Bilgisayardaki casus yazılım. Casus yazılım nasıl tespit edilir ve kaldırılır? Casus virüs veya bilgi savaşlarının arkasında ne var?

Kötü amaçlı yazılım casusluğu belirtilerini tespit etmek için kişisel duygularınızı dinleyin. Bilgisayarınızın çok daha yavaşladığını veya İnternet bağlantısının artık olması gerektiği kadar hızlı olmadığını düşünüyorsanız, bunlar daha fazla açıklama gerektiren ilk belirtilerdir.

Bu arada, her virüsten koruma yazılımı tehlikeyi güvenilir bir şekilde algılamaz. En iyi sistemlere genel bir bakış aşağıdaki tabloda bulunabilir. Onlar için 800 ila 1800 ruble ödemeniz gerekecek, ancak sizi saldırılara karşı nispeten iyi koruyacaklar. Aynı zamanda antivirüs kullanımından dolayı performansın düşmesinden de korkmamalısınız. Modern sürümler pratik olarak bilgisayarın hızını etkilemez.

Siber suçlular saatte 100 yeni virüs yayıyor. Masaüstü bilgisayar- casus yazılımın asıl amacı. Zararlılar ancak şu durumlarda tespit edilebilir: doğru seçim araçlar. Yalnızca birkaç program bilgisayarınızı casus yazılımlardan güvenilir bir şekilde koruyacaktır. Aşağıda pazar liderleri bulunmaktadır.

Birden fazla tarayıcıyı paralel olarak kullanın

Casus yazılım ya bir hizmet kisvesi altında sistemi kazar ya da bireysel programlar. Özellikle derinlere yerleşmiş bazı virüsler, modern savunma araçlarından bile gizlenebilir. Uzmanlar bilgi Güvenliği Son yıllarda güvenlik açıkları antivirüs sistemleri: ancak yakın zamanda bir uzman Tavis Ormandy departmanda çalışmak Sıfır Proje Google Corporation, Symantec ürünlerindeki derin kusurları ortaya çıkardı.

Özellikle Symantec'in içindeki kodu açma hakkına sahip olduğu gerçeğini kullandı. Windows çekirdeği. Mühendis, arabellek taşması yöntemini kullanarak kötü amaçlı kodu çekirdek haklarıyla çalıştırabildi ve böylece atladı antivirüs koruması- ve bu sadece bir örnek.

Bu nedenle, çeşitli yardımcı programlarla kontrol etmek çok önemlidir. Daha fazla güvenlik için programı kullanın Farbar Kurtarma Tarama AracıÇalışan hizmetlerin günlüklerini kaydeden.

Yardımcı programı başlatın ve "Tara"ya tıklayın. İşlemin sonunda program klasöründe "frst.txt" adlı bir günlük bulacaksınız. Bu dosyayı açın ve "Hizmetler" bölümüne gidin. Burada "SpyHunter" gibi casus yazılımlara işaret eden adları arayın. Bunlardan hiçbirinden emin değilseniz Google aramasını kontrol edin.

Davetsiz misafirler tespit edildiğinde programı çalıştırın SpyBot Ara ve Yok Et ve sistemi tarayın. Bundan sonra tekrar koşun Farbar Aracı. Sonuç olarak şüpheli hizmeti artık göremiyorsanız virüs kaldırılmıştır. SpyBot'un hiçbir şey algılamaması durumunda, şu adresten bir tarayıcı uygulayın: Malwarebytes veya ESET Çevrimiçi Tarayıcı.

Koruma talimatı

Farbar (1) ile bilgisayarınızı tarayın. Bu yardımcı program, çalışan tüm hizmetleri günlükte görüntüler. Şüpheli bir şey bulunmazsa programla sistemi inceleyin ESET Çevrimiçi Tarayıcı(2). En sinsi virüsler yalnızca Kaspersky Lab'in Rescue Disk çözümüyle kaldırılabilir (3).

Acil yardım için özel programlar

Çeşitli kontroller yaparken bile, özellikle kök takımları gibi sinsi virüslerin, Farbar ve diğer tarama programlarının bunları tespit edemeyeceği kadar derinlerde saklandığını dikkate almak gerekir.

Bu nedenle, sonunda sistemi daima bir araçla kontrol edin Kaspersky Kurtarma Diski. O Linux sistemi Windows'tan ayrı olarak çalışan ve bilgisayarı güncel virüs imzalarına göre tarayan . Bu sayede en karmaşık kötü amaçlı yazılımları bile açığa çıkaracak ve bilgisayarınızı casuslardan temizleyeceksiniz.

Gelecekte koklama programlarını engellemek için şunu kullanmalısınız: En son sürüm antivirüs ve tüm anahtarları yükleyin sistem güncellemeleri. Otomatik olarak güncellenmeyen üçüncü taraf tekliflerinin her zaman güncel olduğundan emin olmak için kapsamlı bir antivirüs paketine bakın Kaspersky internet güvenliği(iki cihaz için lisans 1800 rubleye mal oluyor). Ayrıca casus yazılımlara karşı koruma da sağlayacaktır.

Fotoğraf:Üretim şirketleri

Virüsler, casuslar ve çeviriciler: kim, neden ve nasıl

Sanırım bugün herhangi bir okul çocuğuna lavsanın ne olduğunu sorsanız, size "etilen glikol ve aromatik dibazik asidin polikondensasyonuyla elde edilen sentetik bir elyaf"tan bahsetmeyecektir. Hayır, cevabı şu şekilde olacak: "Lo-vesan, diğer adıyla msblast, ailenin işletim sistemine sızıyor Microsoft Windows NT, Microsoft Windows DCOM RPC hizmetindeki bir güvenlik açığını kullanarak "Bir süre sonra doom kelimesiyle ne gibi ilişkiler kurulacağını tahmin etmekten korkuyorum. Açıkçası sadece aynı isimli oyunla değil.

Başlıktan ve girişten de anlayacağınız üzere bugünkü sohbetimiz virüsler ve benzerleri hakkında olacak. Başlıkta sorulan soruların cevaplarına geçmeden önce doğrudan bugünkü "misafirlerimize" geçmek istiyorum. Burada tüm bunların bilgisayarlarımıza nasıl geçtiğine dair bir cevap verilecek.

Virüsler
Virüsler bazı yıkıcı sonuçlar taşıyan programlardır. Ve ne oldukları önemli değil: dosya izinlerinin banal olarak değiştirilmesinden ve dahili içeriğinin zarar görmesinden İnternetin bozulmasına ve işletim sisteminin çökmesine kadar her şey burada olabilir. Ayrıca virüs, yalnızca yıkıcı işlevler taşımakla kalmayıp aynı zamanda çoğalma yeteneğine de sahip bir programdır. Akıllı bir kitap bu konuda şöyle diyor: “Bir bilgisayar virüsünün zorunlu (gerekli) özelliği, kendi kopyalarını (orijinaliyle aynı olması gerekmez) yaratma ve bunları virüslere enjekte etme yeteneğidir. bilgisayar ağları ve/veya dosyalar, bilgisayar sistemi alanları ve diğer yürütülebilir nesneler. Aynı zamanda, kopyalar daha fazla yayılma yeteneğini korur "((c) Evgeny Kaspersky. "Bilgisayar virüsleri"). Aslında hayatta kalabilmek için virüslerin çoğalması gerekir ve bu, biyoloji gibi bir bilim tarafından kanıtlanmıştır. Bu arada, bu çok biyolojik virüslerden ve bilgisayar virüsleri adı vardı ve adlarını tamamen haklı çıkardılar: tüm virüsler basittir ve yine de, maliyetleri hesaplanan anti-virüs şirketlerinin çabalarına rağmen I-Worm.Mydoom.b gibi bir virüs, büyük miktarlarda yaşar ve gelişir. Bilinmeyen kişilerden gelen ekleri açamayacağınız birçok kez söylenmiştir ve bilinen kişilerden gelen mesajlara, özellikle de açmadıysanız, dikkatli davranılmalıdır. bu konuda hemfikirim. e-posta şunun gibi bir şey içerecektir: "Göz at havalı fotoğraf kız arkadaşım", o zaman hemen çöp kutusuna gönderilmelidir. Ancak yukarıdaki örnekte metin hala anlamlıysa, mydoom bulaşmış mektupların içeriği oldukça tuhaf demektir. Kendiniz karar verin:

İleti 7 bit ASCII kodlamada temsil edilemiyor ve ikili ek olarak gönderildi sendmail arka plan programı bildirildi: SMTP oturumu sırasında hata #804 oluştu. Kısmi mesaj alındı. Mesaj Unicode karakterler içeriyor ve ikili dosya eki olarak gönderildi. Mesaj MIME kodlu grafikler içerir ve ikili ek olarak gönderilmiştir. Posta işlemi başarısız oldu. Kısmi mesaj mevcut.

Mektup, ekli dosyanın adı için 9 seçenek ve uzantı için 5 seçenek içeren bir dosya içerir. Kutuma iki varyasyon geldi. Birincisi, sözde bir belge dosyası içeren bir zip arşividir ve ikincisi, bir not defteri simgesiyle değiştirilen bir simgenin bulunduğu basit bir exe "shnik'tir. İkinci durumda, herhangi bir kullanıcı çözünürlüğe bakarak bir sorun fark ederse, o zaman ilkinde bunu yapmak daha zordur, tam olarak ilk durumda, ben en büyük sayı enfeksiyonlar. Bu virüsün ne yaptığını anlatmayacağım çünkü. bu zaten basılı medyada ve çevrimiçi kaynaklarda birçok kez söylendi. Mydoom örneğinde, virüsleri yaymanın ilk yolunu - e-posta yoluyla - öğrendik.

Örnek olarak Worm.Win32.Lovesan'ı (msblast olarak da bilinir) kullanan bir sonraki yönteme bakalım. Bu virüsün dikkat çekici yanı nedir ve neden büyük bir enfeksiyon haline geldi? Bu birey, prensip olarak sistemin performansını bir bütün olarak etkilememesi açısından dikkat çekicidir. Bu virüsün bulaştığı bir bilgisayar internette normal şekilde gezinemez. Bir süre sonra RPC hata mesajını içeren bir işaret belirir ve ardından bilgisayar yeniden başlatılır. Enfeksiyon nasıl oluşur? Bu virüs, Microsoft Windows 2000/XP/2003'teki DCOM RPC hizmetindeki bir güvenlik açığından yararlanır ve kullanıcının bilgisayarına belirli bir IP adresinin 135 numaralı bağlantı noktası üzerinden girer. Bir saldırgan tam olarak adresinizi nasıl öğrenir? Evet, çok basit. Artık o kadar çok IP tarayıcısı var ki, okul öncesi çağındaki bir çocuk bile IP adreslerini kolayca bulabilir ve bakabilir. açık bağlantı noktaları virüsü bilgisayarınıza indirebilirsiniz. Açıklık sağlamak için enfeksiyonun doğrudan Lovesan virüsü ile nasıl oluştuğunu göstereceğim. Solucan, açık ve korumasız bağlantı noktaları için IP adreslerini tarar. Süreç şemada gösterilmiştir:

20.40.50.0
20.40.50.1
20.40.50.2
...
20.40.50.19
----------- duraklama 1,8 saniye
20.40.50.20
...
20.40.50.39
----------- duraklama 1,8 saniye
...
20.40.51.0
20.40.51.1
...
20.41.0.0
20.41.0.1
aynı ruhla ve ötesinde devam ediyor.

Solucan taramak için iki yöntemden birini seçer. Birinci yöntem: D'nin 0 olduğu ve A, B, C'nin 1-255 aralığından rastgele seçildiği rastgele bir temel adresi (A.B.C.D) tarayın. Tarama aralığı aşağıdaki gibidir: ...0.
İkinci yöntem: Solucan adresi belirler yerel bilgisayar(A.B.C.D), D'yi sıfıra ayarlar ve C'nin değerini seçer. Eğer C 20'den büyükse solucan 1 ile 20 arasında rastgele bir sayı seçer. C 20'den küçük veya ona eşitse solucan bunu değiştirmez. . Yani virüslerin yayılmasının ikinci yolu, yazılımdaki boşlukları kullanan korumasız bilgisayar bağlantı noktalarıdır.
Üçüncü yol ise (isteseniz de istemeseniz de) dosyaları indirirken İnternet üzerinden geçmektir. Yine örneklerle açıklayayım. Arzu edilen örnek. Web'den mi indiriyorsunuz? yeni şaka, bir program veya bir oyun ve virüs bulaşmış. Programı / oyunu / şakayı indirdikten sonra başlar ve - işte - virüsün sahibi siz olursunuz. Burada ne söylenebilir? Dikkatli olun, antivirüs veritabanlarınızı düzenli olarak güncelleyin, tüm programları antivirüs ile kontrol edin ve en azından temel bilgileri unutmayın bilgisayar Güvenliği. Birisi şöyle diyebilir: "Örneğin, virüs bulaşması mümkün olmayan programları neden kontrol etmeliyim?". Şunu sormak istiyorum: "Bunlar ne tür programlar?" Özellikle warezniklerden veya hacker gruplarının web sitelerinden indirilen herhangi bir programa virüs bulaşabilir.

Şimdi istenmeyen indirme işlemine geçelim. Bu tür yüklemelerin iki türünü seçerdim. Birincisi: Kullanıcının bilgisayarına bir şey indirildiğini bilmemesi. Bu indirme, komut dosyalarının yürütülmesiyle gerçekleştirilir. İstenmeyen indirmelerin ikinci türü, yanlış şeyin indirilmesidir. Size bir örnek vereceğim. Bir keresinde, bir dosyayı indirmeden hemen önce çatlakları olan bir site, "Ücretsiz XXX çubuğu" veya "İnternetin% 100 çatlağını" yüklemeyi önerdi. Kullanıcı bunu kabul ederse (ve böyle olduğundan eminim, çünkü "Sanal Sevinçler" de "% 100 İnternet çatlağı" hakkındaki ayın sorusunu hala hatırlıyorum), o zaman bir truva atı veya virüs indirildi. Temel olarak fark küçüktür. Bununla birlikte, en ilginç şey bu değil: Böyle cazip bir teklif reddedilirse, yaklaşık olarak aşağıdaki gibi bir yazı içeren bir işaret ortaya çıktı: "Site hatası" ve Truva atının hala indirildiği bir Tamam veya Devam düğmesi, ancak zaten kullanıcının bilgisi olmadan. Ve bizi bundan ancak bir güvenlik duvarı kurtarabilir.
Virüsler ana yıkıcı işlevlerin yanı sıra hangi yan etkileri de beraberinde taşıyabilir? Biri " ücretsiz uygulamalar"- herhangi bir siteye yapılan DOS (Hizmet Reddi) saldırılarının bir işlevi. Çoğu durumda, anti-virüs şirketlerinin siteleri, anti-spam siteleri ve - onsuz nasıl olabilir - uzun süredir acı çeken Microsoft şirketinin sitesi Diğer bir yan etki ise saldırgana kullanıcının bilgisayarı üzerinde tam kontrol sağlayan bir arka kapı bileşeninin kurulmasıdır.

casuslar
Bir sonraki grup casus yazılımları içerir, buna reklam modülleri de dahildir. Bu tür programları dağıtmanın ana yolu, bunları herhangi bir programa genellikle ayrılmaz bir bileşen olarak kurmaktır. Ayrıca, istenmeyen indirmeler (yukarıdaki açıklamalara bakın) ve izleme çerezlerinin indirilmesi de vardır.
Bu bireyler ne yapıyor? Casuslar ve reklam yazılımları için ortak olanlarla başlayalım. Her iki tür de kullanıcı ve bilgisayarı hakkında bilgi toplar, eylemlerini izler, çeşitli casuslar - reylogger'lar - ayrıca klavyede dokunduğunuz her şeyi bir dosyaya kaydeder. İnternetteki etkinliğiniz de izlenir: ne ziyaret ettiğiniz, en çok nerede oyalanırsınız, hangi bağlantılara tıklarsınız. Veri toplandıktan sonra tüm bilgiler sahibine gönderilir. Ve burada casusların ve reklam yazılımlarının yolları birbirinden ayrılır. Veriler reklam yazılımları tarafından toplandıktan sonra, bilgiler çoğunlukla üçüncü bir kişiye yeniden satılır. bunu dikkatle inceleyen parti. Bundan sonra, en iyi senaryo ne sunacağınız, reklamınızı nereye asacağınız gibi bir üçüncü taraf İnternet politikası programı hazırlanır. Ancak en iyi ihtimalle bu böyledir ve en kötü ihtimalle, mega/kilo/tonlarca spam e-posta posta kutunuza akmaya başlayacaktır.

Casuslar nasıl farklıdır? Aynı reylogger'ın verilerini inceledikten sonra bir saldırgan, daha sonra şantaj için kullanabileceği, kesinlikle gizli olan kişisel verilerinizi bulabilir. Ve bu tür durumlar da olmuştur. Ayrıca, kullanıcının şifrelerini de öğrenebilir. Tüm bunları truva atlarını ve arka kapı bileşenlerini yüklemek için kullanmak için sistemdeki zayıflıkları bulun. Bunun neyle tehdit ettiğini yukarıda okuyun.

Çeviriciler
Penetrasyon yöntemleri yukarıda açıklananlardan farklı değildir. O halde doğrudan konuya geçelim. Burada, halk arasında "çeviriciler" olarak adlandırılan oldukça huzurlu çeviricilerin bulunduğuna dair rezervasyon yaptırmak gerekiyor. Bu programlar, çevirmeli "kullanıcının sağlayıcıya ulaşmasına ve mümkünse eski veya "yükseltilmiş" hatlarda bile onunla istikrarlı bir bağlantı sürdürmesine yardımcı olmak için kullanılır. Bahsedeceğimiz programların farklı bir adı var - işletim sistemindeki boşlukları kullanarak ve bazen kullanıcıların ihmali veya saflığı nedeniyle (yukarıya bakın, İnternet'in yaklaşık% 100 çatlağı), bu programlar sağlayıcının telefonunu egzotik bir ülkeden bir telekom operatörünün telefonuyla değiştirir. Üstelik çoğu durumda, eski güzel sağlayıcının telefonu arama penceresinde kalır. Çeviriciler ayrıca zamanlayıcıya arama görevini de belirler verilen zaman. Kullanıcının modemi kapatma alışkanlığı olması veya harici bir modemi olması ve annesinin ağlamaması için bağırması iyidir. Peki modem sessiz ve yerleşikse? Ben de bundan bahsediyorum. Ve zavallı adam acısını ancak telefona bu kadar büyük bir fatura geldikten sonra öğreniyor.

DSÖ
Tüm bu pislikleri Web'de kimin yazıp başlattığını konuşmanın zamanı geldi. Burada bu yakışıksız eyleme bulaşan insan gruplarını sınıflandırmaya çalışacağım. Sözde "beyaz şapkalı" hackerlar hakkında söylenmeyecek. Nedenini açıklayacağım. Bu tür toplum için tehlike oluşturmaz, aksine fayda sağlar. Özellikle zararlı bireyleri etkisiz hale getirmek için çoğu zaman anti-virüs virüsleri yazanlar onlardır. Neden virüsler? Bu programlar virüslerle aynı mekanizmayla yayılır. Neden anti? Çünkü bilgisayardaki belirli bir virüs türünü engeller veya kaldırırlar. Virüslerden temel farkları da görevlerini tamamladıktan sonra kendilerini yok etmeleri ve herhangi bir yıkıcı fonksiyonlarının bulunmamasıdır. Buna bir örnek, Lovesan'ın nüksetmesinden bir süre sonra Web'de ortaya çıkan benzer bir virüstür. Antivirüs virüsünü indirdikten sonra Lovesan kaldırıldı ve kullanıcıdan Windows güncellemelerini indirmesi istendi. "Beyaz" bilgisayar korsanları ayrıca yazılımda boşluklar bulur ve bilgisayar sistemleri ah, sonrasında bulunan hataları şirketlere bildiriyorlar. Şimdi sınıflandırmamıza geçelim.

Bir tane yazın: "senaryoların çocukları". Kendilerine 37717 (00|_ HaCkeR-rr) adını veriyorlar, "Hacker" dergisini okuyorlar, tek bir programlama dili bilmiyorlar ve Web'den hazır programlar indirerek tüm "kendi" truva atlarını ve virüslerini yaratıyorlar. ( Baskınlardan kaçınmak için, "Hacker" dergisinin prensipte kötü olmadığına ve içindeki materyalin bazı yerlerde oldukça basit bir biçimde sunulduğuna dair bir rezervasyon yapacağım. Ancak insanlar için basit bir biçimde zaten bir tür bilgi tabanına sahip olanlar ve materyali akıllıca veriyorlar - her şeyi sonuna kadar anlatmıyorlar - böylece onları hiçbir yere çekmemek gerekiyor, düşünmek gerekir.) Bu "hackerlar" genellikle birine bir Truva atı gönderdikten sonra bir yerden indirilir ve ikincisi işe yarar, hemen forumlarda soğukkanlılıkları vb. deneyime veya (bazı durumlarda) beyne sahip değilsiniz.

İkinci yazın: "acemi". Bu tip ilkinin doğrudan soyundan geliyor. Birinci türün temsilcilerinden bazıları, belirli bir süre sonra, düşündükleri kadar havalı olmadıklarını anlamaya başlarlar, bazı programlama dillerinin olduğu, bir şeyler yapabileceğiniz ve sonra bağırmayacağınız ortaya çıktı. Bütün dünyada ne kadar iyi bir adam olduğum konuşuluyor. Belki gelecekte bazıları profesyonel sınıfın temsilcisine dönüşecek. Bu insanlar biraz dil öğrenmeye başlıyor, bir şeyler yazmaya çalışıyor, içlerinde yaratıcı düşünce uyanmaya başlıyor. Ve aynı zamanda toplum için belirli bir tehlike oluşturmaya başlarlar, çünkü virüs yazarları sınıfının böyle bir temsilcisinin deneyimsizliğinden ne kadar korkunç bir eser yazabileceğini kim bilebilir. Sonuçta bir profesyonel kodu yazdığında yine de bazı şeylerin yapılmasına gerek olmadığının farkına varır çünkü. ona karşı oynayabilirler. Yeni başlayan biri böyle bir bilgiye sahip değildir ve bu yüzden tehlikelidir.

Üç yazın: "profesyonel". İkinci türden geliştirin. "Artıları", programlama dilleri konusundaki derin bilgileriyle ayırt edilir, ağ güvenliği, işletim sistemlerinin derinliklerini anlayın ve en önemlisi ağların ve bilgisayar sistemlerinin nasıl çalıştığına dair çok ciddi bir bilgi ve anlayışa sahip olun. Üstelik "profesyoneller" güvenlik ihlallerini yalnızca şirket bültenlerinden öğrenmekle kalmıyor, aynı zamanda kendileri de buluyor. Genellikle "işlerinin" kalitesini artırmak için hacker gruplarında birleşirler. Bu insanlar çoğunlukla gizemlidir ve şöhret için açgözlü değildirler, başarılı bir operasyon gerçekleştirirken tüm dünyayı bu konuda bilgilendirmek için koşmazlar, başarıyı bir arkadaş çevresi içinde barışçıl bir şekilde kutlamayı tercih ederler. Elbette büyük bir tehlike oluşturuyorlar ama hepsi bilgili insanlar olduğu için herhangi bir sistemin - örneğin internetin - küresel olarak çökmesine neden olabilecek eylemlerde bulunmayacaklar. İstisnalar olmasına rağmen (herkes Slammer "a'yı unutmadı).

Dördüncü yazın: "endüstriyel bilgisayar korsanları". Hacker ailesinin toplum için en tehlikeli temsilcileri. Haklı olarak gerçek suçlular olarak adlandırılabilirler. Çoğu çeviricinin yazdıklarının ve banka ağlarının hacklenmesinin yalan olması onların vicdanındadır, büyük şirketler ve devlet kurumları. Bunu neden ve neden yapıyorlar, aşağıda konuşacağız. "Sanayiciler" hiçbir şeyi, hiç kimseyi hesaba katmazlar, bu bireyler hedeflerine ulaşmak için her şeyi yapabilirler.

Şimdi söylenenleri özetleyelim. "Senaryoların çocukları": genç-yeşil ve deneyimsiz. Senin en havalı olduğunu ve sadece Cool Sam'in senden daha havalı olduğunu göstermek istiyorum.
"Başlangıç": Bağımsız bir şey yazma arzusu vardı. Neyse ki bazıları, İnternet protokollerinin ve programlama dillerinin inceliklerine hakim olmaya çalıştıktan sonra bu işi bırakıp daha barışçıl bir şey yapmaya yöneliyor.
"Profesyonel": Eğer devlet aniden "suçunu, ölçüsünü, derecesini, derinliğini fark ederse" devreye girerse, bu türden bir temsilci yüksek nitelikli bir bilgisayar güvenliği uzmanı haline gelir. Daha fazla profesyonelin bu duruma geçmesini isterim.
"Sanayiciler": hiçbir şey kutsal değildir. Halk bilgeliği bu tür insanlardan çok iyi söz eder: "Mezar kambur olanı düzeltir."
Bu, bilgisayar davetsiz misafirleri sınıfının temsilci türlerine kabaca bir ayrımdır. Şimdi bunu neden yapıyorlar sorusuna geçelim.

Ne için
Peki ama gerçekte neden virüsler, truva atları, çeviriciler ve diğer kötü ruhlar yazılıyor? Sebeplerden biri, kendini onaylama arzusudur. Birinci ve ikinci tiplerin temsilcileri için tipiktir. Sadece arkadaşlarına "gerçek, havalı bir çocuk gibi" olduğunu göstermesi gerekiyor, ikincisi ise öncelikle özgüven düzeyini yükseltmek. İkinci neden ise tecrübe kazanmaktır. Yeni başlayanlar için tipik. İlk şaheserinizi yazdıktan sonra elbette onu birisi üzerinde denemek istersiniz. Aslında kendimde değil. Dolayısıyla Web'de her zaman çok tehlikeli olmayan belirli sayıda yeni virüs ortaya çıkıyor. Sonraki neden- rekabet ruhu. Hiç hacker yarışmalarını duydunuz mu? Bildiğim kadarıyla en son yaz aylarında gerçekleşti. Brezilyalı hacker grubu kazandı (görünüşe göre sadece futbolda güçlü değiller). Görev şuydu: En çok siteyi kim kıracak. Ama eminim ki en gelişmiş virüs ve en iyi virüs için rekabet vardır. tuş kaydedici. Adrenalin başka bir nedendir. Düşünün: gece, monitör ışığı, klavyenin etrafında dolaşan parmaklar, dün güvenlik sisteminde bir ihlal bulundu, bugün sisteme erişmeyi denemeniz ve yönetici arkadaşınıza evin patronunun kim olduğunu göstermeniz gerekiyor. Bu nedenin ardından bir sonraki gelir - romantizm. Ve kim gün batımını izlemeyi sever, kim yıldızları sever, kim virüs yazıp siteleri tahrif etmekten hoşlanır? Ne kadar çok insan, ne kadar çok lezzet. Sebebi şu; siyasi veya toplumsal bir protesto. Bu nedenle çoğu hükümet web sitesi, siyasi partilerin web siteleri, basılı ve çevrimiçi yayınlar ve büyük şirketler hacklenmektedir. Örnekleri uzaklarda aramanıza gerek yok. Irak'ta savaşın başlamasından hemen sonra, Bush'un politikasından memnun olmayanlar tarafından ABD hükümetinin sitelerine, ayrıca Arap gazetesi El Cezire'nin sitesine ve karşı taraftan bir dizi başka Arap kaynağına saldırılar düzenlendi. Ve belki de son neden her yerde bulunan paradır. Endüstriyel hackerlar tabiri caizse çoğunlukla onların uğruna çalışırlar. Banka ağlarını hackleyerek müşteri hesaplarına erişim sağlıyorlar. Bundan sonrasını tahmin etmek zor değil. Ağın herhangi bir kullanıcısı hakkında casus yazılım aracılığıyla bilgi toplayarak, daha da sıradan şantajla meşgul olurlar. "Sanayicilerin" yaptıkları eylemleri çok uzun süre sıralayabiliriz, onların tam teşekküllü bilgisayar suçluları olduğunu ve onlara suçlu muamelesi yapılması gerektiğini bir kez daha söylemek istiyorum.

"Ne, geri kalanlar o kadar nazik ve kabarık ki, onları neden bu kadar koruyorsunuz?" Konusunda bana gönderilen kızgın mektuplardan kaçınmak için şunu söyleyeceğim. Kimseyi korumayacağım ve anlatılan dört türün hiçbir temsilcisi etten bir melek değil - hepsi belli bir kötülük taşıyor. Ancak bilgisayar korsanları periyodik olarak bu dünyada her şeyin mükemmel olmadığını bize bildiriyorlar. Size bir örnek vereceğim. İnternet'i geçici olarak felç eden Slammer virüsü, Microsoft'un üç ay önce keşfettiği ve yamaladığı bir hatadan yararlandı. Ancak bu örneğin bir istisna olduğunu unutmayın. Bu nedenle en azından bilgisayar güvenliğinin temellerini gözlemlemek gerekir.

Andrey Radzeviç
Makalede Büyük Virüs Ansiklopedisi, viruslist.com'dan materyaller kullanılıyor

Virüs sınıflandırması

Şu anda mevcut değil birleşik sistem virüslerin sınıflandırılması ve isimlendirilmesi (1991'deki CARO toplantısında bir standart oluşturma girişiminde bulunulmasına rağmen). Virüsleri ayırmak gelenekseldir:

Etkilenen nesneler tarafından (dosya virüsleri, önyükleme virüsleri, komut dosyası virüsleri, makro virüsleri, kaynak koduna bulaşan virüsler):

· etkilenen işletim sistemleri ve platformlarda (DOS, Windows, Unix, Linux, Android);

virüsün kullandığı teknolojiler (polimorfik virüsler, gizli virüsler, rootkit'ler);

virüsün yazıldığı dile göre (birleştirici, yüksek seviyeli dil programlama, komut dosyası dili vb.);

Ek kötü amaçlı işlevler (arka kapılar, tuş kaydediciler, casuslar, botnet'ler vb.).

En ayrıntılı olarak virüsleri - casusları ele alacağız.

Virüsler casustur

Casus yazılım (casus yazılım yazılım, casus yazılım), bilgisayar yapılandırması, kullanıcı, kullanıcı etkinliği hakkında, ikincisinin izni olmadan bilgi toplamak amacıyla bilgisayara gizlice yüklenen bir programdır. Ayrıca başka eylemler de gerçekleştirebilirler: ayarları değiştirmek, kullanıcının bilgisi dışında programlar yüklemek, kullanıcı eylemlerini yeniden yönlendirmek

Casus yazılımlar aşağıdakiler gibi çok çeşitli görevleri gerçekleştirebilir:

İnternet kullanım alışkanlıkları ve en sık ziyaret edilen siteler hakkında bilgi toplamak (takip programı);

· klavyedeki tuş vuruşlarını ezberleyin (keylogger'lar) ve ekranın ekran görüntülerini kaydedin (ekran kazıyıcı) ve ardından casus yazılım oluşturucuya bilgi gönderin;

· bir bilgisayarın yetkisiz ve uzaktan kontrolü (uzaktan kontrol yazılımı) - arka kapılar, botnet'ler, drone yazılımları;

kullanıcının bilgisayarına yükleme ek programlar;

· güvenlik sistemlerinin (güvenlik analiz yazılımı) durumunun yetkisiz analizi için kullanılmalı - bağlantı noktası ve güvenlik açığı tarayıcıları ve şifre kırıcılar;

işletim sistemi parametrelerini (sistem değiştirme yazılımı) - rootkit'leri, kontrol önleyicileri (korsanları), vb. - İnternet bağlantısının hızında bir düşüşe veya bu nedenle bağlantı kaybına, diğer ana sayfaların açılmasına veya belirli programların silinmesine neden olacak şekilde değiştirmek;

Web sitelerini virüs riskiyle körü körüne ziyaret etmeyi gerektiren tarayıcı etkinliğini yeniden yönlendirin.

1.3.1 Casus yazılım türleri

İle Faaliyet türüne göre Spy virüsleri üç gruba ayrılabilir:

İlk grup

Virüs sürekli olarak kullanıcının eylemlerini izler. Casus, İnternet üzerinden alışveriş yaparken kredi kartı bilgilerini alacak ve ilgili kişilere aktaracaktır. Yetkisiz bir silme gerçekleşene kadar bunu fark etmeyebilirsiniz. Para hesabınızdan.

İkinci grup

Üçüncü grup

Virüs e-postanız hakkında bilgi alır posta kutuları. Bu, en küçüğü sizi vuran spam, önemsiz ve promosyon e-postalarından oluşan bir çığ gibi birçok sorunla tehdit ediyor.

Virüsün yayılmasının da belli bir mekanizması var.

1.3.2 Dağıtım mekanizması

Virüsler gövdelerini kopyalayarak ve daha sonra yürütülmesini sağlayarak yayılırlar: kendilerini diğer programların yürütülebilir koduna yerleştirerek, diğer programların yerini alarak, kendilerini otomatik çalıştırmaya kaydederek ve daha fazlasını yaparak. Bir virüs veya onun taşıyıcısı yalnızca makine kodu içeren programlar değil, aynı zamanda otomatik olarak içeren herhangi bir bilgi de olabilir. yürütülebilir komutlar-- toplu iş dosyaları ve Microsoft belgeleri Word ve Excel içeren makrolar. Ayrıca bir virüs, bir bilgisayara sızmak için popüler yazılımlardaki güvenlik açıklarını kullanabilir (örneğin, Adobe Flash, İnternet Explorer, Outlook), dağıtımcıların bunu güvenlik açığından yararlanan bir istismarla birlikte sıradan verilere (resimler, metinler vb.) yerleştirdiği.

· Disketler. 1980'li ve 1990'lı yıllarda en yaygın enfeksiyon kanalı. Daha yaygın ve verimli kanalların ortaya çıkması ve birçok modern bilgisayarda disket sürücülerin bulunmaması nedeniyle artık neredeyse yok.

Flash sürücüler (flaş sürücüler). Günümüzde USB flash sürücüler disketlerin yerini alıyor ve kaderlerini tekrarlıyor; çok sayıda virüs çıkarılabilir sürücüler aracılığıyla yayılıyor; dijital kameralar, dijital kameralar, taşınabilir dijital oyuncular 2000'li yıllardan bu yana cep telefonları, özellikle de akıllı telefonlar giderek daha önemli bir rol oynamaya başladı (orada mobil virüsler). Bu kanalın kullanımı daha önce esas olarak sürücüde oluşturma yeteneğinden kaynaklanıyordu özel dosya autorun.inf, çalıştırılacak programı belirleyebileceğiniz Windows Gezgini böyle bir sürücüyü açarken. Windows 7'de, dosyaları taşınabilir medyadan otomatik olarak çalıştırma özelliği devre dışı bırakılmıştır.

· E-posta. Genellikle e-postalardaki virüsler E-posta zararsız eklentiler gibi gizlenmiş: resimler, belgeler, müzik, web sitelerine bağlantılar. Bazı e-postalar aslında yalnızca bağlantılar içerebilir, yani e-postaların kendisi kötü amaçlı kod içermeyebilir, ancak böyle bir bağlantıyı açarsanız, virüs kodu içeren özel olarak oluşturulmuş bir web sitesine ulaşabilirsiniz. Birçok posta virüsleri Kullanıcının bilgisayarına girdikten sonra, kendilerini daha uzağa göndermek için Outlook gibi yüklü e-posta istemcilerindeki adres defterini kullanırlar.

Değişim sistemleri anlık mesajlaşma. Burada ayrıca ICQ ve diğer anlık mesajlaşma programları aracılığıyla gerçekte virüs olduğu varsayılan fotoğraf, müzik veya programlara bağlantı göndermek de yaygındır.

· İnternet sayfaları. İnternet sayfaları aracılığıyla bulaşma, sayfalardaki mevcudiyet nedeniyle de mümkündür. Dünya çapında Ağçeşitli "aktif" içerik: komut dosyaları, ActiveX bileşeni. Bu durumda, kullanıcının bilgisayarında yüklü olan yazılımdaki veya site sahibinin yazılımındaki güvenlik açıklarından yararlanılır (ki bu daha tehlikelidir, çünkü çok sayıda ziyaretçi akışı olan saygın siteler enfeksiyona maruz kalır) ve şüphelenmeyen kullanıcılar, böyle bir siteye erişildiğinde bilgisayarlarına bulaşma riski vardır.

İnternet ve yerel ağlar (solucanlar). Solucanlar, kullanıcı müdahalesi olmadan kurbanın bilgisayarına sızan bir virüs türüdür. Solucanlar, bir bilgisayara sızmak için işletim sistemi yazılımındaki sözde "delikler" (güvenlik açıkları) kullanır. Güvenlik açıkları, makine kodunun uzaktan indirilmesine ve yürütülmesine izin veren yazılımdaki hatalar ve kusurlardır; bunun sonucunda solucan bir virüs işletim sistemine girer ve kural olarak diğer bilgisayarlara bulaşmaya başlar. yerel ağ veya İnternet. Saldırganlar, virüslü kullanıcı bilgisayarlarını spam göndermek veya DDoS saldırıları için kullanır.

http://www.computermaster.ru/articles/secur2.html

Bilgisayar virüsleri hakkında bilmeniz gerekenler

(c) Alexander Frolov, Grigory Frolov, 2002

[e-posta korumalı]; http://www.frolov.pp.ru, http://www.datarecovery.ru

Profesyonellerin ve halkın kullanımına sunulan kişisel bilgisayarların yaratılmasından bu yana, bilgisayar virüslerinin tarihi başlamıştır. Disketlere dağıtılan kişisel bilgisayarların ve programların, bilgisayar virüslerinin ortaya çıktığı ve dikkatsizce yaşadığı "besleyici ortam" olduğu ortaya çıktı. Bilgisayar virüslerinin her yere nüfuz etme yeteneği etrafında ortaya çıkan mitler ve efsaneler, bu kötü niyetli yaratıkları anlaşılmaz ve bilinmeyen bir sisle kaplıyor.

Ne yazık ki deneyimli sistem yöneticileri bile (bahsetmiyorum bile) sıradan kullanıcılar) bilgisayar virüslerinin ne olduğunu, bilgisayarlara ve bilgisayar ağlarına nasıl nüfuz ettiklerini ve ne gibi zararlar verebileceklerini her zaman doğru bir şekilde hayal edemezsiniz. Aynı zamanda virüslerin işleyiş ve yayılma mekanizmasını anlamadan etkili bir anti-virüs koruması düzenlemek imkansızdır. En iyi antivirüs programı bile yanlış kullanıldığında güçsüz kalacaktır.

Bilgisayar virüslerinin tarihinde kısa bir kurs

Bir bilgisayar virüsü nedir?

Bilgisayar virüsünün en genel tanımı, kendi kendine yayılan virüs olarak verilebilir. bilgi ortamı bilgisayar program kodu. Disketlerin önyükleme sektörleri aracılığıyla dağıtılan programların yürütülebilir ve komut dosyalarına gömülebilir ve sabit sürücüler ofis uygulamalarına ait belgeler, e-posta, Web siteleri ve diğer elektronik kanallar aracılığıyla.

Bir bilgisayar sistemine giren virüs, zararsız görsel veya işitsel etkilerle sınırlı olabileceği gibi, veri kaybına veya bozulmasına, ayrıca kişisel ve gizli bilgilerin sızmasına da neden olabilir. En kötü durumda, virüsten etkilenen bir bilgisayar sistemi tamamen saldırganın kontrolü altında olabilir.

Günümüzde insanlar birçok kritik görevi çözmek için bilgisayarlara güveniyor. Bu nedenle, bilgisayar sistemlerinin arızalanması, insan kayıplarına kadar çok çok ciddi sonuçlara yol açabilir (havaalanı hizmetlerinin bilgisayar sistemlerinde bir virüs olduğunu hayal edin). Bilgi bilgisayar sistemleri geliştiricileri ve sistem yöneticileri bunu unutmamalıdır.

Bugüne kadar onbinlerce farklı virüs bilinmektedir. Bu bolluğa rağmen, dağıtım mekanizması ve etki prensibi bakımından birbirinden farklı olan oldukça sınırlı sayıda virüs türü vardır. Aynı anda birkaç farklı türe atfedilebilecek kombine virüsler de vardır. Hakkında konuşacağız çeşitli türler virüsler, görünümlerinin kronolojik sırasına mümkün olduğunca bağlı kalarak.

Dosya virüsleri

Tarihsel olarak dosya virüsleri diğer virüs türlerinden önce ortaya çıktı ve orijinal olarak MS-DOS işletim sistemi ortamında dağıtıldı. COM ve EXE program dosyalarının gövdesine sızan virüsler, bunları, başlatıldıklarında kontrol virüslü programa değil virüse aktarılacak şekilde değiştirir. Virüs, kodunu dosyanın sonuna, başına veya ortasına yazabilir (Şekil 1). Virüs ayrıca kodunu, bulaştığı programın farklı yerlerine yerleştirerek bloklara bölebilir.

Pirinç. 1. MOUSE.COM dosyasındaki virüs

Virüs kontrol altına alındıktan sonra diğer programlara bulaşabilir, bilgisayarın RAM'ına sızabilir ve diğer kötü amaçlı işlevleri gerçekleştirebilir. Daha sonra virüs, kontrolü virüslü programa aktarır ve program her zamanki gibi yürütülür. Sonuç olarak programı çalıştıran kullanıcı programın "hasta" olduğundan şüphelenmez.

Dosya virüslerinin yalnızca COM ve EXE programlarına değil aynı zamanda diğer program dosyalarına da (MS-DOS kaplamaları (OVL, OVI, OVR ve diğerleri), SYS sürücüleri, DLL'ler ve program koduna sahip tüm dosyalar) bulaşabileceğini unutmayın. Dosya virüsleri yalnızca MS-DOS için değil aynı zamanda Microsoft Windows, Linux, IBM OS/2 gibi diğer işletim sistemleri için de geliştirilmiştir. Ancak bu tür virüslerin büyük çoğunluğu MS-DOS ve Microsoft Windows ortamında yaşar.

Bazen MSDOS dosyası yazılım, oyun ve iş dünyasının ücretsiz alışverişi sayesinde virüsler sonsuza dek mutlu yaşadılar. O günlerde program dosyaları nispeten küçüktü ve disketlere dağıtılıyordu. Virüs bulaşan program, yanlışlıkla BBS ilan panosundan veya İnternet'ten de indirilebilir. Ve bu programlarla birlikte dosya virüsleri de yayılıyor.

Modern programlar önemli miktarda yer kaplar ve kural olarak CD'ler halinde dağıtılır. Disketlerdeki programların değişimi geçmişte kaldı. Programı lisanslı bir CD'den kurarak genellikle bilgisayarınıza virüs bulaşma riskiyle karşı karşıya kalmazsınız. Başka bir şey korsan CD'lerdir. Burada hiçbir şeyi garanti edemezsiniz (her ne kadar lisanslı CD'lerde yayılan virüs örneklerini bilsek de).

Sonuç olarak, günümüzde dosya virüsleri yerini daha sonra konuşacağımız popülerlikteki diğer virüs türlerine bırakmıştır.

Önyükleme virüsleri

Önyükleme virüsleri, işletim sistemi yüklenmeye başlamadan önce bile bilgisayarın başlatılması aşamasında kontrol edilir. Nasıl çalıştıklarını anlamak için bilgisayarı başlatma ve işletim sistemini yükleme sırasını hatırlamanız gerekir.

Bilgisayarın gücü açıldıktan hemen sonra POST (Power On kendi kendini test) BIOS'ta saklanır. Kontrol sırasında bilgisayar konfigürasyonu belirlenir ve ana alt sistemlerinin çalışabilirliği kontrol edilir. POST prosedürü daha sonra disketin A: sürücüsünde olup olmadığını kontrol eder. Bir disket takılırsa, işletim sisteminin disketten daha fazla yüklenmesi gerçekleşir. Aksi takdirde, önyükleme sabit sürücüden gerçekleştirilir.

Disketten önyükleme yaparken POST prosedürü diskten okur önyükleme kaydı(Önyükleme Kaydı, BR) Veri deposu. Bu giriş her zaman disketin ilk sektöründe bulunur ve küçük bir programdır. BR programına ek olarak disket formatını ve diğer bazı özellikleri tanımlayan bir veri yapısı içerir. POST prosedürü daha sonra kontrolü BR'ye aktarır. Kontrolü aldıktan sonra BR, doğrudan işletim sistemini yüklemeye devam eder.

Şuradan indirirken sabit disk POST prosedürü Ana Önyükleme Kaydını (MBR) okur ve onu bilgisayarın RAM'ına yazar. Bu girdi, önyükleme programını ve sabit diskteki tüm bölümleri açıklayan bölüm tablosunu içerir. Sabit sürücünün ilk sektöründe saklanır.

MBR okunduktan sonra kontrol, diskten okunan önyükleyiciye aktarılır. Bölüm tablosunun içeriğini ayrıştırır, etkin bölümü seçer ve etkin bölümün BR'sini okur. Bu giriş, sistem disketi üzerindeki BR girişine benzer ve aynı işlevleri yerine getirir.

Şimdi önyükleme virüsünün nasıl "çalıştığı" hakkında.

Bir bilgisayarın disketine veya sabit sürücüsüne bulaştığında, BR önyükleme kaydının veya MBR'nin yerini bir önyükleme virüsü alır (Şekil 2). Orijinal BR veya MBR kayıtları genellikle kaybolmaz (bu her zaman böyle olmasa da). Virüs bunları diskin boş sektörlerinden birine kopyalar.

Pirinç. 2. Önyükleme kaydındaki virüs

Böylece virüs, POST prosedürünün tamamlanmasının hemen ardından kontrolü ele alır. Daha sonra kural olarak standart algoritmaya göre hareket eder. Virüs kendisini RAM'in sonuna kopyalayarak kullanılabilir hacmini azaltır. Bundan sonra, çeşitli BIOS işlevlerine müdahale eder, böylece bunlara erişim, kontrolü virüse aktarır. Bulaşma prosedürünün sonunda virüs, gerçek önyükleme sektörünü bilgisayarın RAM'ına yükler ve kontrolü ona aktarır. Daha sonra bilgisayar her zamanki gibi açılır, ancak virüs zaten bellektedir ve tüm programların ve sürücülerin çalışmasını kontrol edebilir.

Kombine virüsler

Çoğu zaman dosya ve önyükleme virüslerinin özelliklerini birleştiren birleşik virüsler vardır.

Bunun bir örneği geçmişte yaygın olan dosya önyükleme virüsü OneHalf'tır. MS-DOS işletim sistemine sahip bir bilgisayara sızan bu virüs, ana önyükleme kaydını etkiler. Bilgisayar önyüklenirken virüs, en son sektörlerden başlayarak yavaş yavaş sabit diskin sektörlerini şifreler. Virüsün yerleşik modülü bellekte olduğunda, şifrelenmiş sektörlere olan tüm erişimleri izler ve bunların şifresini çözerek tüm bilgisayar yazılımlarının normal şekilde çalışmasını sağlar. OneHalf, RAM ve önyükleme sektöründen basitçe kaldırılırsa, diskin şifrelenmiş sektörlerinde kayıtlı bilgilerin doğru şekilde okunması imkansız hale gelecektir.

Virüs sabit sürücünün yarısını şifrelediğinde ekranda aşağıdaki mesajı görüntüler:

Dis bir yarımdır. Devam etmek için herhangi bir tuşa basın ...

Bundan sonra virüs kullanıcının herhangi bir tuşa basmasını bekler ve çalışmasına devam eder.

OneHalf virüsü kendisini gizlemek için çeşitli mekanizmalar kullanır. Bu gizli bir virüstür ve yayılmak için polimorfik algoritmalar kullanır. OneHalf virüsünü tespit etmek ve kaldırmak, tüm antivirüs programlarında bulunmayan oldukça zor bir iştir.

Yardımcı virüsler

Bildiğiniz gibi MS-DOS işletim sistemlerinde ve Microsoft'ta Windows çeşitli sürümlerinde, kullanıcının çalıştırabileceği üç tür dosya vardır. Komut mu toplu mu BAT dosyaları yürütülebilir COM ve EXE dosyalarının yanı sıra. Aynı anda, aynı adda ancak farklı ad uzantılarına sahip birden fazla yürütülebilir dosya aynı dizinde aynı anda bulunabilir.

Kullanıcı bir programı başlatıp işletim sisteminin sistem komut istemine programın adını girdiğinde, genellikle dosya uzantısını belirtmez. Dizinde aynı ada sahip ancak farklı ad uzantılarına sahip birden fazla program varsa hangi dosya yürütülür?

Bu durumda COM dosyasının çalışacağı ortaya çıktı. Geçerli dizinde veya PATH ortam değişkeninde belirtilen dizinlerde yalnızca EXE ve BAT dosyaları mevcutsa, o zaman EXE dosyası.

Uydu virüsü bir EXE veya BAT dosyasına bulaştığında, aynı dizinde aynı adda ancak COM uzantılı başka bir dosya oluşturur. Virüs kendisini bu COM dosyasına yazar. Böylece, program başlatıldığında, kontrolü ilk alan uydu virüsü olacak ve daha sonra bu programı başlatabilecek, ancak zaten kontrolü altında.

Toplu iş dosyalarındaki virüsler

BAT toplu dosyalarına bulaşabilecek çeşitli virüsler vardır. Bunu yapmak için çok karmaşık bir yöntem kullanıyorlar. Örnek olarak BAT.Batman virüsünü kullanarak bunu ele alacağız. Enfekte olduğunda toplu iş dosyası başına aşağıdaki metin eklenmiştir:

@ECHO OFF REM [...] kopyala %0 b.com>nul b.com del b.com rem [...]

Burada köşeli parantez içinde [...] virüsün işlemci talimatları veya verileri olan baytların konumu şematik olarak gösterilmektedir. @ECHO OFF komutu, yürütülmekte olan komutların adlarının görüntülenmesini devre dışı bırakır. REM komutuyla başlayan satır bir açıklamadır ve hiçbir şekilde yorumlanmaz.

copy %0 b.com>nul komutu, virüslü toplu iş dosyasını B.COM dosyasına kopyalar. Bu dosya daha sonra del b.com komutuyla çalıştırılır ve diskten kaldırılır.

En ilginç olanı ise virüsün oluşturduğu B.COM dosyasının, virüslü toplu iş dosyasıyla tek bir bayta denk gelmesi. Virüs bulaşmış bir BAT dosyasının ilk iki satırını bir program olarak yorumlarsanız, aslında hiçbir şey yapmayan CPU komutlarından oluşacağı ortaya çıktı. CPU bu komutları yürütür ve ardından REM açıklama ifadesinden sonra yazılan gerçek virüs kodunu yürütmeye başlar. Kontrolü ele geçiren virüs, işletim sistemi kesintilerini yakalar ve etkinleştirir.

Yayılma sürecinde virüs, verilerin dosyalara yazılmasını izler. Dosyaya yazılan ilk satır @echo komutunu içeriyorsa virüs bu komutun yazıldığını zanneder toplu iş dosyası ve ona bulaşıyor.

Şifreleme ve polimorfik virüsler

Algılamayı zorlaştırmak için bazı virüsler kodlarını şifreler. Bir virüs yeni bir programa bulaştığında, kendi kodunu şifreler. yeni anahtar. Sonuç olarak, böyle bir virüsün iki örneği birbirinden önemli ölçüde farklı olabilir, hatta farklı uzunluklara sahip olabilir. Virüs kodunun şifrelenmesi, araştırma sürecini büyük ölçüde karmaşıklaştırır. Düzenli Programlar böyle bir virüsü parçalarına ayıramayacak.

Doğal olarak virüs yalnızca çalıştırılabilir kodun şifresi çözülürse çalışabilir. Virüslü bir program başlatıldığında (veya virüslü bir BR'den yüklenmeye başladığında) ve virüs kontrolü ele aldığında, kodunun şifresini çözmek zorundadır.

Bir virüsün tespit edilmesini zorlaştırmak için şifreleme yalnızca farklı tuşlar, ama aynı zamanda farklı şifreleme prosedürleri. Bu tür virüslerin iki örneğinin eşleşen tek bir kod dizisi yoktur. Kodunu tamamen değiştirebilen bu tür virüslere polimorfik virüsler adı verilmektedir.

Gizli virüsler

Gizli virüsler bilgisayardaki varlıklarını gizlemeye çalışır. Bilgisayarın RAM'inde kalıcı olarak bulunan yerleşik bir modülleri vardır. Bu modül, virüslü bir program başlatıldığında veya önyükleme virüsü bulaşmış bir diskten önyükleme yapılırken yüklenir.

Virüsün yerleşik modülü, bilgisayarın disk alt sistemine yapılan çağrıları engeller. İşletim sistemi veya başka bir program, virüs bulaşmış bir program dosyasını okursa, virüs, gerçek, virüs bulaşmamış bir program dosyasının yerine geçer. Bunu yapmak için virüsün yerleşik modülü, virüsü etkilenen dosyadan geçici olarak kaldırabilir. Dosyayla çalışmanın bitiminden sonra tekrar virüs bulaşır.

Önyükleme gizli virüsleri aynı şekilde çalışır. Bir program önyükleme sektöründen veri okuduğunda, etkilenen sektörün yerine gerçek önyükleme sektörü kullanılır.

Gizli virüs kamuflajı yalnızca virüsün bilgisayarın RAM'inde yerleşik bir modül olması durumunda çalışır. Bilgisayar temiz, virüs bulaşmamış bir sistem disketinden başlatılırsa virüsün kontrolü ele geçirme şansı kalmaz ve bu nedenle gizlilik mekanizması çalışmaz.

Makro komut virüsleri

Şu ana kadar programın yürütülebilir dosyalarında ve disk önyükleme sektörlerinde yaşayan virüslerden bahsettik. Ofis paketinin yaygın dağılımı Microsoft Office programlarla değil belge dosyalarıyla yayılan yeni virüs türlerinin çığ gibi büyümesine neden oldu.

İlk bakışta bu imkansız görünebilir; aslında virüsler Microsoft Word metin belgelerinde veya Microsoft Excel elektronik tablolarındaki hücrelerde nerede saklanabilir?

Ancak gerçekte Microsoft Office belge dosyaları, bu belgeleri işlemek için Visual Basic for Applications programlama dilinde yazılmış küçük programlar içerebilir. Bu sadece aşağıdakiler için geçerli değildir: Word belgeleri ve Excel'in yanı sıra Access veritabanlarına ve Power Point sunum dosyalarına da. Bu tür programlar makrolar kullanılarak oluşturulduğundan, ofis belgelerinde yaşayan virüslere makro adı verilir.

Makro komut virüsleri nasıl yayılır?

Belge dosyalarıyla birlikte. Kullanıcılar dosyaları disketler, kurumsal intranet dosya sunucusu ağ dizinleri, e-posta ve diğer kanallar aracılığıyla paylaşırlar. Bir bilgisayara makro komut virüsü bulaştırmak için belge dosyasını uygun klasörde açmanız yeterlidir. ofis uygulaması- ve bitti!

Artık makro komutlu virüsler çok yaygındır ve bu büyük ölçüde Microsoft Office'in popülaritesinden kaynaklanmaktadır. Yürütülebilir dosyalara ve disklerin ve disketlerin önyükleme sektörlerine bulaşan "sıradan" virüsler kadar ve hatta bazı durumlarda onlardan daha fazla zarar verebilirler. Bize göre makro komut virüslerinin en büyük tehlikesi, virüslü belgeleri uzun süre fark edilmeden değiştirebilmeleridir.

Casus virüsler!

Casus yazılımlar bu yüzyılın belasıdır. Dünya çapında milyonlarca bilgisayara, pek kimse farkına varmadan, bu kötü amaçlı yazılım casus yazılımları bulaşmıştır.

Casuslar yalnızca bilgilerinizin güvenliğine zarar vermekle kalmaz, aynı zamanda bilgisayarınızın hızını da önemli ölçüde yavaşlatır. Casus yazılım paketlerinden birini indirdiğinizde, isteğiniz ne olursa olsun, bu program bilgisayarınıza otomatik olarak yüklenir. Bazen kurulum sırasında casus sizden sponsorun yazılımını yüklemenizi ister. Casus yazılım kurulduğunda kendisini yüklemeye çalışır. sistem kayıt defteri Bilgisayarınız ve siz onu oradan tamamen kaldırana kadar orada kalır.

Bilgisayarın potansiyelini tüketen casus, performansı düşürür İşlemci ve hafıza. Sonuç olarak, bilgisayarınız yavaşlar ve hatta yanıt vermeyi tamamen durdurur. Casus kendi kendine ortadan kaybolmayacak, sadece her şeye sebep olacak büyük gecikmeçünkü Casus yazılımlar bilgisayarınızdan bilgi toplamaya devam edecektir. Casus yazılımların sisteminizi yok etmesinin üç ana yolu vardır:

1. Tüm alışverişlerinizi sürekli izleyen casuslar var. Kredi kartınızı kullanırsanız, mali durumunuzu kaybedebilirsiniz; casus yazılım, kredi kartı numaranızı bulur ve başkalarının bunu satın alma işlemleri için kullanmasını mümkün kılar. Para eksikliğini keşfedene kadar bunu öğrenemeyebilirsiniz.

2. Bilgisayar korsanları (perde arkasındakiler) bilgisayarınıza ve onunla ilgili bilgilere erişebilecektir. Gerçek zamanlı olarak hangi tuşları kullandığınızı öğrenebilecek, bilgisayarınıza girebilecek, tarayıcı ayarlarını değiştirebilecek, izniniz olmadan programlarını yükleyebilecekler. Ayrıca casuslar e-posta adresleri, şifreler ve hatta kredi kartı numaraları hakkında da bilgi toplayabilir. Ancak bu sorun çözülebilir, ancak mevcut tüm casus yazılım temizleme programlarını gözden geçirin ve dikkatlice inceleyin, bunlar için incelemeler yapın, çünkü bazıları yarardan çok zarar verebilir.

3. Casus yazılımlar e-posta adresleriniz hakkında bilgi bulabilir. Böyle bir durumda birçok sorunla karşılaşacaksınız; bunlardan biri promosyon e-postalarının bombardımanına uğramanızdır.

Basit bir kullanıcı olsanız bile bilgisayarınızın hızını hızlı ve güvenilir bir şekilde artırmak için kolayca yapabileceğiniz birkaç yol vardır. İlk ve en mevcut yöntem Kesinlikle yapmanız gereken şeylerden biri disklerinizi birleştirmektir. Bilgisayarınızdaki "Birleştirme Sihirbazı" bunu gerçekleştirmenize yardımcı olacaktır. Bunu hızlı bir şekilde yapmak isteyebilirsiniz ancak uzun zaman alabilir. Süreç kesintiye uğramamalıdır. Düzenli çalışmayla bir sonraki kontrol daha az zaman alacaktır.

İkinci yol ise iyi bir casus yazılım temizleme programı kurmak ve kullanmaktır. Örneğin Spyware Doctor bunlarla iyi başa çıkıyor.

Ayrıca, ziyaret edilen sayfaların tarayıcılara kaydedilme süresini, ihtiyacınız yoksa, varsayılan olarak bir aydan 1-2 güne kadar programlı olarak azaltabilir veya site sayfasından ayrıldıktan hemen sonra silebilirsiniz.

Masaüstünüzü devre dışı bıraktığınızda RAM'e daha az yük gelecektir. Ve tasarım ve işçilik farkını hissetmeyeceksiniz.

İyi olduğunuzdan emin olun antivirüs programı sürekli kullanın. Virüsleri temizler ve yayılmalarını önlerseniz, bunu yaparak bilgisayarınızı gözle görülür şekilde hızlandırırsınız.

Bu basit kuralları takip ettiğinizde bilgisayarınızın ne kadar hızlı olduğuna ve ne kadar disk alanı boşalttığına şaşıracaksınız.