Komut dosyası virüsleri. Onuncu yıldönümü arifesinde antivirüs endüstrisi Komut dosyası virüsü konulu mesaj
Dosya virüslerinin bir alt grubu olan betik virüslerine de dikkat edilmelidir. Bu virüsler çeşitli betik dillerinde (VBS, JS, BAT, PHP vb.) yazılmıştır. Ya diğer betik programlarına (MS Windows ya da Linux komut ve hizmet dosyaları) bulaşırlar ya da çok bileşenli virüslerin parçalarıdırlar. Ayrıca, bu virüsler, içinde komut dosyaları çalıştırılabiliyorsa, diğer biçimlerdeki (örneğin HTML) dosyalara bulaşabilir.
Trojan programları.
Truva atları, virüs bulaşmış bir bilgisayarda gerçekleştirdikleri eylemlerde birbirinden farklıdır.
Arka kapı - Trojan uzaktan yönetim yardımcı programları
Bu sınıftaki Truva atları, bir ağdaki bilgisayarların uzaktan yönetimi için yardımcı programlardır. İşlevsellikleri açısından, birçok yönden yazılım ürünü üreticileri tarafından geliştirilen ve dağıtılan çeşitli yönetim sistemlerini anımsatırlar.
Bu programların zararlı Truva Atları olarak sınıflandırılmalarını sağlayan tek özelliği, kurulum ve başlatma ile ilgili uyarıların olmamasıdır. Trojan başlatıldığında kendisini sisteme kurar ve ardından onu izler, kullanıcıya sistemdeki Trojan'ın eylemleri hakkında herhangi bir mesaj verilmez. Ayrıca, "Trojan" bağlantısı aktif uygulamalar listesinde olmayabilir. Sonuç olarak, bu Trojan'ın "kullanıcısı", bilgisayarı uzaktan kontrole açıkken sistemdeki varlığından haberdar olmayabilir.
Gizli yönetim yardımcı programları, yazarın bilgisayarla birlikte koyduğu her şeyi yapmanıza olanak tanır: dosyaları alın veya gönderin, çalıştırın ve yok edin, mesajları görüntüleyin, bilgileri silin, bilgisayarı yeniden başlatın, vb. Sonuç olarak, bu Truva atları gizli bilgileri tespit etmek ve iletmek, virüsleri başlatmak, verileri yok etmek vb. için kullanılabilir. - Etkilenen bilgisayarlar bilgisayar korsanlarının kötü niyetli eylemlerine açıktır.
Bu nedenle, bu tür Truva atları, diğer Truva at türlerinde bulunan çok çeşitli kötü amaçlı eylem olasılığını içerdiklerinden, en tehlikeli kötü amaçlı yazılım türlerinden biridir.
Ayrı olarak, bilgisayar solucanlarının yaptığı gibi ağ üzerinden yayılabilen ve diğer bilgisayarlara sızabilen bir grup arka kapıya dikkat edilmelidir. Bu tür "Truva atlarını" solucanlardan ayıran şey, ağ üzerinde kendiliğinden yayılmamaları (solucanlar gibi), ancak yalnızca Truva atı programının verilen kopyasını kontrol eden "sahibinden" gelen özel bir komut üzerine yayılmalarıdır.
Trojan-PSW - şifre hırsızlığı
Bu aile, genellikle sistem parolaları (PSW - Password-Stealing-Ware) olmak üzere, virüs bulaşmış bir bilgisayardan çeşitli bilgileri "çalan" Truva atlarını içerir. PSW Truva Atları başlatıldığında, çeşitli gizli bilgileri (genellikle internete erişim için kullanılan telefon numaraları ve şifreler) depolayan sistem dosyalarını arar ve bunu Truva Atı kodunda belirtilen e-posta adresine veya adreslere gönderir.
Sistem hakkındaki bilgiler (bellek ve disk alanı, işletim sistemi sürümü), kullanılan e-posta istemcisinin türü, IP adresi vb. Bu türden bazı Truva atları, çeşitli yazılımlar için kayıt bilgilerini, ağ oyunlarına erişim kodlarını vb. "çalar".
Trojan-AOL, AOL (America Online) ağına erişim kodlarını "çalan" bir Trojan programları ailesidir. Çok sayıda olmaları nedeniyle özel bir grupta seçilirler.
Trojan-Clicker - İnternet tıklayıcıları
Ana işlevi İnternet kaynaklarına (genellikle web sayfalarına) yetkisiz erişimi organize etmek olan bir Truva atı ailesi. Bu, ya tarayıcıya uygun komutlar göndererek ya da İnternet kaynaklarının "standart" adreslerini içeren sistem dosyalarını (örneğin, MS Windows'daki ana bilgisayar dosyası) değiştirerek elde edilir.
Bir saldırgan, bu tür eylemler için aşağıdaki hedeflere sahip olabilir:
reklam gösterimlerini artırmak için herhangi bir siteye gelen trafiği artırmak;
herhangi bir sunucuda bir DoS saldırısı (Hizmet Reddi) düzenlemek;
virüsler veya Truva atları bulaşması için potansiyel kurbanları çekmek.
Trojan-Downloader - diğer kötü amaçlı programların teslimi
Bu sınıftaki Truva atları, kurbanın bilgisayarına kötü amaçlı programların yeni sürümlerini, "Truva atlarının" kurulumunu veya reklam sistemlerini indirmek ve yüklemek için tasarlanmıştır. İnternetten indirilen programlar daha sonra ya yürütülmek üzere başlatılır ya da işletim sisteminin yeteneklerine uygun olarak Trojan tarafından otomatik yüklenmek üzere kaydedilir. Bu işlemler kullanıcının bilgisi dışında gerçekleşir.
İndirilen programların adları ve konumları hakkındaki bilgiler, Trojan'ın kodunda ve verilerinde bulunur veya Trojan tarafından "kontrol eden" bir İnternet kaynağından (genellikle bir web sayfasından) indirilir.
Trojan-Dropper - diğer kötü amaçlı yazılım yükleyicileri
Bu sınıftaki Truva atları, diğer programları gizlice kurmak amacıyla yazılır ve neredeyse her zaman virüsleri veya diğer Truva atlarını kurbanın bilgisayarına "kaydırmak" için kullanılır.
Bu Truva atları genellikle herhangi bir mesaj olmadan (veya arşivdeki bir hata veya işletim sisteminin yanlış bir sürümü hakkında yanlış mesajlar içeren), diğer dosyaları bir dizindeki (C: sürücüsünün köküne, geçici dizine, Windows dizinlerine) ve yürütme için çalıştırın.
Genellikle bu tür programların yapısı aşağıdaki gibidir:
Ana kod
"Ana kod" dosyasından kalan bileşenleri çıkarır (dosya 1, dosya 2,.), bunları diske yazar ve açar (yürütme için başlatır).
Genellikle bileşenlerden biri (veya daha fazlası) Truva atlarıdır ve en az bir bileşen bir "hiledir": şaka programı, oyun, resim veya benzeri bir şey. "Hile", kullanıcının dikkatini dağıtmak ve/veya yürütülebilir dosyanın, Truva atı bileşeni sisteme yüklenirken aslında "yararlı" bir şey yaptığını göstermektir.
Bu sınıftaki programları kullanmanın bir sonucu olarak, bilgisayar korsanları iki hedefe ulaşır:
Truva atlarının ve/veya virüslerin gizli kurulumu;
anti-virüs programlarından koruma, çünkü hepsi bu tür dosyaların içindeki tüm bileşenleri kontrol edemez.
Trojan-Proxy - Trojan proxy sunucuları
Çeşitli İnternet kaynaklarına gizlice anonim erişim sağlayan bir Truva atı ailesi. Genellikle spam göndermek için kullanılır.
Trojan-Spy - casus yazılım
Bu Truva atları, virüs bulaşmış bir bilgisayarın kullanıcısını elektronik olarak gözetler: klavyeden girilen bilgiler, ekran görüntüleri, etkin uygulamaların bir listesi ve kullanıcının bunlarla ilgili eylemleri diskteki bir dosyaya kaydedilir ve periyodik olarak saldırgana gönderilir.
Bu tür Truva atları, genellikle çeşitli çevrimiçi ödeme ve bankacılık sistemlerinin kullanıcılarından bilgi çalmak için kullanılır.
Truva atı - diğer Truva atları
Bu Truva atları, Truva atı tanımına giren diğer eylemleri gerçekleştirenleri içerir, örn. verilerin yok edilmesi veya kötü niyetli olarak değiştirilmesi, bilgisayar performansının ihlali vb.
Bu kategori, hem kullanıcıyı gözetleyen hem de uzaktaki bir saldırgana proxy hizmeti sağlayanlar gibi "çok amaçlı" Truva atlarını da içerir.
Rootkit - işletim sistemindeki varlığını gizleme
Rootkit kavramı bize UNIX'ten geldi. Başlangıçta bu kavram, kök haklarını elde etmek için kullanılan bir dizi aracı ifade etmek için kullanıldı.
Rootkit gibi araçlar artık diğer işletim sistemlerinde (Windows dahil) "kök saldığından", böyle bir rootkit tanımının ahlaki açıdan geçersiz olduğu ve gerçek duruma karşılık gelmediği kabul edilmelidir.
Bu nedenle, rootkit, sistemdeki belirli nesnelerin (işlemler, dosyalar, kayıt defteri anahtarları vb.) Varlığını gizlemeyi amaçlayan bir program kodu veya tekniğidir.
Kaspersky Lab sınıflandırmasındaki rootkit davranışı, devralma kurallarına tabidir: Rootkit, kötü amaçlı yazılımlar arasında en genç davranıştır. Yani, bir Rootkit programında Trojan bileşeni varsa, Trojan olarak algılanır.
ArcBomb - arşivlerdeki "bombalar"
Bunlar, verileri açmaya çalışırken arşivleyicilerin anormal davranışlarına neden olacak şekilde özel olarak tasarlanmış arşivlerdir - bilgisayarın donması veya önemli ölçüde yavaşlaması veya diskin büyük miktarda "boş" veri ile doldurulması. Sunucu gelen bilgilerin bir tür otomatik işlenmesini kullanıyorsa, dosya ve posta sunucuları için "arşiv bombaları" özellikle tehlikelidir - bir "arşiv bombası" sunucuyu kolayca durdurabilir.
Üç tür "bomba" vardır: yanlış arşiv başlığı, yinelenen veriler ve arşivdeki aynı dosyalar.
Yanlış bir arşiv başlığı veya arşivdeki bozuk veriler, arşiv içeriği ayrıştırılırken belirli bir arşivleyicinin veya sıkıştırma açma algoritmasının başarısız olmasına neden olabilir.
Tekrarlanan verileri içeren büyük bir dosya, böyle bir dosyayı küçük bir arşivde arşivlemenize olanak tanır (örneğin, 5 GB veri, 200 KB RAR veya 480 KB ZIP arşivinde paketlenmiştir).
Arşivdeki çok sayıda aynı dosya, özel yöntemler kullanıldığında pratik olarak arşivin boyutunu da etkilemez (örneğin, 10100 özdeş dosyayı 30KB RAR veya 230KB ZIP arşivine paketleme yöntemleri vardır).
Trojan-Notifier - başarılı bir saldırı bildirimi
Bu tür Truva atları, "sahiplerini" virüs bulaşmış bir bilgisayar hakkında bilgilendirmek için tasarlanmıştır. Aynı zamanda bilgisayarla ilgili bilgiler "ana" adrese gönderilir, örneğin bilgisayarın IP adresi, açık port numarası, e-posta adresi vb. Gönderme çeşitli şekillerde gerçekleştirilir: e-posta ile, "sahibin" web sayfasına özel olarak tasarlanmış bir adresle, ICQ mesajıyla.
Bu Truva atları, çok bileşenli Truva atı kitlerinde, "sahiplerine" Truva atı bileşenlerinin saldırıya uğrayan sisteme başarılı bir şekilde kurulduğunu bildirmek için kullanılır.
Virüs, kendi kopyalarını oluşturabilen (orijinaliyle aynı olması gerekmez) ve bunları dosyalara, bilgisayarın sistem alanlarına, bilgisayar ağlarına enjekte edebilen ve diğer yıkıcı eylemleri gerçekleştirebilen bir programdır. Aynı zamanda, kopyalar daha fazla dağıtım yeteneğini korur. Bir bilgisayar virüsü, kötü amaçlı yazılım olarak sınıflandırılır.
Kötü amaçlı program - CS'de depolanan bilgilere tehdit uygulamak veya CS kaynaklarının gizli kötüye kullanımı veya CS'nin normal işleyişine müdahale eden diğer etkiler için tasarlanmış bir bilgisayar programı veya taşınabilir kod. Kötü amaçlı yazılım, bilgisayar virüslerini, truva atlarını, solucanları vb. içerir.
2. Virüsün yaşam döngüsü.
Geleneksel anlamda virüslerin ayırt edici özelliği tek bir bilgisayar içerisinde çoğalabilmeleri olduğundan, virüslerin türlere ayrılması üreme yöntemlerine göre gerçekleşir.
Üreme sürecinin kendisi şartlı olarak birkaç aşamaya ayrılabilir:
- Bilgisayara girmek
– Virüs aktivasyonu
– Enfeksiyon için nesneleri arayın
– Viral kopyaların hazırlanması
– Viral kopyaların tanıtılması
Her aşamanın uygulama özellikleri, kümeleri aslında virüsün sınıfını belirleyen nitelikler oluşturur.
3. Makrovirüsler. Komut dosyası virüsleri. Örnekler ver.
Makro virüsleri, makro dilinde yazılan ve bir uygulama ortamında çalıştırılan virüslerdir. Çoğu durumda, Microsoft Office belgelerindeki makrolardan bahsediyoruz.
Örnekler. Macro.Word97.Thus ailesinin temsilcileri en yıkıcı makro virüsleri arasındadır. Bu virüsler, bir belgeyi açarken, kapatırken ve oluştururken yürütülen standart makroların yerini aldıkları ve böylece diğer belgelere bulaştıkları Document_Open, Document_Close ve Document_New üç prosedür içerir. 13 Aralık'ta virüsün yıkıcı işlevi tetiklenir - dizinler ve alt dizinler dahil C: sürücüsündeki tüm dosyaları siler. Macro.Word97.Thus.aa'nın değiştirilmesi, belirtilen eylemlere ek olarak, etkilenen her belgeyi açarken, yerel diskte rastgele bir dosya seçer ve bu dosyanın ilk 32 baytını şifreleyerek sistemi yavaş yavaş çalışamaz bir duruma getirir.
Komut dosyası virüsleri, belirli bir komut kabuğunun ortamında çalışan virüslerdir: daha önce - DOS komut kabuğundaki yarasa dosyaları, şimdi daha sık olarak VBS ve JS - Windows Komut Dosyası Sistemi (WSH) komut kabuğundaki komut dosyaları.
Örnekler. Virus.VBS.Sling, VBScript'te (Visual Basic Komut Dosyası) yazılmıştır. Başlatıldığında, .VBS veya .VBE uzantılı dosyaları arar ve bunlara bulaşır. 16 Haziran veya Temmuz geldiğinde, virüs başlatıldığında kendisi dahil .VBS ve .VBE uzantılı tüm dosyaları siler.
Virus.WinHLP.Pluma.a, Windows yardım dosyalarını etkileyen bir virüstür. Virüslü bir yardım dosyası açıldığında, önemsiz olmayan bir yöntem (aslında, komut dosyası işlemedeki bir güvenlik açığı) kullanılarak, komut dosyasında bulunan belirli bir kod satırını normal bir Windows dosyası olarak başlatan bir virüs komut dosyası yürütülür. Çalışan kod, diskteki yardım dosyalarını arar ve Sistem alanına bir otomatik çalıştırma komut dosyası ekler.
Bilgisayar virüsü türleri
Bugün bilgisayar virüslerini duymayan böyle bir insan yok. Bu nedir, neler var? bilgisayar virüsü türleri ve kötü amaçlı yazılım, bu makalede anlamaya çalışalım. Bu nedenle, bilgisayar virüsleri aşağıdaki türlere ayrılabilir:
Reklam ve bilgilendirme programları, ana işlevlerine ek olarak reklam afişleri ve her türlü pop-up reklamları da görüntüleyen programlardır. Reklam içeren bu tür mesajların gizlenmesi veya devre dışı bırakılması bazen oldukça zor olabilir. Bu tür reklam yazılımı programları, bilgisayar kullanıcılarının davranışlarını temel alır ve sistem güvenliği açısından oldukça sorunludur.
Arka kapılar
Gizli yönetim yardımcı programları, güvenlik sistemlerini atlamanıza ve kurulu kullanıcının bilgisayarını kontrolünüz altına almanıza olanak tanır. Gizli modda çalışan bir program, bilgisayar korsanına sistemi kontrol etmesi için sınırsız haklar verir. Bu tür arka kapı programları sayesinde kullanıcının kişisel ve kişisel verilerine erişim sağlanabilmektedir. Çoğu zaman, bu tür programlar, sisteme bilgisayar virüsleri bulaştırmak ve kullanıcının bilgisi olmadan gizlice kötü amaçlı programlar yüklemek için kullanılır.
Önyükleme virüsleri
Genellikle HDD'nizin ana önyükleme sektörü özel önyükleme virüslerinden etkilenir. Bu tür virüsler, sistemin sorunsuz çalışması için gerekli olan bilgilerin yerini alır. Bu tür kötü amaçlı bir programın sonuçlarından biri, işletim sistemini önyükleyememektir...
botnet
Bir botnet, bir saldırganın yönetimine tabi olan ve birbiriyle etkileşime giren birçok virüslü bilgisayardan oluşan, İnternet üzerindeki tam teşekküllü bir ağdır. Böyle bir ağ üzerinde kontrol, sisteme giren virüsler veya Truva atları kullanılarak sağlanır. Çalışma sırasında kötü amaçlı programlar, saldırgandan bir komut bekleyerek hiçbir şekilde kendilerini göstermezler. Bu tür ağlar, SPAM mesajları göndermek veya istenen sunucular üzerinde DDoS saldırıları düzenlemek için kullanılır. İlginç bir şekilde, virüs bulaşmış bilgisayarların kullanıcıları ağda neler olduğundan tamamen habersiz olabilir.
Faydalanmak
İstismar (kelimenin tam anlamıyla bir güvenlik açığı), işletim sisteminin veya herhangi bir programın belirli deliklerini ve güvenlik açıklarını kullanan bir komut dosyası veya programdır. Benzer şekilde, programlar sisteme girerek hangi yönetici erişim haklarının elde edilebileceğini kullanır.
Aldatmaca (kelimenin tam anlamıyla şaka, yalan, aldatmaca, şaka, aldatma)
Birkaç yıldır birçok İnternet kullanıcısı, e-posta yoluyla yayıldığı varsayılan virüslerle ilgili e-posta mesajları alıyor. Bu tür uyarılar, kişisel listenizdeki tüm kişilere gönderilmesi için ağlamaklı bir taleple toplu olarak gönderilir.
Tuzaklar
Bal küpü (bal küpü), bir yangın meydana geldiğinde tüm ağı izleme ve saldırıları düzeltme görevi olan bir ağ hizmetidir. Basit bir kullanıcı, böyle bir hizmetin varlığından tamamen habersizdir. Bir bilgisayar korsanı ağdaki boşlukları araştırır ve izlerse, böyle bir tuzağın sunduğu hizmetlerden yararlanabilir. Bu, günlük dosyalarına yazacak ve otomatik bir alarmı tetikleyecektir.
makrovirüsler
Makro virüsleri, bir uygulama makro dilinde yazılmış çok küçük programlardır. Bu tür programlar, yalnızca bu uygulama için özel olarak oluşturulmuş belgeler arasında dağıtılır.
Bu tür kötü amaçlı programları etkinleştirmek için, uygulamanın başlatılması ve virüslü makro dosyasının çalıştırılması gerekir. Geleneksel makro virüslerinden farkı, bulaşmanın uygulamanın yürütülebilir dosyalarında değil, uygulama belgelerinde meydana gelmesidir.
Tarım
Pharming, kullanıcıyı sahte bir siteye yönlendirmek için tarayıcının ana bilgisayar dosyasının gizlice değiştirilmesidir. Dolandırıcılar büyük sunucular barındırır, bu tür sunucular büyük bir sahte web sayfaları veritabanı depolar. Ana bilgisayar dosyasını bir Truva atı veya bir virüs yardımıyla değiştirirken, virüslü sistemi manipüle etmek oldukça mümkündür. Sonuç olarak, virüslü sistem, tarayıcı çubuğuna doğru adresi girseniz bile yalnızca sahte siteleri yükleyecektir.
E-dolandırıcılık
Kimlik avı, kelimenin tam anlamıyla, kullanıcının İnternet'teyken kişisel bilgilerinin "avlanması" olarak tercüme edilir. Saldırgan, eylemleri sırasında potansiyel bir kurbana, onay için kişisel bilgilerin gönderilmesi gerektiğinin belirtildiği bir e-posta gönderir. Genellikle bu, kullanıcının adı ve soyadı, gerekli şifreler, kullanıcının çevrimiçi hesaplarına erişim için PIN kodlarıdır. Bu tür çalınan verilerin kullanılmasıyla, bir bilgisayar korsanı başka bir kişinin kimliğine bürünebilir ve onun adına herhangi bir işlem gerçekleştirebilir.
polimorfik virüsler
Polimorfik virüsler, iş yerinde kamuflaj ve reenkarnasyon kullanan virüslerdir. Bu süreçte program kodunu kendi başlarına değiştirebilirler ve bu nedenle imzaları zamanla değiştiği için bunları tespit etmek çok zordur.
Yazılım virüsleri
Bir bilgisayar virüsü, kendisini diğer çalışan programlara bağlama yeteneğine sahip olan ve böylece çalışmalarını etkileyen yaygın bir programdır. Virüsler, kopyalarını kendi başlarına yayarlar, bu da onları Truva atlarından önemli ölçüde ayırır. Ayrıca virüs ile solucan arasındaki fark, bir virüsün çalışması için kodunu ekleyebileceği bir programa ihtiyaç duymasıdır.
rootkit
Rootkit, kullanıcının sistemine gizlice yüklenen ve siber suçlunun kişisel oturum açma bilgilerinin ve çeşitli işlemlerin gizlenmesini sağlarken verilerin kopyalarını çıkaran özel bir yazılım grubudur.
Komut dosyası virüsleri ve solucanlar
Bu tür bilgisayar virüslerinin yazılması oldukça kolaydır ve öncelikle e-posta yoluyla dağıtılır. Komut dosyası virüsleri, kendilerini yeni oluşturulan komut dosyalarına eklemek veya çalışan ağ işlevleri aracılığıyla yayılmak için çalışmak üzere komut dosyası dillerini kullanır. Çoğu zaman, bulaşma e-posta yoluyla veya kullanıcılar arasında dosya alışverişinin bir sonucu olarak ortaya çıkar. Solucan, kendi kendine çoğalan ancak diğer programları da etkileyen bir programdır. Solucanlar çoğalırken, onları sıradan bilgisayar virüsü türlerinden ayıran diğer programların parçası olamazlar.
casus yazılım
Casuslar, kullanıcının kişisel verilerini bilgisi olmadan üçüncü şahıslara gönderebilir. Aynı zamanda, casus yazılım, kullanıcının İnternet'teki davranışını analiz eder ve toplanan verilere dayanarak, kullanıcının kesinlikle ilgisini çekecek reklamları veya açılır pencereleri (pop-up'lar) gösterir.
Makro virüsler (makro virüsler), bazı veri işleme sistemlerinde (metin düzenleyiciler, elektronik tablolar vb.) Yerleşik dillerdeki (makro diller) ve ayrıca VBA (Uygulamalar için Visual Basic) JS ( Java Komut Dosyası). Bu tür virüsler üremeleri için makro dillerin yeteneklerini kullanır ve onların yardımıyla kendilerini virüslü bir dosyadan (belge veya tablo) başkalarına aktarırlar. Microsoft Office için makro virüsler en yaygın olanlarıdır. Ami Pro belgelerine ve veritabanlarına bulaşan makro virüsleri de vardır. Belirli bir sistemde (düzenleyici) virüslerin varlığı için, sistemde aşağıdaki yeteneklere sahip yerleşik bir makro dili olması gerekir:
1. bir makro dilindeki bir programı belirli bir dosyaya bağlama;
2. makro programlarının bir dosyadan diğerine kopyalanması;
3. kullanıcı müdahalesi olmadan makro programın kontrolünü ele geçirme yeteneği (otomatik veya standart makrolar).
Bu koşullar Microsoft Word, Office ve AmiPro editörlerinin yanı sıra bir Excel elektronik tablosu ve bir Microsoft Access veritabanı tarafından karşılanır. Bu sistemler makro dilleri içerir: Word - Word Basic; Excel, Erişim - VBA. burada:
1. Makro programları belirli bir dosyaya bağlıdır (AmiPro) veya bir dosyanın içindedir (Word, Excel, Access);
2. makro dili, dosyaları kopyalamanıza (AmiPro) veya makro programlarını sistem hizmet dosyalarına ve düzenlenebilir dosyalara (Word, Excel) taşımanıza olanak tanır;
3. belirli koşullar altında (açma, kapatma vb.) bir dosya ile çalışırken, özel bir şekilde tanımlanmış (AmiPro) veya standart adlara (Word, Excel) sahip makro programları (varsa) çağrılır.
Makro dillerinin bu özelliği, büyük kuruluşlarda veya küresel ağlarda otomatik veri işleme için tasarlanmıştır ve sözde "otomatik iş akışını" düzenlemenize olanak tanır. Öte yandan, bu tür sistemlerin makro dillerinin yetenekleri, virüsün kodunu başka dosyalara aktarmasına ve böylece onlara bulaşmasına izin verir. Virüsler, virüslü bir dosyayı açarken veya kapatırken kontrolü ele alır, standart dosya işlevlerine müdahale eder ve ardından bir şekilde erişilen dosyalara bulaşır. MS-DOS'a benzeterek, çoğu makro virüsünün yerleşik olduğunu söyleyebiliriz: yalnızca bir dosyayı açarken/kapatırken değil, düzenleyicinin kendisi etkin olduğu sürece de etkindirler.
Word/Excel/Office virüsleri: genel bilgiler
Virüsün dosya içindeki fiziksel konumu, Microsoft ürünlerinde son derece karmaşık olan biçimine bağlıdır - her Word belgesi dosyası, Excel elektronik tablosu, birbirine bağlı bir veri blokları dizisidir (her birinin kendi biçimi de vardır). büyük miktarda hizmet verisi kullanarak. Bu biçime OLE2 - Nesne Bağlama ve Gömme adı verilir.
Word, Excel ve Office (OLE2) dosyalarının yapısı, karmaşık bir disk dosya sistemine benzer: bir belge dosyasının veya tablonun "kök dizini", çeşitli veri bloklarının ana alt dizinlerine işaret eder, birkaç FAT tablosu, konumu hakkında bilgi içerir. bir belgedeki veri blokları vb. Ayrıca Word ve Excel standartlarını destekleyen Office Binder sistemi, bir veya daha fazla Word belgesini ve bir veya daha fazla Excel elektronik tablosunu aynı anda içeren dosyalar oluşturmanıza olanak tanır. Aynı zamanda, Word virüsleri Word belgelerine bulaşabilir ve Excel virüsleri Excel elektronik tablolarına bulaşabilir ve tüm bunlar tek bir disk dosyası içinde mümkündür. Aynısı Office için de geçerli. Word için bilinen virüslerin çoğu, Word'ün ulusal (Rusça dahil) sürümleriyle uyumsuzdur veya tam tersi - yalnızca Word'ün yerelleştirilmiş sürümleri için tasarlanmıştır ve İngilizce sürüm altında çalışmazlar. Bununla birlikte, belgedeki virüs hala etkindir ve üzerlerinde yüklü olan ilgili Word sürümüyle diğer bilgisayarlara bulaşabilir. Word virüsleri, herhangi bir sınıftaki bilgisayarları etkileyebilir. Bu bilgisayarda Microsoft Word sürüm 6 veya 7 veya üstü (örneğin, Macintosh için MS Word) ile tamamen uyumlu bir metin düzenleyici kuruluysa virüs bulaşması mümkündür.
Aynısı Excel ve Office için de geçerlidir. Ayrıca, Word belge biçimlerinin, Excel elektronik tablolarının ve özellikle Office'in karmaşıklığının şu özelliğe sahip olduğuna dikkat edilmelidir: belge dosyalarında ve tablolarda "ekstra" veri blokları vardır, örn. düzenlenmiş metin veya tablolarla hiçbir şekilde ilişkili olmayan veya dosyadaki diğer verilerin kopyaları olan veriler. Bu tür veri bloklarının ortaya çıkmasının nedeni, OLE2 belgelerinde ve tablolarında verilerin küme organizasyonudur - yalnızca bir metin karakteri girilse bile, bunun için bir veya birkaç veri kümesi tahsis edilir. Belgeleri ve tabloları "yararlı" verilerle doldurulmamış kümelere kaydederken, diğer verilerle birlikte dosyaya giren "çöp" kalır. Dosyalardaki "çöp" miktarı, Word/Excel "Hızlı Kaydetmeye İzin Ver" seçeneğinin seçimi kaldırılarak azaltılabilir, ancak bu yalnızca toplam "çöp" miktarını azaltır, tamamen ortadan kaldırmaz. Bunun sonucu, bir belgeyi düzenlerken, onunla gerçekleştirilen eylemlerden bağımsız olarak boyutunun değişmesidir - yeni metin eklerken dosya boyutu küçülebilir ve metnin bir kısmını silerken artabilir.
Makro virüslerinde de durum aynıdır: Bir dosyaya virüs bulaştığında boyutu azalabilir, artabilir veya değişmeden kalabilir. Ayrıca, OLE2.DLL'nin bazı sürümlerinin küçük bir kusur içerdiğine dikkat edilmelidir; bunun sonucunda, Word, Excel ve özellikle Office belgeleriyle çalışırken, gizli veriler (silinmiş dosyalar, dizinler, vb.) .d.). Virüs komutları da bu bloklara girebilir. Sonuç olarak, virüslü belgelerin dezenfekte edilmesinden sonra virüsün aktif kodu dosyadan kaldırılır, ancak komutlarından bazıları "çöp" bloklarında kalabilir. Bir virüsün varlığının bu tür izleri bazen metin editörlerinde görülebilir ve hatta bazı antivirüs programlarının tepki vermesine neden olabilir. Ancak virüsün bu kalıntıları tamamen zararsızdır: Word ve Excel bunlara hiç aldırış etmez.
Word/Excel/Office virüsleri: nasıl çalışırlar?
Word belgesi sürüm 6 ve 7 veya üstü ile çalışırken çeşitli eylemler gerçekleştirir: belgeyi açar, kaydeder, yazdırır, kapatır, vb. Aynı zamanda, Word ilgili "yerleşik makroları" arar ve yürütür - bir dosyayı Dosya / Kaydet komutuyla kaydederken, Dosya / SaveAs komutuyla kaydederken - FileSaveAs, belgeleri yazdırırken FileSave makrosu çağrılır - FilePrint, vb., tabii ki tanımlanmış makrolar varsa. Çeşitli koşullar altında otomatik olarak çağrılan birkaç "otomatik makro" da vardır. Örneğin, bir belgeyi açtığınızda, Word belgede Otomatik Aç makrosunun olup olmadığını denetler. Böyle bir makro varsa, Word onu yürütür. Belge kapatıldığında, Word AutoClose makrosunu yürütür, Word başladığında AutoExec makrosu, kapatıldığında AutoExit ve yeni bir belge oluştururken AutoNew çağrılır.
Otomatik ve yerleşik makroların rolünün herhangi bir makro veya makroda bulunan otomatik ve yerleşik işlevler tarafından gerçekleştirildiği Excel/Office'te de benzer mekanizmalar (ancak farklı makro ve işlev adlarına sahip) kullanılır ve bir makroda birkaç yerleşik işlev bulunabilir ve otomatik işlevler. Herhangi bir tuş veya saat veya tarih ile ilişkili makrolar/işlevler de otomatik olarak (yani kullanıcı müdahalesi olmadan) yürütülür, örn. Word/Excel, belirli bir tuşa (veya tuş bileşimine) basıldığında veya belirli bir zamana ulaşıldığında bir makro/işlevi çağırır. Office'te, olayları yakalama olasılıkları bir ölçüde genişletilmiştir, ancak ilke aynıdır.
Word, Excel veya Office dosyalarına bulaşan makro virüsleri genellikle yukarıda listelenen üç yöntemden birini kullanır - virüste bir otomatik makro (otomatik işlev) bulunur veya standart sistem makrolarından biri yeniden tanımlanır (bazı menülerle ilişkilendirilir) öğe) veya herhangi bir tuşa veya tuş kombinasyonuna bastığınızda virüs makrosu otomatik olarak çağrılır. Tüm bu hileleri kullanmayan ve yalnızca kullanıcı bunları bağımsız olarak başlattığında çoğalan yarı virüsler de vardır. Bu nedenle, belgeye virüs bulaşmışsa, belge açıldığında, Word virüslü AutoOpen makrosunu (veya belge kapatıldığında AutoClose) çağırır ve DisableAutoMacros sistem değişkeni tarafından yasaklanmadığı sürece virüs kodunu çalıştırır. Virüs standart adlara sahip makrolar içeriyorsa, ilgili menü öğesi (Dosya/Aç, Dosya/Kapat, Dosya/Kaydet) çağrılarak denetlenir. Herhangi bir klavye simgesi yeniden tanımlanırsa, virüs yalnızca ilgili tuşa basıldıktan sonra etkinleştirilir.
Çoğu makro virüsü, tüm işlevlerini standart Word/Excel/Office makroları olarak içerir. Bununla birlikte, kodlarını gizlemek ve kodlarını makro olmayanlar olarak saklamak için hileler kullanan virüsler vardır. Bu tür üç teknik bilinmektedir ve bunların tümü, diğer makroları oluşturmak, düzenlemek ve yürütmek için makroların yeteneğini kullanır. Kural olarak, bu tür virüsler, yerleşik makro düzenleyiciyi çağıran, yeni bir makro oluşturan, onu ana virüs koduyla dolduran, çalıştıran ve sonra kural olarak onu yok eden küçük (bazen polimorfik) bir virüs yükleyici makrosuna sahiptir. virüsün varlığının izlerini gizleyin). Bu tür virüslerin ana kodu, virüs makrosunun kendisinde metin dizeleri biçiminde (bazen şifreli) bulunur veya belge değişkenleri alanında veya Otomatik metin alanında depolanır.
Word makro virüslerinin çalışma algoritması
Bilinen Word virüslerinin çoğu başlatıldığında, kodlarını (makrolar) belgenin genel makrolar alanına ("genel" makrolar) aktarırlar, bunun için makroları kopyalamak için MacroCopy, Organizatör.Kopya komutlarını kullanırlar veya makro düzenleyici - virüs onu çağırır, yeni bir makro oluşturur , içine, belgeye kaydettiği kodunu ekler. Word'den çıktığınızda, genel makrolar (virüs makroları dahil) otomatik olarak genel makrolar DOT dosyasına (genellikle NORMAL.DOT) yazılır. Böylece, MS-Word editörünü bir sonraki başlatışınızda, WinWord global makroları yüklediği anda virüs etkinleştirilir, yani. hemen. Daha sonra virüs bir veya daha fazla standart makroyu yeniden tanımlar (veya zaten içerir) (örneğin, FileOpen, FileSave, FileSaveAs, FilePrint) ve böylece dosya işleme komutlarını engeller. Bu komutlar çağrıldığında, virüs erişilen dosyaya bulaşır. Bunu yapmak için, virüs dosyayı Şablon biçimine dönüştürür (bu, dosya biçimini daha fazla değiştirmeyi, yani Şablon olmayan herhangi bir biçime dönüştürmeyi imkansız kılar) ve Otomatik makro dahil olmak üzere makrolarını dosyaya yazar. Bu nedenle, bir virüs FileSaveAs makrosunu yakalarsa, virüs tarafından yakalanan makro aracılığıyla kaydedilen her DOC dosyasına virüs bulaşır. FileOpen makrosu yakalanırsa, virüs diskten okunduğunda kendisini dosyaya yazar.
Sisteme bir virüs sokmanın ikinci yöntemi çok daha az kullanılır - sözde "Eklenti" dosyalarına dayanır, yani. Word'e hizmet eklemeleri olan dosyalar. Bu durumda NORMAL.DOT değişmez ve Word başlangıçta "Eklenti" olarak belirtilen dosyadan (veya dosyalardan) virüs makrolarını yükler. Bu yöntem, virüs makrolarının NORMAL.DOT'ta değil, başka bir dosyada saklanması dışında, genel makroların bulaşmasını neredeyse tamamen tekrarlar. BAŞLANGIÇ dizininde bulunan dosyalara virüs enjekte etmek de mümkündür - Word, şablon dosyalarını bu dizinden otomatik olarak yükler, ancak bu tür virüslere henüz rastlanmamıştır. Yukarıdaki sisteme giriş yöntemleri, yerleşik DOS virüslerinin bazı analoglarıdır. Yerleşik olmayan bir analog, kodlarını sistem makroları alanına aktarmayan makro virüsleridir - diğer belge dosyalarına bulaşmak için, ya Word'de yerleşik dosya işlevlerini kullanarak ararlar ya da son zamanlarda listeye bakın. düzenlenmiş dosyalar (Son kullanılan dosya listesi) . Sonra bu tür virüsler belgeyi açar, bulaştırır ve kapatır.
Excel makro virüslerinin çalışma algoritması
Excel virüslerinin yayılma yöntemleri genellikle Word virüslerininkine benzer. Farklılıklar makro kopyalama komutlarındadır (örneğin, Sheets.Copy) ve NORMAL.DOT'un yokluğunda - işlevi (viral anlamda) Excel BAŞLANGIÇ dizinindeki dosyalar tarafından gerçekleştirilir. Excel elektronik tablolarında makro virüs kodunun konumu için iki olası seçenek olduğu belirtilmelidir. Bu virüslerin büyük çoğunluğu kodlarını VBA (Visual Basic for Applications) biçiminde yazarlar, ancak kodlarını eski Excel sürüm 4.0 biçiminde depolayan virüsler de vardır. Bu tür virüsler, Excel elektronik tablolarındaki virüs kodlarının konum biçimindeki farklılıklar dışında, esasen VBA virüslerinden farklı değildir. Excel'in daha yeni sürümleri (sürüm 5'ten beri) daha gelişmiş teknolojiler kullansa da, uyumluluğu korumak için Excel'in eski sürümlerinden makro çalıştırma özelliği korunmuştur. Bu nedenle, Excel 4 biçiminde yazılan tüm makrolar, Microsoft'un bunların kullanılmasını önermemesine ve Excel ile gerekli belgeleri içermemesine rağmen, sonraki tüm sürümlerde tamamen işlevseldir.
Erişim için virüs algoritması
Access, Office Pro paketinin bir parçası olduğundan, Access virüsleri Visual Basic'te Office uygulamalarına bulaşan diğer virüslerle aynı makrolardır. Ancak bu durumda, otomatik makrolar yerine, sistem çeşitli olaylarda (örneğin, Autoexec) sistem tarafından çağrılan otomatik komut dosyalarına sahiptir. Bu komut dosyaları daha sonra çeşitli makroları çağırabilir. Bu nedenle, Access veritabanlarına bulaşırken, virüsün bazı otomatik komut dosyalarını değiştirmesi ve makrolarını virüs bulaşan veritabanına kopyalaması gerekir. Komut dosyası dili oldukça ilkel olduğundan ve bunun için gerekli işlevleri içermediğinden, komut dosyalarının ek makrolar olmadan bulaşması mümkün değildir.
Erişim açısından komut dosyalarına makro (makro) ve makrolara modüller (modül) adı verildiğine dikkat edilmelidir, ancak gelecekte birleşik terminoloji kullanılacaktır - komut dosyaları ve makrolar. Access veritabanlarını temizlemek, diğer makro virüslerini kaldırmaktan daha zor bir iştir, çünkü Access söz konusu olduğunda, yalnızca virüs makrolarını değil, aynı zamanda otomatik komut dosyalarını da etkisiz hale getirmek gerekir. Ve Access çalışmasının önemli bir kısmı yalnızca komut dosyalarına ve makrolara atandığından, herhangi bir öğenin yanlış silinmesi veya devre dışı bırakılması, veritabanıyla işlemlerin imkansızlığına yol açabilir. Aynısı virüsler için de geçerlidir - otomatik komut dosyalarının yanlış değiştirilmesi, veritabanında depolanan verilerin kaybolmasına neden olabilir.
AmiPro virüsleri
Herhangi bir belgeyle çalışırken, AmiPro editörü iki dosya oluşturur - belgenin kendisinin metni (SAM adı uzantılı) ve belge makrolarını ve muhtemelen diğer bilgileri (ad uzantısı - SMM) içeren ek bir dosya. Her iki dosyanın da formatı oldukça basittir - hem düzenlenebilir metin hem de kontrol komutlarının normal metin satırları biçiminde bulunduğu düz bir metin dosyasıdır. Bir belge, bir SMM dosyasındaki herhangi bir makroyla ilişkilendirilebilir (AssignMacroToFile komutu). Bu makro, MS Word'deki AutoOpen ve AutoClose'a benzer ve bir dosyayı açarken veya kapatırken AmiPro editörü tarafından çağrılır. Görünüşe göre AmiPro'nun makroları "ortak" alana koyma yeteneği yoktur, bu nedenle AmiPro virüsleri sisteme yalnızca virüslü bir dosya açıldığında bulaşabilir, ancak MS-Word'e bulaştıktan sonra olduğu gibi sistem önyüklendiğinde değil. NORMAL.DOT dosyası. MS Word gibi, AmiPro da ChangeMenuAction komutuyla sistem makrolarını (örn. SaveAs, Save) geçersiz kılmanıza izin verir. Geçersiz kılınan işlevler (menü komutları) çağrılırken, virüslü makrolar kontrolü ele alır, örn. virüs kodu.
Gizli virüsler
Bu sınıfın temsilcileri, sistemdeki varlıklarını gizlemek için çeşitli yöntemler kullanır. Bu genellikle dosyalarla çalışmaktan sorumlu bir dizi sistem işlevini yakalayarak elde edilir. "Gizli" teknolojiler, bir virüsün özel araçlar olmadan tespit edilmesini imkansız hale getirir. Virüs, hem etkilenen nesnenin (dosyanın) uzunluk artışını hem de içindeki kendi gövdesini maskeleyerek, dosyanın "sağlıklı" kısmını kendisi için "ikame eder".
Bir bilgisayar taraması sırasında, virüsten koruma programları işletim sistemini ve BIOS'u kullanarak sabit sürücülerden ve disketlerden verileri - dosyaları ve sistem alanlarını - okur. Gizlilik - virüsler veya görünmez virüsler, başlatıldıktan sonra bilgisayarın RAM'inde, programların bilgisayarın disk alt sistemine erişimini engelleyen özel modüller bırakır. Böyle bir modül, bir kullanıcı programının bir diskin virüslü bir dosyayı veya sistem alanını okumaya çalıştığını tespit ederse, okunan verileri anında değiştirir ve böylece anti-virüs programlarını aldatarak fark edilmeden kalır.
Ayrıca gizli virüsler, sistemde ve diğer işlemlerde akışlar şeklinde saklanabilir ve bu da tespit edilmelerini çok daha zorlaştırır. Bu tür gizli virüsler, sistemde şu anda çalışan tüm işlemlerin listesinde bile görülemez.
Gizli virüs maskeleme mekanizmasını kapatmanın kolay bir yolu var. Bilgisayarı virüs bulaşmamış bir sistem disketinden başlatmak ve bilgisayar diskinden programları çalıştırmadan bilgisayarı bir virüsten koruma programı ile taramak yeterlidir (bunlara virüs bulaşmış olabilir). Bu durumda, virüs kontrolü ele geçiremeyecek ve RAM'de gizli bir algoritma uygulayan yerleşik bir modül kuramayacak, antivirüs diskte gerçekten yazılı olan bilgileri okuyacak ve "bacili" kolayca tespit edecektir.
Çoğu anti-virüs programı, gizli virüslerin fark edilmeden gitme girişimlerine karşı koyar, ancak onlara tek bir şans bırakmamak için, bilgisayarı bir anti-virüs programı ile kontrol etmeden önce, bilgisayara bir disketten yüklenmelidir. -virüs programları da yazılmalıdır. Birçok antivirüs, gizli virüslere direnmede o kadar başarılıdır ki, kendilerini gizlemeye çalıştıklarında onları tespit ederler. Bu tür programlar, bunun için birkaç farklı yöntem kullanarak kontrol edilecek program dosyalarını diskten okur - örneğin, işletim sistemini kullanarak ve BIOS aracılığıyla: uyumsuzluklar bulunursa, o zaman muhtemelen gizli bir virüsün RAM'de olduğu sonucuna varılır. .
polimorfik virüsler
Polimorfik virüsler, sözde virüs imzaları - belirli bir virüse özgü kalıcı bir kodun bölümleri - kullanılarak tespiti imkansız (veya son derece zor) olanları içerir. Bu, iki ana yolla elde edilir - ana virüs kodunu kalıcı olmayan bir anahtar ve rastgele bir şifre çözücü komut seti ile şifreleyerek veya yürütülebilir virüs kodunun kendisini değiştirerek. Polimorfizmin oldukça egzotik başka örnekleri de vardır - örneğin "Bomber" DOS virüsü şifrelenmemiştir, ancak kontrolü virüs koduna aktaran komut dizisi tamamen polimorfiktir.
Önyükleme ve dosya DOS virüslerinden Windows virüslerine ve hatta makro virüslerine kadar her türden virüste değişen karmaşıklık derecelerinde polimorfizm bulunur.
Soruların çoğu "polimorfik virüs" terimi ile ilgilidir. Bu tür bilgisayar virüsü açık ara en tehlikeli olanıdır.
Polimorfik virüsler, virüslü programlardaki kodlarını, aynı virüsün iki örneğinin bir bitte eşleşmeyeceği şekilde değiştiren virüslerdir.
Bu tür virüsler, kodlarını yalnızca farklı şifreleme yolları kullanarak şifrelemekle kalmaz, aynı zamanda kodlarının bölümlerini de şifreleyebilen, ancak aynı zamanda sabit bir koda sahip olan sıradan şifreleme virüslerinden ayıran şifreleyici ve şifre çözücünün üretim kodunu da içerir. şifreleyici ve şifre çözücü.
Polimorfik virüsler, kendi kendini değiştiren kod çözücülere sahip virüslerdir. Bu tür bir şifrelemenin amacı, virüslü ve orijinal bir dosyanız varsa, geleneksel sökme yöntemini kullanarak kodunu hala analiz edememenizdir. Bu kod şifrelenmiştir ve anlamsız bir komutlar dizisidir. Şifre çözme, çalışma zamanında virüsün kendisi tarafından gerçekleştirilir. Aynı zamanda, seçenekler mümkündür: bir kerede kendi şifresini çözebilir veya "hareket halindeyken" böyle bir şifre çözme işlemini gerçekleştirebilir, önceden işlenmiş bölümleri tekrar şifreleyebilir. Tüm bunlar, virüs kodunun analiz edilmesini zorlaştırmak adına yapılıyor.
Polimorfik şifre çözücüler
Polimorfik virüsler, şifre çözücülerinin kodunu oluşturmak için karmaşık algoritmalar kullanır: talimatlar (veya eşdeğerleri), NOP, STI, CLI, STC, CLC, DEC unused register, XCHG gibi hiçbir şeyi değiştirmeyen komutlarla seyreltilerek enfeksiyondan bulaşmaya değiştirilir. kullanılmayan kayıtlar vb. d.
Tam teşekküllü polimorfik virüsler daha da karmaşık algoritmalar kullanır, bunun sonucunda virüs şifre çözücü SUB, ADD, XOR, ROR, ROL ve diğer işlemlerle keyfi bir sayı ve sırayla karşılaşabilir. Anahtarların ve diğer şifreleme parametrelerinin yüklenmesi ve değiştirilmesi, neredeyse tüm Intel işlemci komutlarının (ADD, SUB, TEST, XOR, OR, SHR, SHL, ROR, MOV, XCHG, JNZ, PUSH, POP . ..) mümkün olan tüm adresleme modları ile. Şifre çözücü Intel386'ya kadar olan talimatları kullanan polimorfik virüsler de ortaya çıkıyor ve 1997 yazında Windows95 EXE dosyalarına bulaşan 32 bit polimorfik bir virüs keşfedildi. Artık modern işlemcilerin çeşitli komutlarını da kullanabilen polimorfik virüsler zaten var.
Sonuç olarak, böyle bir virüs bulaşmış bir dosyanın başında, görünüşte anlamsız olan bir dizi talimat vardır ve oldukça verimli olan bazı kombinasyonlar, tescilli ayrıştırıcılar tarafından alınmaz (örneğin, CS:CS: veya CS kombinasyonu) : HAYIR). Ve bu komut ve veri "yulaf lapası" arasında, MOV, XOR, LOOP, JMP ara sıra gözden kaçar - gerçekten "çalışan" talimatlar.
polimorfizm seviyeleri
Bu virüslerin kod çözücülerinde bulunan kodun karmaşıklığına bağlı olarak, polimorfik virüslerin seviyelere bölünmesi vardır. Bu bölünme ilk olarak Dr. Alan Solomon, bir süre sonra Vesselin Bonchev onu genişletti.
Seviye 1: kalıcı bir koda sahip belirli bir şifre çözücü setine sahip olan ve virüs bulaştığında bunlardan birini seçen virüsler. Bu tür virüsler "yarı polimorfiktir" ve "oligomorfik" (oligomorfik) olarak da adlandırılırlar. Örnekler: "Cheeba", "Slovakya", "Balina".
Seviye 2: Virüs kod çözücü bir veya daha fazla kalıcı talimat içerir, ancak ana kısmı kalıcı değildir.
Seviye 3: Şifre çözücü, kullanılmayan talimatlar içerir - NOP, CLI, STI, vb. "çöp".
Seviye 4: Şifre çözücü, değiştirilebilir talimatlar ve yeniden sıralama (karma) talimatları kullanır. Şifre çözme algoritması değişmez.
Seviye 5: Yukarıdaki hilelerin tümü kullanılır, şifre çözme algoritması kararsızdır, virüs kodunu yeniden şifrelemek ve hatta şifre çözücü kodunun kendisini kısmen şifrelemek mümkündür.
Seviye 6: permütasyon yapan virüsler. Virüsün ana kodu değişebilir - enfeksiyon sırasında keyfi bir sırayla yeniden düzenlenen bloklara bölünmüştür. Virüs aktif kalır. Bu tür virüsler şifrelenmemiş olabilir.
Yukarıdaki bölüm, tek bir kritere göre yapıldığı için eksikliklerden muaf değildir - standart virüs maskesi tekniğini kullanarak şifre çözücü koduyla bir virüsü tespit etme yeteneği:
Seviye 1: Bir virüsü tespit etmek için birkaç maskeye sahip olmak yeterlidir
Seviye 2: "joker karakterler" kullanılarak maske tespiti
Seviye 3: çöp talimatlarının kaldırılmasından sonra maske tespiti
Seviye 4: Maske birkaç olası kod seçeneği içerir, örn. algoritmik hale gelir
Seviye 5: Virüsü maske ile tespit edememe
Bu tür bir bölünmenin yetersizliği, "Düzey 3" olarak adlandırılan 3. düzey polimorfizmdeki virüste gösterildi. En karmaşık polimorfik virüslerden biri olan bu virüs, öncesinde çok sayıda "çöp" komutu bulunan sabit bir şifre çözme algoritmasına sahip olduğu için yukarıdaki bölüme göre Seviye 3'e düşer. Bununla birlikte, bu virüste, "çöp" oluşturma algoritması mükemmel hale getirildi: neredeyse tüm i8086 işlemci talimatları şifre çözücü kodunda bulunabilir.
Otomatik virüs kodu şifre çözme sistemlerini (emülatörler) kullanan antivirüsler açısından düzeylere ayırırsak, düzeylere ayırma virüs kodunu öykünmenin karmaşıklığına bağlı olacaktır. Bir virüsü başka yöntemlerle de tespit etmek mümkündür; örneğin, temel matematik yasalarını kullanarak şifre çözme vb.
Bu nedenle, bana virüs maskeleri kriterine ek olarak diğer parametrelerin de katıldığı daha nesnel bir ayrım gibi görünüyor:
Polimorfik kodun karmaşıklık derecesi (şifre çözücü kodunda bulunabilen tüm işlemci talimatlarının yüzdesi)
Öykünme önleyici hileler kullanma
Şifre çözücü algoritmasının kalıcılığı
Kod çözücü uzunluğu değişmezliği
Yürütülebilir kodu değiştirme
Çoğu zaman, böyle bir polimorfizm yöntemi, kendilerinin yeni kopyalarını oluştururken, değişkenlerinin adlarını rastgele değiştiren, boş satırlar ekleyen veya kodlarını başka bir şekilde değiştiren makro virüsleri tarafından kullanılır. Böylece virüsün algoritması değişmeden kalır, ancak virüsün kodu enfeksiyondan enfeksiyona neredeyse tamamen değişir.
Daha az yaygın olarak, bu yöntem karmaşık önyükleme virüsleri tarafından kullanılır. Bu tür virüsler, önyükleme sektörlerine yalnızca virüsün ana kodunu diskten okuyan ve kontrolü ona aktaran oldukça kısa bir prosedür enjekte eder. Bu prosedür için kod, birkaç farklı seçenek arasından seçilir ("boş" komutlarla da seyreltilebilir), komutlar kendi aralarında yeniden düzenlenir ve bu böyle devam eder.
Bu teknik, dosya virüsleri için daha da nadirdir çünkü kodlarını tamamen değiştirmeleri gerekir ve bu oldukça karmaşık algoritmalar gerektirir. Bugüne kadar, bu tür yalnızca iki virüs bilinmektedir, bunlardan biri ("Ply") komutlarını gövdesinde rastgele hareket ettirir ve bunları JMP veya CALL komutlarıyla değiştirir. Başka bir virüs ("TMC") daha karmaşık bir yöntem kullanır - virüs her bulaştığında, kod ve veri bloklarını değiştirir, "çöp" ekler, montajcı talimatlarındaki veriler için yeni ofset değerleri ayarlar, sabitleri değiştirir, vb. . Sonuç olarak, virüs kodunu şifrelemese de polimorfik bir virüstür - kod kalıcı bir komut dizisi içermez. Üstelik virüs kendisinin yeni kopyalarını oluştururken boyunu değiştiriyor.
Yıkıcı eylemlerin türüne göre virüsler
Yıkıcı eylemlerin türüne göre virüsler üç gruba ayrılabilir:
Bilgi virüsleri (birinci nesil virüsler)
Sözde birinci nesil virüsler, eylemleri bilgileri yok etmeyi, değiştirmeyi veya çalmayı amaçlayan halihazırda var olan virüslerdir.
Donanım virüsleri (ikinci nesil virüsler)
Bu tür virüsler bilgisayarın donanımına zarar verebilir. Örneğin, BIOS'u silin veya bozun, sabit diskin mantıksal yapısını, yalnızca düşük seviyeli biçimlendirmeyle (ve o zaman bile her zaman değil) geri yüklemenin mümkün olacağı şekilde kırın. Bu türün tek temsilcisi, şimdiye kadar var olanların en tehlikelisi olan Win95.CIH "Chernobl" virüsüdür. Bir zamanlar bu virüs milyonlarca bilgisayarı devre dışı bıraktı. Programı BIOS'tan sildi, böylece bilgisayarı devre dışı bıraktı ve aynı şey, sabit sürücüdeki tüm bilgileri yok etti, böylece onu geri yüklemek neredeyse imkansızdı.
Şu anda hiçbir "vahşi" donanım virüsü bulunamadı. Ancak uzmanlar, BIOS'u etkileyebilecek bu türden yeni virüslerin ortaya çıkacağını şimdiden tahmin ediyorlar. Bu tür virüslerden korunmak için her anakartta BIOS'a yazmayı engelleyecek özel jumper'lar yapılması planlanıyor.
Psikotrop virüsler (üçüncü nesil virüsler)
Bu virüsler, bir kişiyi monitör veya bilgisayar hoparlörleri aracılığıyla etkileyerek öldürebilir. Psikotropik virüsler, belirli sesleri, belirli bir frekansı veya ekranda çeşitli renklerin belirli bir titremesini yeniden üreterek, epileptik nöbetlere (buna eğilimli kişilerde) veya kalp durmasına, beyin kanamasına neden olabilir.
Neyse ki, bu tür virüslerin gerçek varlığı bugüne kadar bilinmiyor. Birçok uzman, bu tür virüslerin genel varlığını sorgulamaktadır. Ama bir şey kesin. Psikotropik teknolojiler, bir kişiyi ses veya görüntü yoluyla etkilemek için uzun süredir icat edilmiştir (25. çerçeve ile karıştırılmamalıdır). Buna yatkın bir insanda epileptik nöbet geçirmesi çok kolaydır. Birkaç yıl önce, bazı medyada "666" adlı yeni bir virüsün ortaya çıktığına dair bir vızıltı vardı. Bu virüs, her 24 kareden sonra, ekranda izleyicinin hayatını değiştirebilecek özel bir renk kombinasyonu gösteriyor. Sonuç olarak, bir kişi hipnotik bir transa girer, beyin vücudun çalışması üzerindeki kontrolünü kaybeder, bu da ağrılı bir duruma, kalbin çalışma modunda bir değişikliğe, kan basıncına vb. Ancak günümüzde renk kombinasyonları kanunen yasak değildir. Bu nedenle, etkilerinin sonuçları hepimiz için felaket olsa da, oldukça yasal olarak ekranda görünebilirler.
Böyle bir etkiye bir örnek, "Pokemon" çizgi filmidir, dizilerden birini Japonya'da gösterdikten sonra yüzlerce çocuk korkunç bir baş ağrısı ve beyin kanaması ile hastanelere kaldırıldı. Bazıları öldü. Çizgi filmde, belirli bir renk paletinin parlak nesline sahip çerçeveler vardı, kural olarak bunlar, belirli bir sırayla siyah bir arka plan üzerinde kırmızı flaşlardır. Bu olaydan sonra bu karikatürün Japonya'da gösterimi yasaklandı.
Bir örnek daha verilebilir. Futbol takımımız ile Japon takımı arasındaki maçın yayınlanmasından sonra Moskova'da olanları muhtemelen herkes hatırlıyordur (yanılmıyorsam). Ancak büyük ekranda sadece sopalı bir adamın arabayı nasıl ezdiğini gösteren bir video vardı. Bu aynı zamanda psikotrop bir etkidir, videoyu gören "insanlar" yollarına çıkan her şeyi ve herkesi yok etmeye başlamıştır.
Materyaller ve veriler şu kaynaklardan alınmıştır:
http://www.stopinfection.narod.ru
http://hackers100.narod.ru
http://broxer.narod.ru
http://www.virüslist.com
http://logic-bratsk.ru
http://www.offt.ru
http://www.almanet.info
- Yorum yazmak için lütfen giriş yapın veya kayıt olun
- çoğu makrovirüsün temelidir. Bunlar, tüm makrovirüs ailesinin bir tür atalarıdır ve aynı zamanda alt gruplardan biridir. VBS, JS'den BAT ve PHP ile biten çok sayıda programlama dilinde yazılmıştır. Bu tür kötü amaçlı yazılımların ana işareti, oluşturuldukları yerleşik programlama dillerinden birine bağlı gibi görünmeleridir. özü itibariyle betik virüsleri belirli bir programın yaratıcıları tarafından daha önce sağlanmayan eylemleri - yıkıcı eylemleri - gerçekleştirmesine neden olan bir dizi özel talimattır.
Çeşitli komut dosyalarının, küçük uygulamaların kullanımının kendi başına kötü niyetli bir eylem olmadığını, aksine kullanımlarının kullanıcılar için olduğunu belirtmekte fayda var, çünkü bu mikro programları kullanırken çeşitli sohbetler, diyaloglar ve diğer özellikler özel olarak ortaya çıkıyor. Ancak bu komut dosyalarına ve uygulamalara kötü amaçlı yazılım yerleştirilmesi durumunda, saldırganlar kullanıcının bilgisayarında depolanan gizli bilgilere bile erişebilir, elbette daha ciddi sonuçlar mümkündür - depolayabilecekleri sabit sürücüyü biçimlendirmeye kadar yanlış ellere geçmemesi gereken veriler. Doğal olarak, sistemi tam anlamıyla yok edebilen bu tür virüsler, kullanıcının kişisel bilgisayarından bilgi okuyabilen virüslerden biraz daha az yaygın olacaktır. Antivirüs yazılımının yapamayacağını belirtmekte fayda var. kötü amaçlı yazılım algılama. Belki de tüm durumdaki tek artı, tarayıcı korumasının olması gerektiği gibi çalışabilmesi ve betik virüsleri tespit edilebilir, çünkü tarayıcıların yaratıcıları bu tür kötü amaçlı yazılımlar hakkında çok şey bilir.