کردن بدنه آنها و اطمینان از اجرای بعدی آن گسترش می یابد: خود را در کد اجرایی برنامه های دیگر جاسازی می کنند، برنامه های دیگر را جایگزین می کنند، خود را در autorun ثبت می کنند و موارد دیگر. یک ویروس یا حامل آن می تواند نه تنها برنامه های حاوی کد ماشین، بلکه هر اطلاعاتی که به طور خودکار در آن قرار دارد باشد دستورات اجرایی-- مانند فایل های دسته ای و اسناد مایکروسافتورد و اکسل حاوی ماکرو. علاوه بر این، برای نفوذ به رایانه، یک ویروس می‌تواند از آسیب‌پذیری‌ها در نرم‌افزارهای محبوب استفاده کند (به عنوان مثال، Adobe Flash, اینترنت اکسپلورر، Outlook)، که توزیع کنندگان آن را در داده های معمولی (تصاویر، متون و غیره) همراه با یک اکسپلویت که از آسیب پذیری سوء استفاده می کند، جاسازی می کنند.

· دیسکت. شایع ترین کانال عفونت در دهه 1980-1990. در حال حاضر به دلیل ظهور کانال های رایج تر و کارآمدتر و عدم وجود درایوهای فلاپی در بسیاری از رایانه های مدرن، عملاً وجود ندارد.

درایوهای فلش (درایوهای فلش). امروزه، درایوهای فلش USB جایگزین فلاپی دیسک شده و سرنوشت خود را تکرار می کنند - تعداد زیادی ویروس از طریق درایوهای قابل جابجایی پخش می شوند، از جمله دوربین های دیجیتال, دوربین فیلمبرداری دیجیتال, قابل حمل پخش کننده های دیجیتالو از دهه 2000، تلفن های همراه، به ویژه گوشی های هوشمند، نقش مهمی را ایفا کرده اند. ویروس های موبایل). استفاده از این کانال قبلا عمدتاً به دلیل قابلیت ایجاد بر روی درایو بود فایل ویژه autorun.inf که در آن می توانید برنامه اجرا را مشخص کنید Windows Explorerهنگام باز کردن چنین درایوی در ویندوز 7، قابلیت اجرای خودکار فایل ها از رسانه های قابل حمل غیرفعال شده است.

· پست الکترونیک. معمولا ویروس ها در ایمیل ها پست الکترونیکپنهان شده به عنوان پیوست های بی ضرر: تصاویر، اسناد، موسیقی، پیوند به وب سایت ها. برخی از ایمیل‌ها ممکن است در واقع فقط حاوی لینک باشند، یعنی خود ایمیل‌ها ممکن است حاوی کد مخرب نباشند، اما اگر چنین پیوندی را باز کنید، می‌توانید به یک وب‌سایت ویژه ایجاد شده حاوی کد ویروس دسترسی پیدا کنید. زیاد ویروس های پستیهنگامی که کاربر بر روی رایانه کاربر قرار می گیرد، سپس از دفترچه آدرس مشتریان ایمیل نصب شده مانند Outlook برای ارسال بیشتر خود استفاده می کند.

سیستم های تبادل پیام رسانی فوری. همچنین در اینجا مرسوم است که از طریق ICQ و سایر برنامه‌های پیام‌رسان فوری، پیوندهایی به عکس‌ها، موسیقی‌ها یا برنامه‌هایی که در واقع ویروس هستند ارسال کنند.

· صفحات وب. آلودگی از طریق صفحات اینترنتی نیز به دلیل وجود در صفحات امکان پذیر است وب جهانیمحتوای "فعال" مختلف: اسکریپت ها، مولفه ActiveX. در این حالت از آسیب‌پذیری‌های نرم‌افزار نصب‌شده بر روی رایانه کاربر یا آسیب‌پذیری‌های نرم‌افزار صاحب سایت استفاده می‌شود (که خطرناک‌تر است، زیرا سایت‌های محترم با جریان زیاد بازدیدکننده در معرض آلودگی قرار می‌گیرند) و کاربران ناآگاه، دسترسی به چنین سایتی، خطر آلوده کردن رایانه خود را دارد.

اینترنت و شبکه های محلی (کرم ها). کرم ها نوعی ویروس هستند که بدون دخالت کاربر به رایانه قربانی نفوذ می کنند. کرم‌ها از به اصطلاح «حفره‌ها» (آسیب‌پذیری) در نرم‌افزار سیستم‌عامل برای نفوذ به رایانه استفاده می‌کنند. آسیب‌پذیری‌ها خطاها و نقص‌هایی در نرم‌افزار هستند که امکان دانلود و اجرای کد ماشین را از راه دور فراهم می‌کنند، در نتیجه یک ویروس کرم وارد سیستم‌عامل می‌شود و به عنوان یک قاعده شروع به آلوده کردن رایانه‌های دیگر از طریق آن می‌کند. شبکه محلییا اینترنت مهاجمان از رایانه های کاربر آلوده برای ارسال هرزنامه یا حملات DDoS استفاده می کنند.

http://www.computermaster.ru/articles/secur2.html

آنچه باید در مورد ویروس های کامپیوتری بدانید

(ج) الکساندر فرولوف، گریگوری فرولوف، 2002

[ایمیل محافظت شده]; http://www.frolov.pp.ru، http://www.datarecovery.ru

از زمان ایجاد رایانه های شخصی در دسترس متخصصان و عموم مردم، تاریخچه ویروس های رایانه ای آغاز شده است. معلوم شد که رایانه‌های شخصی و برنامه‌های توزیع‌شده بر روی فلاپی دیسک‌ها همان «واسطه مغذی» هستند که ویروس‌های رایانه‌ای در آن به وجود می‌آیند و بی‌دقت زندگی می‌کنند. افسانه ها و افسانه هایی که در مورد توانایی ویروس های رایانه ای برای نفوذ به همه جا و همه جا به وجود می آیند، این موجودات مخرب را در مه ای از نامفهوم و ناشناخته می پوشانند.

متأسفانه، حتی مدیران سیستم با تجربه (ناگفته نماند کاربران عادی) همیشه به درستی تصور نکنید که ویروس های رایانه ای چیست، چگونه به رایانه ها و شبکه های رایانه ای نفوذ می کنند و چه آسیب هایی می توانند وارد کنند. در عین حال، بدون درک مکانیسم عملکرد و انتشار ویروس ها، سازماندهی حفاظت ضد ویروس موثر غیرممکن است. حتی بهترین آنتی ویروس نیز در صورت استفاده نادرست، بی قدرت خواهد بود.

دوره کوتاهی در تاریخ ویروس های کامپیوتری

ویروس کامپیوتری چیست؟

کلی‌ترین تعریف ویروس رایانه‌ای را می‌توان به عنوان خود انتشاری در آن ارائه داد محیط اطلاعاتیکد برنامه کامپیوتر می توان آن را در فایل های اجرایی و دستوری برنامه ها جاسازی کرد و از طریق بخش های بوت فلاپی دیسک توزیع کرد و دیسکهای سخت، اسناد برنامه های اداری، از طریق پست الکترونیکی، وب سایت ها و همچنین از طریق سایر کانال های الکترونیکی.

با ورود به یک سیستم کامپیوتری، ویروس ممکن است به جلوه های بصری یا صوتی بی ضرر محدود شود، یا ممکن است باعث از بین رفتن یا خراب شدن داده ها و همچنین نشت اطلاعات شخصی و محرمانه شود. در بدترین حالت، یک سیستم کامپیوتری تحت تأثیر یک ویروس ممکن است تحت کنترل کامل یک مهاجم باشد.

امروزه مردم برای حل بسیاری از وظایف حیاتی به رایانه اعتماد دارند. بنابراین، خرابی سیستم های کامپیوتری می تواند عواقب بسیار بسیار جدی تا تلفات انسانی داشته باشد (تصور کنید یک ویروس در سیستم های کامپیوتری خدمات فرودگاه وجود دارد). توسعه دهندگان سیستم های کامپیوتری اطلاعات و مدیران سیستم نباید این را فراموش کنند.

تا به امروز، ده ها هزار ویروس مختلف شناخته شده است. با وجود چنین فراوانی، تعداد نسبتاً محدودی از انواع ویروس ها وجود دارد که در مکانیسم توزیع و اصل عمل با یکدیگر متفاوت هستند. همچنین ویروس های ترکیبی وجود دارند که می توانند به طور همزمان به چندین نوع مختلف نسبت داده شوند. در مورد صحبت خواهیم کرد انواع مختلفویروس ها، تا آنجا که ممکن است به ترتیب زمانی ظاهر خود پایبند باشند.

ویروس های فایل

از لحاظ تاریخی، ویروس های فایل قبل از انواع دیگر ویروس ها ظاهر می شدند و در ابتدا در محیط سیستم عامل MS-DOS توزیع می شدند. ویروس ها با نفوذ به بدنه فایل های برنامه COM و EXE آنها را به گونه ای تغییر می دهند که هنگام راه اندازی، کنترل نه به برنامه آلوده، بلکه به ویروس منتقل می شود. ویروس می تواند کد خود را تا انتها، ابتدا یا وسط فایل بنویسد (شکل 1). این ویروس همچنین می تواند کد خود را با قرار دادن آنها در مکان های مختلف برنامه آلوده به بلوک ها تقسیم کند.

برنج. 1. ویروس در فایل MOUSE.COM

پس از کنترل، ویروس می تواند برنامه های دیگر را آلوده کند، به رم کامپیوتر نفوذ کند و سایر عملکردهای مخرب را انجام دهد. سپس ویروس کنترل را به برنامه آلوده منتقل می کند و به روش معمول اجرا می شود. در نتیجه، کاربری که برنامه را اجرا می کند، مشکوک به "بیماری" بودن آن نیست.

توجه داشته باشید که ویروس‌های فایل می‌توانند نه تنها برنامه‌های COM و EXE، بلکه انواع دیگر فایل‌های برنامه را نیز آلوده کنند - پوشش‌های MS-DOS (OVL، OVI، OVR، و غیره)، درایورهای SYS، DLL‌ها و هر فایلی با کد برنامه. ویروس های فایل نه تنها برای MS-DOS، بلکه برای سیستم عامل های دیگر مانند Microsoft Windows، Linux، IBM OS/2 نیز توسعه یافته اند. با این حال، اکثریت قریب به اتفاق ویروس ها از این نوع در محیط MS-DOS و مایکروسافت ویندوز زندگی می کنند.

در زمان فایل MS-DOSویروس‌ها به لطف تبادل رایگان نرم‌افزار، بازی و کسب‌وکار، تا به حال به خوبی زندگی کردند. در آن روزها، فایل های برنامه نسبتاً کوچک بودند و روی فلاپی دیسک ها توزیع می شدند. برنامه آلوده همچنین می تواند به طور تصادفی از تابلوی اعلانات BBS یا از اینترنت دانلود شود. و در کنار این برنامه ها ویروس های فایل نیز پخش می شوند.

برنامه های مدرن مقدار قابل توجهی را اشغال می کنند و معمولاً بر روی سی دی ها توزیع می شوند. مبادله برنامه ها روی فلاپی دیسک چیزی مربوط به گذشته است. با نصب برنامه از روی سی دی دارای مجوز، معمولاً خطر آلوده شدن رایانه خود به ویروس را ندارید. مورد دیگر سی دی های غیرقانونی است. در اینجا نمی‌توانید چیزی را تضمین کنید (اگرچه نمونه‌هایی از ویروس‌هایی که در سی‌دی‌های دارای مجوز پخش می‌شوند را می‌شناسیم).

در نتیجه امروزه فایل ویروس ها جای خود را به انواع دیگری از ویروس ها داده اند که در ادامه در مورد آنها صحبت خواهیم کرد.

ویروس ها را بوت کنید

ویروس های بوت در مرحله اولیه سازی کامپیوتر کنترل می شوند، حتی قبل از شروع بارگذاری سیستم عامل. برای درک نحوه عملکرد آنها، باید ترتیب اولیه سازی رایانه و بارگذاری سیستم عامل را به خاطر بسپارید.

بلافاصله پس از روشن کردن برق کامپیوتر، POST (روشن خودآزمایی) در بایوس ذخیره می شود. در حین بررسی، پیکربندی رایانه مشخص شده و عملکرد زیرسیستم های اصلی آن بررسی می شود. سپس روال POST بررسی می کند که آیا فلاپی در درایو A: است یا خیر. اگر یک دیسکت وارد شود، بارگذاری بیشتر سیستم عامل از دیسکت اتفاق می افتد. در غیر این صورت بوت شدن از هارد دیسک انجام می شود.

هنگام بوت شدن از فلاپی دیسک، رویه POST از روی آن خوانده می شود رکورد بوت(Boot Record, BR) رم. این ورودی همیشه در همان بخش اول فلاپی قرار دارد و یک برنامه کوچک است. علاوه بر برنامه BR، دارای ساختار داده ای است که فرمت فلاپی دیسک و برخی ویژگی های دیگر را تعریف می کند. سپس رویه POST کنترل را به BR منتقل می کند. پس از دریافت کنترل، BR مستقیماً به بارگیری سیستم عامل ادامه می دهد.

هنگام دانلود از هارد دیسکروش POST رکورد اصلی بوت (MBR) را می خواند و آن را در RAM کامپیوتر می نویسد. این ورودی شامل برنامه بوت و جدول پارتیشن است که تمام پارتیشن های موجود در هارد دیسک را توضیح می دهد. در همان بخش اول هارد دیسک ذخیره می شود.

پس از خواندن MBR، کنترل به بوت لودر که فقط از روی دیسک خوانده می شود، منتقل می شود. محتوای جدول پارتیشن را تجزیه می کند، پارتیشن فعال را انتخاب می کند و BR پارتیشن فعال را می خواند. این ورودی مشابه ورودی BR در فلاپی سیستم است و همان عملکردها را انجام می دهد.

اکنون در مورد نحوه "کارکرد" ویروس بوت.

هنگام آلوده کردن فلاپی دیسک یا هارد دیسک کامپیوتر، یک ویروس بوت جایگزین رکورد بوت BR یا MBR می شود (شکل 2). رکوردهای اصلی BR یا MBR معمولاً ناپدید نمی شوند (اگرچه همیشه اینطور نیست). ویروس آنها را در یکی از بخش های رایگان دیسک کپی می کند.

برنج. 2. ویروس در رکورد بوت

بنابراین، ویروس بلافاصله پس از اتمام روش POST کنترل می شود. سپس او، به عنوان یک قاعده، طبق الگوریتم استاندارد عمل می کند. این ویروس خودش را در انتهای RAM کپی می کند و در نتیجه حجم موجود آن را کاهش می دهد. پس از آن، چندین عملکرد BIOS را رهگیری می کند، به طوری که دسترسی به آنها کنترل را به ویروس منتقل می کند. در پایان فرآیند آلودگی، ویروس بخش بوت واقعی را در رم رایانه بارگذاری می کند و کنترل را به آن منتقل می کند. در مرحله بعد، رایانه به طور معمول بوت می شود، اما ویروس از قبل در حافظه است و می تواند عملکرد همه برنامه ها و درایورها را کنترل کند.

ویروس های ترکیبی

اغلب ویروس های ترکیبی وجود دارند که ویژگی های ویروس های فایل و بوت را با هم ترکیب می کنند.

یک مثال ویروس بوت فایل OneHalf است که در گذشته گسترده بود. این ویروس با نفوذ به رایانه ای با سیستم عامل MS-DOS، رکورد اصلی بوت را آلوده می کند. در حالی که کامپیوتر در حال بوت شدن است، ویروس به تدریج بخش های هارد دیسک را رمزگذاری می کند و از جدیدترین بخش ها شروع می شود. هنگامی که ماژول مقیم ویروس در حافظه است، تمام دسترسی ها به بخش های رمزگذاری شده را کنترل می کند و آنها را رمزگشایی می کند تا همه نرم افزارهای کامپیوتری به طور عادی اجرا شوند. اگر OneHalf به سادگی از بخش RAM و بوت حذف شود، خواندن صحیح اطلاعات ثبت شده در بخش های رمزگذاری شده دیسک غیرممکن خواهد شد.

هنگامی که ویروس نیمی از هارد دیسک را رمزگذاری می کند، پیام زیر را روی صفحه نمایش می دهد:

دیس یک نیمه است. کلیدی را برای ادامه فشار دهید ...

پس از آن، ویروس منتظر می ماند تا کاربر هر کلیدی را فشار دهد و به کار خود ادامه می دهد.

ویروس OneHalf از مکانیسم های مختلفی برای پنهان کردن خود استفاده می کند. این یک ویروس مخفی است و از الگوریتم های چند شکلی برای انتشار استفاده می کند. شناسایی و حذف ویروس OneHalf یک کار نسبتاً دشوار است که برای همه برنامه های آنتی ویروس در دسترس نیست.

ویروس های همراه

همانطور که می دانید در سیستم عامل های MS-DOS و مایکروسافت ویندوز متنوعدر نسخه های مختلف، سه نوع فایل وجود دارد که کاربر می تواند آن ها را اجرا کند. دستوری است یا دسته ای فایل های BATو همچنین فایل های COM و EXE قابل اجرا. در همان زمان، چندین فایل اجرایی با نام یکسان اما پسوند نام متفاوت را می توان همزمان در یک فهرست قرار داد.

وقتی کاربر برنامه ای را راه اندازی می کند و سپس نام آن را در اعلان سیستم سیستم عامل وارد می کند، معمولا پسوند فایل را مشخص نمی کند. اگر چندین برنامه با نام یکسان اما پسوند نام متفاوت در دایرکتوری وجود داشته باشد چه فایلی اجرا می شود؟

معلوم می شود که در این حالت فایل COM اجرا می شود. اگر فقط فایل های EXE و BAT در دایرکتوری فعلی یا در دایرکتوری های مشخص شده در متغیر محیطی PATH وجود داشته باشد، پس فایل EXE.

هنگامی که یک ویروس ماهواره ای یک فایل EXE یا BAT را آلوده می کند، فایل دیگری را در همان دایرکتوری با همان نام، اما با پسوند COM ایجاد می کند. ویروس خودش را روی این فایل COM می نویسد. بنابراین، هنگامی که برنامه راه اندازی می شود، ویروس ماهواره ای اولین کسی است که کنترل را دریافت می کند، که سپس می تواند این برنامه را راه اندازی کند، اما در حال حاضر تحت کنترل آن است.

ویروس ها در فایل های دسته ای

چندین ویروس وجود دارند که می توانند فایل های دسته ای BAT را آلوده کنند. برای این کار از روش بسیار پیچیده ای استفاده می کنند. ما آن را با استفاده از ویروس BAT.Batman به عنوان مثال در نظر خواهیم گرفت. وقتی آلوده می شود فایل دسته ایمتن زیر در ابتدا درج شده است:

@ECHO OFF REM [...] کپی %0 b.com>nul b.com del b.com rem [...]

در براکت های مربع [...] در اینجا به صورت شماتیک مکان بایت ها را نشان می دهد که دستورالعمل های پردازنده یا داده های ویروس هستند. دستور @ECHO OFF نمایش نام دستورات در حال اجرا را غیرفعال می کند. خطی که با دستور REM شروع می شود یک نظر است و به هیچ وجه تفسیر نمی شود.

دستور copy %0 b.com>nul فایل دسته ای آلوده را در فایل B.COM کپی می کند. سپس این فایل با دستور del b.com اجرا و از دیسک حذف می شود.

جالب ترین چیز این است که فایل B.COM ایجاد شده توسط ویروس به یک بایت با فایل دسته ای آلوده منطبق است. به نظر می رسد که اگر دو خط اول یک فایل BAT آلوده را به عنوان یک برنامه تفسیر کنید، از دستورات CPU تشکیل شده است که در واقع هیچ کاری انجام نمی دهند. CPU این دستورات را اجرا می کند و سپس شروع به اجرای کد ویروس واقعی می کند که بعد از عبارت نظر REM نوشته شده است. پس از دریافت کنترل، ویروس وقفه های سیستم عامل را قطع کرده و فعال می شود.

در فرآیند انتشار، ویروس بر نوشتن داده ها در فایل ها نظارت می کند. اگر اولین خط نوشته شده در فایل حاوی دستور @echo باشد، ویروس فکر می کند که در حال نوشتن است فایل دسته ایو او را مبتلا می کند.

ویروس های رمزگذاری و چند شکلی

برای دشوارتر کردن تشخیص، برخی از ویروس ها کد خود را رمزگذاری می کنند. هر بار که ویروسی یک برنامه جدید را آلوده می کند، کد خود را با استفاده از آن رمزگذاری می کند کلید جدید. در نتیجه، دو نمونه از چنین ویروسی می توانند به طور قابل توجهی با یکدیگر متفاوت باشند، حتی طول های متفاوتی داشته باشند. رمزگذاری کد ویروس، روند تحقیق آن را بسیار پیچیده می کند. برنامه های منظمقادر به جداسازی چنین ویروسی نخواهد بود.

به طور طبیعی، ویروس تنها در صورتی قادر به کار است که کد اجرایی رمزگشایی شده باشد. هنگامی که یک برنامه آلوده راه اندازی می شود (یا شروع به بارگیری از یک BR آلوده می کند) و ویروس کنترل را به دست می گیرد، باید کد خود را رمزگشایی کند.

برای اینکه تشخیص ویروس را دشوار کند، نه تنها از رمزگذاری استفاده می شود کلیدهای مختلف، بلکه رویه های رمزگذاری مختلف نیز وجود دارد. دو نمونه از این گونه ویروس ها یک توالی کد منطبق ندارند. به این گونه ویروس ها که می توانند کد خود را به طور کامل تغییر دهند، ویروس های پلی مورفیک می گویند.

ویروس های مخفی

ویروس های مخفی سعی می کنند حضور خود را در رایانه پنهان کنند. آنها یک ماژول ساکن دارند که به طور دائم در رم کامپیوتر قرار دارد. این ماژول هنگام راه اندازی یک برنامه آلوده یا هنگام بوت شدن از دیسک آلوده به ویروس بوت نصب می شود.

ماژول مقیم ویروس، تماس‌های زیرسیستم دیسک کامپیوتر را قطع می‌کند. اگر سیستم عامل یا برنامه دیگری یک فایل برنامه آلوده را بخواند، ویروس یک فایل برنامه واقعی و غیر آلوده را جایگزین می کند. برای انجام این کار، ماژول ساکن ویروس می تواند به طور موقت ویروس را از فایل آلوده حذف کند. پس از پایان کار با فایل، دوباره آلوده می شود.

ویروس های مخفی بوت نیز به همین ترتیب عمل می کنند. هنگامی که یک برنامه داده ها را از بخش بوت می خواند، بخش بوت واقعی جایگزین بخش آلوده می شود.

استتار ویروس Stealth فقط در صورتی کار می کند که ویروس یک ماژول ساکن در رم رایانه داشته باشد. اگر رایانه از یک فلاپی سیستم تمیز و سالم بوت شود، ویروس هیچ شانسی برای به دست آوردن کنترل ندارد و بنابراین مکانیسم پنهان کار نمی کند.

ویروس های ماکرو فرمان

تا اینجا در مورد ویروس هایی صحبت کردیم که در فایل های اجرایی برنامه و بخش های بوت دیسک زندگی می کنند. توزیع گسترده مجموعه اداری مایکروسافت آفیسبهمنی از انواع جدیدی از ویروس ها را ایجاد کرد که نه با برنامه ها، بلکه با فایل های سند پخش می شوند.

در نگاه اول، این ممکن است غیرممکن به نظر برسد - در واقع، ویروس ها در کجا می توانند در اسناد متنی Microsoft Word یا در سلول های صفحات گسترده مایکروسافت اکسل پنهان شوند؟

با این حال، در واقعیت، فایل‌های سند مایکروسافت آفیس ممکن است حاوی برنامه‌های کوچکی برای پردازش این اسناد باشد که به زبان برنامه‌نویسی Visual Basic for Applications نوشته شده‌اند. این نه تنها در مورد اسناد Wordو اکسل، بلکه برای دسترسی به پایگاه داده ها و فایل های ارائه Power Point. چنین برنامه هایی با استفاده از ماکروها ایجاد می شوند، بنابراین ویروس هایی که در اسناد اداری زندگی می کنند ماکرو نامیده می شوند.

ویروس های ماکروفرمان چگونه منتشر می شوند؟

به همراه فایل های سند. کاربران فایل ها را از طریق فلاپی دیسک، دایرکتوری های شبکه سرور فایل اینترانت شرکتی، ایمیل و سایر کانال ها به اشتراک می گذارند. برای آلوده کردن رایانه به ویروس ماکروفرمان، کافی است فایل سند را در قسمت مربوطه باز کنید برنامه اداری- و تمام شد!

در حال حاضر ویروس های ماکرو فرمان بسیار رایج هستند که بیشتر به دلیل محبوبیت مایکروسافت آفیس است. آنها می توانند به همان اندازه و در برخی موارد حتی بیشتر از ویروس های "معمولی" که فایل های اجرایی و بخش های بوت دیسک ها و فلاپی دیسک ها را آلوده می کنند، آسیب وارد کنند. به نظر ما بزرگترین خطر ویروس های کلان فرمان در این واقعیت نهفته است که آنها می توانند اسناد آلوده را تغییر دهند و برای مدت طولانی مورد توجه قرار نگیرند.

ویروس های جاسوسی!

جاسوس افزارها بلای جان این قرن هستند. میلیون ها رایانه در سراسر جهان بدون اینکه بسیاری متوجه شوند به این بدافزارهای جاسوسی آلوده شده اند.

جاسوس ها نه تنها به امنیت اطلاعات شما آسیب می رسانند، بلکه سرعت کامپیوتر شما را نیز به میزان قابل توجهی کاهش می دهند. هنگامی که یکی از بسته های نرم افزارهای جاسوسی را دانلود می کنید، این برنامه بدون توجه به تمایل شما به طور خودکار بر روی رایانه شما نصب می شود. گاهی در حین نصب، جاسوس از شما می خواهد که نرم افزار اسپانسر را نصب کنید. هنگام نصب، جاسوس افزار سعی می کند خودش را در آن نصب کند رجیستری سیستمکامپیوتر شما و تا زمانی که آن را به طور کامل از آنجا حذف نکنید، آنجا می ماند.

جاسوسی، بلعیدن پتانسیل رایانه، عملکرد را کاهش می دهد CPUو حافظه در نتیجه، رایانه شما کند می شود یا حتی به طور کلی پاسخ نمی دهد. جاسوس به خودی خود ناپدید نمی شود، بلکه فقط باعث همه چیز می شود تاخیر بزرگزیرا Spyware به جمع آوری اطلاعات از رایانه شما ادامه خواهد داد. سه راه اصلی وجود دارد که نرم افزارهای جاسوسی سیستم شما را از بین می برند:

1. جاسوسانی هستند که دائماً تمام خریدهای شما را زیر نظر دارند. اگر از کارت اعتباری خود استفاده می کنید، ممکن است در نهایت مالی خود را از دست بدهید، نرم افزار جاسوسی شماره کارت اعتباری شما را پیدا می کند و این امکان را برای افراد دیگر فراهم می کند که از آن برای خرید استفاده کنند. ممکن است تا زمانی که متوجه کمبود پول نشوید، متوجه این موضوع نشوید.

2. هکرها (آنهایی که پشت صحنه هستند) می توانند به کامپیوتر شما و اطلاعات مربوط به آن دسترسی داشته باشند. آنها قادر خواهند بود بفهمند که شما از چه کلیدهایی در زمان واقعی استفاده می کنید، وارد رایانه شما شوند، تنظیمات مرورگر را تغییر دهند، برنامه های خود را بدون رضایت شما نصب کنند. علاوه بر این، جاسوسان همچنین می توانند اطلاعات مربوط به آدرس ایمیل، رمز عبور و حتی شماره کارت اعتباری را جمع آوری کنند. اما این مشکل قابل حل است، اما فقط تمام برنامه های حذف جاسوس افزارهای موجود را بررسی کرده و به دقت مطالعه کنید، بررسی ها برای آنها، زیرا برخی از آنها می توانند بیشتر از اینکه مفید باشند، ضرر داشته باشند.

3. نرم افزارهای جاسوسی می توانند اطلاعات مربوط به آدرس های ایمیل شما را پیدا کنند. اگر این اتفاق بیفتد، با مشکلات زیادی روبرو خواهید شد که یکی از آنها این است که به سادگی با ایمیل های تبلیغاتی بمباران می شوید.

حتی اگر کاربر ساده ای باشید، راه های مختلفی وجود دارد که می توانید به راحتی انجام دهید تا به سرعت و به طور قابل اعتماد سرعت کامپیوتر خود را افزایش دهید. اولین و بیشتر روش موجودیکی از کارهایی که باید حتما انجام دهید این است که دیسک های خود را یکپارچه سازی کنید. "جادوگر Defragmentation" در رایانه شما به شما در انجام آن کمک می کند. ممکن است دوست داشته باشید این کار را به سرعت انجام دهید، اما ممکن است زمان زیادی طول بکشد. فرآیند نباید قطع شود. با کار منظم، بررسی بعدی زمان کمتری می برد.

راه دوم نصب و استفاده از یک برنامه حذف جاسوس افزار خوب است. به عنوان مثال، Spyware Doctor به خوبی با آنها برخورد می کند.

علاوه بر این، می توانید دوره ذخیره صفحات بازدید شده در مرورگرها را در صورت عدم نیاز به آن از یک ماه، همانطور که به طور پیش فرض است، تا 1-2 روز کاهش دهید یا بلافاصله پس از خروج از صفحه سایت، آنها را حذف کنید.

هنگامی که دسکتاپ خود را غیرفعال می کنید، رم کمتری بارگذاری می شود. و تفاوتی در طراحی و کار احساس نخواهید کرد.

مطمئن شوید که خوب دارید برنامه آنتی ویروسمدام از آن استفاده کنید اگر ویروس ها را حذف کنید و از انتشار آنها جلوگیری کنید، با این کار به طور قابل توجهی سرعت رایانه خود را افزایش می دهید.

هنگامی که این قوانین ساده را دنبال کنید، از اینکه کامپیوتر شما چقدر سریعتر است و چقدر فضای دیسک آزاد شده است شگفت زده خواهید شد.