Ce este un virus informatic? Tipuri de viruși informatici. Protecție împotriva virușilor informatici. Semne ale unei infecții cu virusul computerului

Fiecare dintre noi s-a confruntat cu un virus de computer cel puțin o dată în viață. Și este bine dacă dăunătorul s-a dovedit a fi slab. Un program antivirus poate face față cu ușurință unui virus simplu. Dar software-ul mai serios, pe care hackerii le folosesc de obicei, poate provoca daune ireparabile întregului sistem și datelor personale.

Concept

Mulți oameni știu ce este un virus informatic. Dar nu toată lumea își înțelege pe deplin rolul și capacitățile. Acest tip de software rău intenționat se poate copia cu ușurință, pătrunde în codul altor aplicații, poate perturba structurile memoriei sistemului și sectoarele de boot și se poate răspândi prin diverse canale de comunicare.

Mulți utilizatori fără experiență cred că scopul unui virus este deteriorarea sau ștergerea datelor personale. În realitate nu este cazul. Desigur, există diferite tipuri de viruși informatici, dar cel mai adesea scopul lor principal este să răspândească programe malware. Dar acțiunile însoțitoare sunt tocmai ștergerea informațiilor, deteriorarea elementelor de date, blocarea funcționării și multe altele.

Este important să înțelegeți că un virus informatic nu este întotdeauna controlabil. Prin urmare, chiar dacă hackerul nu a intenționat să creeze elemente rău intenționate, software-ul poate dăuna sistemului din cauza greșelilor care au fost făcute în timpul dezvoltării, iar sistemul de operare și alte aplicații pur și simplu ar putea să nu înregistreze astfel de erori.

Utilizatorii neexperimentați numesc adesea orice software rău intenționat un virus. Acest lucru nu este în întregime corect, deoarece virușii sunt în mod specific doar un tip de software similar.

Naștere

Nimeni nu știa când specialiștii au dezvoltat un virus cu auto-replicare. Dar evoluții ca acestea au devenit baza formării sale.

Înainte de a crea mecanisme de auto-reproducere, a fost necesar să se stabilească algoritmii teoriei. John von Neumann a făcut asta. Deja în 1951, a descoperit modalități de a crea un astfel de program.

Ideea sa a fost susținută de mulți specialiști și au început publicarea activă, care a fost dedicată dezvoltării unui sistem de auto-reproducere.

Unul dintre articole a prezentat primul design mecanic de acest tip. Așa că oamenii au putut să învețe despre un model bidimensional de structuri care ar putea activa, captura și elibera în mod independent.

Un astfel de program de auto-replicare era imperfect din cauza faptului că „ființa” virtuală a murit din cauza lipsei de alimentare cu curent a platformei.

Joc fără reguli

O altă încercare de a dezvolta primii viruși informatici a fost inventarea unui puzzle neobișnuit numit Darwin. La începutul anilor '60, oamenii de știință de la o companie americană au creat o serie de utilități pe care le-au numit „organisme”. Software-ul a trebuit să fie descărcat în arhivele computerului. „Organismele” care erau formate de un jucător trebuiau să absoarbă „organismele” inamice și să le preia teritoriul. A câștigat cel care a luat toată amintirea sau a acumulat cele mai multe puncte.

Încercări

Mulți oameni cred că omenirea a învățat ce este un virus informatic deja în anii 70 ai secolului XX. Dar totuși, programele sau jocurile cu auto-replicare precum Darwin nu pot fi numite viruși. Adevărații „dăunători” au devenit cunoscuți mult mai târziu și au fost mult mai influenți și periculoși.

Cele mai multe au fost create la începutul anilor 80. După aceasta, a început dezvoltarea activă a malware-ului. Drept urmare, împreună cu Elk Cloner, a apărut virusul Joe Dellinger, proiectul „Dirty Dozen”, apoi o serie de utilitare antivirus.

A fost primul care a arătat lumii un virus de boot. Elk Cloner a fost dezvoltat special pentru Apple II. A fost posibil să găsiți „dăunătorul” imediat când sistemul a pornit: a apărut un mesaj cu o poezie scurtă în care virusul amenința utilizatorul cu pierderea fișierelor personale, întreruperea funcționării sistemului și imposibilitatea ștergerii.

Și John Dellinger își începe activitatea. De asemenea, a dezvoltat un virus pentru Apple II. Specialistul a fost atât de nerăbdător să fie primul încât a ratat unul dintre malware. A început să se „răspândească” în întreaga universitate. Unul dintre sectoarele de analiză a memoriei a detectat-o ​​cu ușurință. Deși un utilizator obișnuit nu ar putea găsi această secțiune în sistem.

Virusul lui John Dellinger a suprimat grafica unui puzzle celebru. Drept urmare, după o jumătate de lună, toate versiunile „pirate” au fost „spărute”. Pentru a remedia eroarea, dezvoltatorul a creat un alt virus care a corectat versiunea anterioară.

Dezvoltare

Până în 1984, mulți experți au început să înțeleagă ce este un virus informatic. A fost lansat primul articol de cercetare care a ridicat întrebări și preocupări cu privire la contaminarea sistemică. În ciuda faptului că termenul în sine a fost propus de curatorul autorului articolului, cercetătorul Cohen este cel care este numit autorul acestui termen.

Reacție defensivă

Când mulți oameni au început să înțeleagă ce este un virus de computer, a devenit clar că era nevoie de a crea protecție a sistemului împotriva acestuia. Primul program antivirus a fost dezvoltat de Andy Hopkins. Un utilitar similar analizează textul fișierului de boot din 1984, evidențiind toate elementele dubioase ale codurilor și notificărilor.

La un moment dat s-a dovedit a fi cel mai simplu și mai eficient. Programul ar putea redirecționa procesele de scriere și formatare care au avut loc prin BIOS. În același timp, ea a permis utilizatorului să se amestece în operațiuni.

Dezastre de sistem

Până la sfârșitul anilor optzeci, a fost lansat un computer IBM ieftin. Apariția sa a devenit impulsul dezvoltării unor viruși mai mari. Prin urmare, într-o perioadă scurtă au avut loc trei dezastre sistemice majore.

„Brainstorm” și „oaspeți” din Ierusalim

Desigur, epidemiile de viruși informatici nu s-au mai întâmplat până acum. Prin urmare, lupta împotriva lor s-a dovedit a fi dificilă. Primul atac a avut loc datorită virusului Brain, care a fost dezvoltat de doi frați în 1986. Și chiar anul următor a fost lansat pe toate computerele.

Acum este greu de spus cât de mare a fost epidemia. Se știe doar că virusul a afectat peste 18 mii de sisteme. După cum sa dovedit mai târziu, frații nu au vrut să facă rău nimănui. Virusul trebuia să-i pedepsească pe „pirații” care furau software-ul. Dar ceva a mers prost, iar Brain a afectat nu numai Pakistanul însuși, ci și utilizatorii din întreaga lume. Mulți experți au făcut cunoștință cu primul virus stealth, care a schimbat sectorul infectat în originalul complet.

Un dăunător cunoscut sub numele de Ierusalim este, de asemenea, asociat cu virusul creierului. La sfârșitul anilor 80, mai multe companii și universități au avut de suferit din cauza asta. Virusul a șters instantaneu datele când a fost activat. Mai târziu a devenit cunoscut că acesta este unul dintre cei mai mari dăunători care au afectat utilizatorii din Europa, America și Orientul Mijlociu.

Lucrați la greșeli

Infecția cu viruși informatici nu s-a oprit aici. Curând, lumea a aflat despre viermele Morris. A fost primul dăunător de rețea care a vizat Unix-ul. Era planificat ca utilitatea să intre în sistemul informatic și să fie stocată acolo, fără posibilitatea de detectare. Autorul virusului a vrut să-l facă ascuns și inofensiv, dar lucrurile nu au mers conform planului. Motivul auto-replicarii virusului au fost erorile făcute în timpul dezvoltării.

Epidemia a afectat foarte mult funcționalitatea sistemelor. Ulterior s-a dovedit că prejudiciul s-a ridicat la 96 de milioane de dolari. Deși, dacă autorul ar dori să dăuneze în mod intenționat sistemului de operare, suma ar fi mult mai mare.

O astfel de evoluție nereușită l-a adus pe Morris în fața instanței, unde a fost condamnat la trei ani de încercare, trimis în muncă în folosul comunității și obligat să plătească o sumă „rotunde”.

Seria virală

Până când experții au început să înțeleagă tipurile de viruși informatici, epidemiile sistemice au apărut din ce în ce mai des. Așa a devenit cunoscută DATACRIME în 1989. Nu a fost doar un virus, ci o serie întreagă. În doar câteva luni, a reușit să infecteze peste 100 de mii de sisteme.

Această problemă nu a putut fi ignorată de programatori, iar în curând au fost lansate utilități care scanează liniile caracteristice acestui virus.

Când această serie de programe viruși a fost terminată, a apărut imediat primul „cal troian” numit SIDA. Așa au aflat utilizatorii despre ransomware care bloca accesul la datele de pe hard disk și arăta singura informație pe monitor. SIDA a cerut 189 USD la o anumită adresă. Desigur, mulți utilizatori au plătit ransomware-ul. Dar el a fost arestat la scurt timp după ce a fost prins încasând cecuri.

Clasificare

S-a dovedit că a ști ce este un virus informatic nu este suficient. A fost necesar să se facă oarecum distincție între „dăunători” pentru a dezvolta ulterior utilități de protecție. În plus, dezvoltarea PC-urilor a influențat și clasificarea virușilor informatici.

Programele rău intenționate pot fi acum clasificate în funcție de metodele și funcționalitatea lor de propagare. Înainte de dezvoltarea pe scară largă a Internetului, virușii puteau fi stocați pe dischete și alte medii. Acum sunt transmise în principal prin rețele locale și globale. Odată cu aceasta, și funcționalitatea lor a crescut.

Din păcate, nu a fost încă posibilă elaborarea unei clasificări clare. Cu toate acestea, virușii pot fi împărțiți în cei care:

• au diferite metode de distrugere;
• răspândit prin diferite mecanisme;
• dăunează sistemelor de operare;
• utilizați tehnologii speciale;
• scrise în diferite limbi;
• au funcționalități rău intenționate suplimentare.

Metode de distrugere

Acestea includ următoarele tipuri de viruși de computer: fișier, boot, script, care încalcă codul sursă, viruși macro.

De exemplu, un dăunător de fișiere afectează sistemul de fișiere al computerului pentru a se „reproduce”. Este încorporat în aproape orice document executabil de sistem de operare. De obicei, ca „victimă” sa, poate selecta fișiere binare cu extensia „.exe” sau „.com”; poate afecta o bibliotecă dinamică, „lemn de foc” sau fișiere batch.

Un virus macro se „instalează” de obicei în pachete de aplicații precum Microsoft Office. Cu ajutorul limbilor macro, astfel de „dăunători” se pot muta de la un fișier la altul.

Mecanisme de infectare

OS

Există viruși care pot infecta orice sistem de operare. Dar nu toată lumea se concentrează pe „colaborarea” cu fiecare platformă. Prin urmare, hackerii dezvoltă viruși pentru sistemele de operare individuale. Aceasta include DOS, Windows, Linux, Unix și multe altele.

Tehnologii

Particularitatea virușilor informatici este că pot folosi tehnologii speciale. De exemplu, folosesc o tehnică care le reduce nivelul de detectare. Drept urmare, cele mai simple aplicații antivirus nu pot detecta dăunătorul.

Virușii stealth sunt traduși ca „invizibili”. Un astfel de software își ascunde complet sau parțial prezența. Pentru a face acest lucru, virusul interceptează apelurile către sistemul de operare.

Acest grup include rootkit-uri. Ele pot fi reprezentate prin fișiere executabile, scripturi, documente de configurare. Sarcina lor este să ofere camuflarea obiectelor, să gestioneze evenimentele care au loc în sistem și să colecteze date.

Viruși de computer și programe antivirus

A trecut mult timp de la apariția virușilor și a software-ului antivirus. De-a lungul anilor, au apărut dăunători speciali care sunt amintiți în întreaga lume datorită influenței lor catastrofale.

De exemplu, CIH este un virus care a fost dedicat tragediei de la centrala nucleară de la Cernobîl. În momentul activării, „dăunătorul” a paralizat funcționarea tuturor sistemelor. Nimida s-a dovedit a fi cel mai rapid virus, fiind nevoie de un sfert de oră pentru a infecta un milion de computere.

Slammer a fost supranumit cel mai agresiv deoarece virusul a șters informațiile din 75 de mii de sisteme în doar 10 minute. Conficker este considerat a fi unul dintre cei mai periculoși „dăunători”. Viermele a atacat sistemele care rulează sistemul de operare Windows și a deteriorat 12 milioane de computere în 3 luni.

În anii 2000 a fost înregistrat virusul ILOVEYOU. Mai târziu a intrat în Cartea Recordurilor Guinness, primind titlul de „Cel mai distructiv virus informatic din lume”. Acest vierme a infectat 15 milioane de computere, iar pagubele aduse economiei globale, conform diverselor estimări, s-au ridicat la 10-15 miliarde de dolari.

În zilele noastre se mai întâmplă, dar uneori pot fi tratate cu programe antivirus puternice. Există o organizație internațională independentă care analizează performanța utilităților de securitate. AV-TEST a prezentat o listă cu cele mai bune programe antivirus din 2017:

• Avira Antivirus Pro;
• Bitdefender Internet Security;
• Kaspersky Lab Internet Security;
• Norton Security;
• Trend Micro Internet Security.

Acestea sunt cele mai eficiente utilități în acest moment. Și deși toate sunt plătite, fiecare are o perioadă de probă, precum și un cost anual relativ scăzut.

13.03.2011

Fiecare utilizator știe despre virușii informatici. Mulți i-au întâlnit direct și și-au tratat cu succes computerele pentru viruși. Dar pentru mulți, mesajul că computerul lor este infectat cu viruși provoacă reacția „Totul este pierdut!” Trebuie să cunoști inamicul din vedere. În acest articol vom vorbi despre ce sunt virușii informatici, cum ajung aceștia pe computer, cine îi creează, ce sunt și cum să preveniți cel mai eficient virușii să vă infecteze computerul.

Un virus de computer este un tip de program de calculator, a cărui trăsătură distinctivă este capacitatea de a se reproduce independent. Odată ajuns pe computer, un virus poate crea copii ale lui însuși, se poate răspândi introducându-se în alte programe sau le poate înlocui.

Virușii informatici pot duce la deteriorarea sau ștergerea informațiilor, transferul de date confidențiale sau personale către atacatori prin Internet. Pot exista disfuncționalități în funcționarea programelor sau a sistemului de operare în sine (până la eliberarea completă a sistemului de operare inclusiv).

Modul în care virușii ajung pe computer

Dischete

Așa se răspândesc primii viruși. Cel mai popular canal de infecție în anii 1980-90. În prezent, a dispărut aproape complet din cauza prevalenței din ce în ce mai mare a dischetelor (multe computere moderne nu mai au o unitate de dischetă).

Unități flash (unități flash)

Unitățile flash sunt una dintre principalele surse de infectare a computerelor (în special cele care nu sunt conectate la Internet). Virușii se pot răspândi și prin alte dispozitive de stocare utilizate în camerele digitale, playere și telefoane.

E-mail

De asemenea, una dintre cele mai populare surse de infecție cu virus. Virușii se pot deghiza în atașamente inofensive: imagini, documente, link-uri către alte site-uri. Nu deschideți e-mailuri cu subiecte interesante de la expeditori necunoscuți. Probabilitatea apariției unui virus sau a unui link către un site cu un virus în astfel de litere este foarte mare. Cu toate acestea, o scrisoare cu un virus poate veni și de la un destinatar bine cunoscut de dvs. dacă computerul său a fost infectat. Virusul însuși va găsi agenda și va trimite e-mail tuturor persoanelor de contact existente în ea fără știrea utilizatorului.

Sisteme de mesagerie instantanee (ICQ)

Regula de aur se aplică și aici - nu deschideți linkuri atrăgătoare de la contacte necunoscute.

pagini web

Unele pagini de Internet pot conține conținut rău intenționat „activ”. Este posibil chiar să infectați site-uri respectabile datorită vulnerabilității software-ului proprietarului site-ului. Vizitând un astfel de site, un utilizator riscă să-și expună computerul la un virus.

Rețele locale, Internet

Pe Internet și în rețelele locale, există o probabilitate mare de infectare cu programe rău intenționate din categoria viermi de rețea. Un vierme de computer este un subtip de virus care pătrunde în computerul victimei fără intervenția utilizatorului. Ei scanează rețeaua pentru a identifica computerele cu o anumită vulnerabilitate, iar dacă le găsesc, le atacă.

Cine creează viruși și de ce?

Creatorii de programe malware pot fi împărțiți în mai multe categorii: hackeri, atacatori profesioniști și cercetători.

Prima categorie include școlari și elevi prea curioși care, cunoscând elementele de bază ale programării, creează programe rău intenționate de dragul autoafirmării sau în glumă. De obicei, aceste programe nu folosesc metode de distribuție deosebit de inteligente și nu reprezintă o mare amenințare. Virușii creați de această categorie de autori de malware reprezintă o mică parte din masa totală.

Majoritatea virușilor sunt creați de atacatori profesioniști, care sunt de obicei programatori foarte calificați. Acești viruși sunt creați pentru profit. Acest tip de malware folosește metode originale și inteligente pentru a răspândi și a pătrunde în computerul țintă. Cu ajutorul lor, atacatorii fură informații personale sau confidențiale, pe care ulterior le pot folosi fie pentru îmbogățire, fie pentru a trimite spam. Recent, a existat un val de viruși ransomware. Acestea blochează funcționarea sistemului de operare și, pentru a primi un cod de deblocare, necesită transferul de fonduri către creatorul virusului.

Ultima categorie de creatori de virusi este cercetatorii. Aceștia sunt în mare parte programatori talentați. Inventarea de noi tehnici virale este distractiv pentru ei. Principiile de funcționare ale virușilor pe care îi creează sunt de obicei publicate pe resurse specializate pentru a fi discutate între colegii programatori. Cercetătorii își propun foarte rar să obțină profit. Cu toate acestea, atunci când munca lor cade în mâinile profesioniștilor rău intenționați, această „cercetare” poate provoca un rău mare.

Clasificarea programelor malware

În acest moment, nu există o clasificare unică general acceptată a programelor malware. Fiecare companie care dezvoltă software antivirus își folosește propria clasificare și nume pentru a determina tipul de malware. Mai mult decât atât, având în vedere tendințele actuale în dezvoltarea programelor viruși, poate fi dificil să atribuiți orice amenințare unui anumit tip. Un malware poate folosi mai multe mecanisme de distribuție care sunt specifice diferitelor categorii. De asemenea, poate efectua acțiuni distructive de diferite tipuri.

Ne vom aventura să oferim cea mai generală clasificare în funcție de metoda de distribuție, penetrare și funcționalitate încorporată.

Viruși

O trăsătură caracteristică a virușilor este capacitatea de a se reproduce independent pe un computer fără știrea utilizatorului. Un virus poate fi fie încorporat în codul altor programe, „infectându-le”, fie înlocuirea completă. Virușii efectuează acțiuni distructive: șterg sau distorsionează datele, paralizează sistemul, limitează accesul la fișiere, funcțiile sistemului etc. Pentru a se asigura că virusul nu este detectat de un program antivirus, creatorii de viruși folosesc algoritmi specializați pentru criptarea codului, polimorfism, stealth. tehnologie etc. .P. De regulă, infecția cu viruși are loc prin dispozitive portabile de stocare - unități flash, carduri de memorie, hard disk-uri externe, unități optice etc.

Viermi de rețea

Principala caracteristică a viermilor de rețea este capacitatea lor de a se răspândi independent într-o rețea locală sau pe Internet. Ei exploatează vulnerabilitățile din sistemul de operare și din alte programe și pătrund în computer. Principalele canale de răspândire a viermilor de rețea sunt: ​​e-mailul, rețelele de mesagerie instantanee, resursele de rețea partajate etc. Un vierme de rețea poate scana un computer pentru a identifica adrese pentru a trimite copii ale lui către alte computere. În numele utilizatorului, acesta poate trimite mesaje cu conținut atrăgător cu o solicitare de a accesa linkul specificat etc.

troieni

Malware, odată ce ajunge pe un computer, nu trebuie neapărat să efectueze acțiuni distructive sau perturbatoare. Un program rău intenționat se poate ascunde pe computer și poate colecta și trimite informații confidențiale atacatorilor. Aceste tipuri de programe rău intenționate se numesc troieni sau pur și simplu troieni. Unii dintre ei nu numai că se uită la informațiile stocate pe hard disk, ci monitorizează și ce taste tastează utilizatorul pe tastatură. Un astfel de malware se numește keylogger sau keylogger. Un alt tip este ușile din spate (din engleză backdoor - intrarea din spate). Acestea oferă atacatorului acces de la distanță la computer.

Adware este un software rău intenționat care afișează cu forță reclame utilizatorului. Instalat pe un computer fără acordul utilizatorului. Ele se pot manifesta sub forma unei tranziții către site-uri pe care utilizatorul nu a intenționat să le viziteze. De asemenea, este posibil să apară sub formă de ferestre publicitare pop-up, bannere etc.

Aplicațiile spyware pot fi utilizate și împreună cu programe de publicitate, colectând dosare pe utilizator și pe computerul său. Aceste date pot fi apoi utilizate în campanii de publicitate direcționate fără consimțământul individului.

Cum să vă protejați computerul de viruși

Instalarea Windows cu licență cu actualizări automate regulate va ajuta computerul să aibă cel mai sigur sistem de operare.
Instalarea software-ului antivirus licențiat de la un producător de încredere și de renume va oferi computerului dumneavoastră protecție fiabilă împotriva virușilor. Și actualizarea regulată a bazelor de date antivirus va ajuta antivirusul să reziste la cele mai recente evoluții ale atacatorilor.
Respectarea regulilor de bază de siguranță atunci când lucrați pe Internet vă va proteja de posibilitatea de infecție (nu deschideți scrisori de la destinatari necunoscuți cu atașamente ciudate, nu faceți clic pe linkuri intrigante trimise de persoane necunoscute etc.). Indiferent cât de bun și de fiabil este antivirusul tău, există întotdeauna șansa ca acesta să rateze un virus. Doar că unele antivirusuri au mai multe, în timp ce altele au mai puțin.
Faceți o regulă să verificați imediat o unitate flash sau alt mediu de stocare adus de cineva. Și abia apoi deschideți-l și lucrați cu conținutul său.
Dacă computerul dvs. se află într-o rețea locală, atunci este de preferat să nu partajați foldere cu drepturi depline asupra acestora decât dacă este absolut necesar. Virușii pot intra foarte ușor acolo.
Efectuați o scanare completă a computerului dvs. cu un antivirus cu baze de date actualizate cel puțin o dată pe lună.
Aceste măsuri de bază vor fi suficiente pentru a vă asigura că întâlnirea dumneavoastră cu virușii informatici este cât mai scurtă și nedureroasă posibil pentru computerul dumneavoastră.

Vom vorbi despre ce măsuri ar trebui luate și cum să organizați tratamentul computerului dumneavoastră dacă este deja infectat cu viruși în articolul următor.

Bună ziua, dragi cititori ai blogului meu, vreau să vă prezint virușii informatici, astfel încât să aveți o idee despre ce sunt aceștia și cum să le faceți față. Asadar, haideti sa începem.

Virușii informatici reprezintă o amenințare serioasă pentru utilizatorii de computere din întreaga lume. Mai mult, pericolul virușilor informatici poate amenința nu numai siguranța informațiilor sau performanța sistemului sau a hardware-ului computerului. Recent, malware-ul computerizat a fost din ce în ce mai folosit pentru a frauda utilizatorii de fonduri prin obținerea de parole și coduri de acces la carduri bancare și conturi. Drept urmare, virușii provoacă și pagube materiale, așa că nu numai că sunt posibili, ci trebuie să fie combateți în toate modurile posibile.

Ce este un virus informatic?

Un virus de computer este cel mai adesea un mic program sau o bucată de cod software care este plasat în corpul unui fișier sau document executabil. Când fișierul infectat este lansat, virusul își începe activitatea rău intenționată.

Pentru a fi mai eficienți, virușii își creează automat o copie după prima lansare, plasează fișierul infectat la pornire și încearcă să răspândească corpul virusului prin rețeaua locală, infectând astfel un număr tot mai mare de fișiere și computere din rețea. . Virușii pot pătrunde pe computerul unui utilizator în diferite moduri.

Cel mai adesea, infecția apare după lansarea unui fișier deja infectat, care vă poate fi trimis prin e-mail, copiat de pe o unitate flash sau disc sau la descărcarea programelor de pe site-uri dubioase. Virușii pătrund adesea în computerul unui utilizator printr-o rețea locală. Mai mult, nu este necesar să deschideți sau să lansați nimic. Virușii înșiși sunt capabili să găsească găuri în sistemul de operare și în cele din urmă să infecteze fișierele de sistem, făcând computerul vulnerabil la pătrunderea altor viruși.

Clasificarea virușilor informatici

După cum se dovedește, virușii informatici au principii și scopuri de funcționare diferite, așa că sunt adesea clasificați în funcție de unul sau altul. Programele rău intenționate sunt cel mai adesea împărțite în patru grupuri:

1. Viermi de rețea;

2. viruși clasici;

3. programe troiene;

4. Alte programe malware.

În plus, fiecare grupă are propria sa clasificare suplimentară. Știind din ce grup aparțin anumiți viruși, puteți dezvolta măsuri de combatere a virușilor și de a vă proteja computerul de pătrunderea acestora.

Viermi de rețea

Viermii de rețea, după cum sugerează și numele, sunt software rău intenționat care se răspândește prin rețelele locale și pe Internet. Viermii de rețea folosesc, de asemenea, rețelele de e-mail, P2P, ICQ, IRC, LAN, rețelele fără fir și rețelele pentru schimbul de date între dispozitivele mobile.

În acest caz, infecția poate apărea fie după lansarea unui fișier (atașament la o scrisoare, link către un virus etc.), fie prin primirea unui pachet de date de rețea infectat. În acest din urmă caz, viermii încep să se infecteze imediat după ce intră în computerul utilizatorului și sunt plasați direct în memoria RAM a computerului.

Viermi de e-mail – Acești viermi folosesc e-mailul pentru a se răspândi. Viermele trimite scrisori la diverse adrese care conțin fișiere atașate, a căror extensie este adesea ascunsă, iar numele fișierului are un nume atractiv. Acest lucru se face pentru a forța utilizatorul să deschidă fișierul și să lanseze un vierme pe computer.

Scrisoarea poate conține, de asemenea, un link către un virus; făcând clic pe acesta, utilizatorul va deschide virusul. Când viermii de e-mail ajung pe computerul unui utilizator, ei încearcă să se înmulțească cât mai repede posibil, trimițând e-mailuri cu un vierme atașat tuturor destinatarilor din agenda ta.

Viermele IM nu sunt practic diferite de viermii de tip mail. De asemenea, sunt distribuite prin e-mail, dar în corpul scrisorii există un link către virus; atunci când îl deschideți, virusul va folosi computerul pentru a se răspândi în continuare.

Viermii de rețea de partajare a fișierelor folosesc rețele P2P pentru a se răspândi. Utilizatorul încarcă online fișiere care sunt deja infectate cu un virus. Acum utilizatorii care descarcă această distribuție vor deveni automat distribuitori ai virusului.

Acest mecanism simplu nu este singurul din arsenalul de viermi P2P. Există un mecanism de propagare mai complex atunci când un vierme de rețea imită funcționarea unei rețele P2P, în timp ce cererile utilizatorilor sunt interceptate și fișierele originale sunt înlocuite cu viruși infectați.

Există și alți viermi de rețea care intră într-un computer prin exploatarea vulnerabilităților din sistemul de operare sau software-ul utilizatorului. În același timp, viermii complet inofensivi pot pătrunde în computer, ceea ce va oferi doar acces pentru ca virusul însuși să pătrundă, asigurând pătrunderea lui nestingherită de către software și sistemul de operare însuși.

Viruși clasici

Virușii clasici nu se răspândesc independent în rețea, ci ajung pe computerul utilizatorului, de regulă, din vina utilizatorului însuși. Foarte des, acesta este rezultatul descărcării de programe de pe site-uri dubioase, al copierii de programe și fișiere infectate de pe medii amovibile sau din resurse de rețea accesibile public.

Virușii informatici sunt, la rândul lor, împărțiți în viruși de fișiere, viruși de boot, viruși macro, viruși script, viruși polimorfi, viruși imaginari, viruși ascunși sau ascunși, viruși retro, viruși însoțitori și altele.

Cei mai răspândiți sunt virușii de fișiere care se rescriu în corpul fișierelor de pornire a aplicației. După o astfel de suprascriere, fișierul nu mai funcționează de obicei și, de regulă, nu mai este posibilă restaurarea unui astfel de fișier.

Virușii și troienii de pornire sunt, de asemenea, răspândiți și infectează zona de pornire a hard diskului (MBR). În același timp, pe ecran apare adesea un mesaj care spune că computerul tău este blocat din mai multe motive și pentru a-l debloca trebuie să primești un cod SMS (Trojan.Winlock).

Desigur, după trimiterea mesajului, o anumită sumă de bani este retrasă din contul de bani, iar codul de deblocare poate să nu ajungă. Un alt virus de boot care este, de asemenea, un virus ascuns, AntiEXE vizează și dăunează fișierelor executabile specifice (exe). Virusul AntiCMOS este, de asemenea, bootabil și dăunează informațiilor înregistrate în memoria CMOS a plăcii de bază.

Virușii stealth sunt viruși care ascund informațiile reale despre un fișier infectat din sistem. Adică, în timpul procesului de accesare a fișierului de către sistem, virusul transmite sistemului informații despre fișierul neinfectat. Ca urmare, programele antivirus practic nu pot detecta modificările în fișier.

Totuși, acest lucru este adevărat dacă programul antivirus a fost lansat după ce virusul a fost încărcat în memoria computerului. Prin urmare, pentru a detecta un virus, este suficient să scanați atunci când porniți de pe un disc de boot. Reprezentanții tipici ai virușilor stealth sunt Stoned.Monkey, Number, Beast și alții. Virușii ascunși pot fi scriși în corpul unui fișier, totuși, atunci când citesc un astfel de fișier, ei spun sistemului dimensiunea fișierului neinfectat, așa că se spune că astfel de viruși au o dimensiune invizibilă sau o dimensiune zero.

Virușii retro sunt proiectați pentru a combate software-ul antivirus. Astfel de viruși sunt special dezvoltați pentru anumite aplicații antivirus cu scopul de a distruge informații despre anumiți viruși din baza de date de semnături viruși.

Odată infectat cu un astfel de virus (numit și anti-antivirus), programele antivirus nu mai pot proteja computerul de pătrunderea altor viruși, iar securitatea computerului va fi în pericol. Cel mai periculos lucru este că utilizatorul va avea încredere că programul antivirus funcționează corect. Prin urmare, astfel de viruși reprezintă cel mai mare pericol.

Virușii însoțitori creează un fișier duplicat al fișierului original în care este plasat virusul. În acest caz, fișierul executabil original nu este modificat. Când porniți programul, un fișier însoțitor este lansat automat și virusul începe să infecteze computerul, creând fișiere duplicate cu extensia .com.

Virușii polimorfi își criptează codul, ceea ce le permite să evite detectarea de către un antivirus prin verificarea semnăturii virusului. Dificultatea de a detecta astfel de viruși constă în faptul că algoritmul de criptare al aceluiași virus se poate modifica în timpul procesului de infectare a fișierelor și, în consecință, semnătura virusului se modifică.

Unul dintre cei mai cunoscuți reprezentanți ai virusurilor polimorfe este One_Half. Acest virus criptează datele de pe hard disk și, atâta timp cât acest virus este în memoria computerului, toate informațiile sunt disponibile pentru utilizator. După criptarea jumătății de hard disk, apare mesajul Disk is one half. Apăsați orice tastă pentru a continua... După aceasta, informațiile pot fi decriptate, dar acest lucru va dura considerabil.

Virușii macro sunt viruși care infectează fișierele de document și folosesc scripturi sau macrocomenzi speciale pentru a face acest lucru. Virușii macro sunt considerați unul dintre pericolele grave, deoarece acești viruși infectează nu fișierele executabile în sine, ci fișierele cu date. În același timp, un virus poate fi lansat și documentele pot fi infectate pe orice sistem de operare, ceea ce extinde semnificativ domeniul de aplicare a infecției cu virus.

Adesea, acțiunea unui virus macro are ca scop distrugerea unui document, făcând imposibilă restaurarea acestuia. Documentele care sunt cel mai des infectate cu viruși macro sunt documentele Microsoft Office. Acest lucru este posibil deoarece Microsoft Office folosește un limbaj de programare pentru a scrie macrocomenzi.

Prin urmare, dezvoltatorii de viruși au posibilitatea de a folosi capacitățile de programare ale suitelor de birou pentru a scrie viruși. În acest caz, virușii macro pot înlocui butoanele „Salvare ca” astfel încât, la salvarea unui document, este lansat un virus macro și documentul este deteriorat, iar șablonul folosit pentru a crea un document nou este infectat.

Ca urmare, în timp, toate documentele create vor fi infectate cu un virus macro. Unul dintre cei mai obișnuiți viruși macro este WordMacro/Nuclear, care încearcă să infecteze un șablon de document. În același timp, face asta în secret și nu își trădează prezența în niciun fel. Virusul FormatC, în anumite condiții, poate forma cu ușurință partiția de sistem, iar macrovirusul Nuclear, la tipărirea unui document, adaugă o notă la sfârșit: Și în sfârșit aș vrea să spun: OPRIȚI TOATE TESTĂRILE NUCLARE FRANCEZE DIN PACIFIC!

În general, există destul de mulți viruși macro, dar fiecare dintre ei deteriorează sistematic documentele, iar acest lucru duce la pierderea de informații importante.

Virușii script sunt microprograme care sunt scrise într-un limbaj de scripting. Astfel de viruși pot fi găsiți în tot felul de fișiere care folosesc scripturi, de exemplu, exe, html și altele. Limbile Java, PHP, BAT, VBA și altele sunt de obicei folosite pentru a le scrie.

programe troiene.

Troienii sunt software rău intenționat care vizează tot felul de acțiuni neautorizate, de exemplu, accesarea parolelor, furtul de informații, extorcarea de fonduri ale utilizatorilor etc.

Programele troiene, împreună cu virușii informatici, sunt cele mai răspândite.

Utilitare troiene de administrare la distanță. Acest tip de programe troiene are ca scop administrarea de la distanță a unui computer infectat. Când un astfel de troian ajunge pe computerul tău, nu apare niciun mesaj, dar atacatorul are acces la toate comenzile de pe computer.

Adică, un atacator poate face pur și simplu răutăți (închide și repornește computerul, închide aplicațiile care rulează etc.) sau poate folosi telecomanda pentru a colecta informații, a deschide și a citi informații din fișierele personale și a le șterge. Astfel de programe troiene sunt destul de periculoase.

Furătorii de parole sunt programe troiene al căror scop este obținerea parolei pentru accesarea anumitor resurse. Odată ce un astfel de troian s-a instalat pe computerul dvs., acesta începe să caute în mod activ pe mașină fișiere care conțin parole, numere de înregistrare, conturi bancare și alte informații importante.

Aceste informații sunt trimise prin rețea atacatorilor care le pot folosi în propriile lor scopuri egoiste.

Aparate de clic pe Internet – acești cai troieni sunt proiectați pentru a redirecționa un vizitator către anumite pagini web către un alt site.

Scopul acestor troieni este de a crește traficul pe site-ul web sau în cazul unui atac de hacker asupra unei resurse de internet, precum și de a atrage utilizatorii cu scopul de a-i infecta în continuare cu viruși informatici.

Troienii server proxy oferă acces ascuns la anumite resurse de rețea în scopul trimiterii de spam.

Troieni spyware - citește toate acțiunile utilizatorului, monitorizează introducerea textului de la tastatură, face capturi de ecran, monitorizează mișcările și clicurile mouse-ului etc. Astfel, atacatorii pot avea acces la resurse protejate, conturi bancare, în timp ce citesc numele de utilizator și parola introduse de utilizator.

Rootkit-urile au fost inițial instrumente pentru obținerea drepturilor de administrator pe computerul unui utilizator. Cu toate acestea, acum rootkit-urile sunt programe rău intenționate care încearcă să ascundă anumite procese, fișiere, chei de registry etc. din sistem. De regulă, rootkit-urile au cel mai puțin impact dăunător asupra computerului utilizatorului.

Bombele de arhivă sunt rare, dar efectul acestui tip de malware poate fi pur și simplu uimitor (de unde și numele bombă). Când încercați să deschideți o astfel de arhivă, arhivatorul începe să funcționeze neobișnuit.

În acest caz, sistemul se poate îngheța pur și simplu sau computerul va fi foarte lent. Bombele apar adesea atunci când, la pornirea unei arhive, spațiul liber al hard diskului începe să fie umplut cu zerouri logice, ceea ce duce rapid la oprirea sistemului. De obicei, există trei tipuri de bombe de arhivă: antet incorect al fișierului de arhivă, repetarea datelor din arhivă și fișiere identice.

Un antet incorect în arhivă duce la un comportament nestandard al arhivatorului, care nu poate executa corect algoritmul de decompresie. Ca urmare, acest lucru afectează sistemul, care începe să încetinească brusc.

Când împachetați fișiere și date duplicate și identice într-o arhivă, o cantitate destul de decentă de fișiere poate fi împachetată într-o arhivă foarte mică. Se știe că o arhivă RAR de 200 Kb poate conține până la 5 GB de date duplicat. Iar numărul mare de fișiere identice (10.100 de bucăți) le permite să fie împachetate într-o arhivă RAR foarte mică (doar 30Kb).

Așadar, se dovedește că atunci când sunt dezarhivate, toate aceste informații umple spațiul uriaș al hard disk-ului, ducând la umplerea sa aproape completă. Adevărat, cu capacitatea colosală a hard disk-urilor moderne, bombele de arhivă sunt extrem de rare.

Alte programe malware.

Acest grup de programe rău intenționate include diverse programe care practic nu reprezintă o amenințare pentru computer, dar sunt necesare pentru crearea altor viruși și troieni. Acest malware este, de asemenea, folosit pentru a organiza atacuri DoS pe servere, hack computere și multe altele.

Atacurile DoS și DDoS în rețea sunt concepute pentru a dezactiva echipamentele serverului prin creșterea încărcăturii la critice. Ca urmare, serverul se îngheață și toate resursele de rețea pe care le-a furnizat devin indisponibile.

Programele de acest tip atacă serverele în mod coordonat, sub controlul unui atacator sau printr-un atac distribuit. În acest caz, programul se răspândește pe mai multe computere din rețea, de pe care serverul este ulterior atacat. Dar, în același timp, utilizatorii acestor computere nici măcar nu bănuiesc că participă la un atac DoS asupra serverului.

Exploit-urile (Exploit, HackTool) sunt programe care sunt concepute pentru a pirata accesul la computere la distanță. După ce programul este spart, atacatorul obține acces la computer și poate controla ulterior computerul.

Programe de inundații – aceste programe sunt concepute pentru a bloca canalele de comunicare în rețea prin înfundarea acesteia cu date inutile.

Programe precum Bad-Joke, Hoax nu sunt nici măcar malware, iar singurul scop al unui astfel de software poate fi acela de a informa utilizatorul cu mesaje false. Astfel de programe lucrează asupra psihicului uman, producând mesaje care pot speria utilizatorul, deruta și induce în eroare.

Criptoarele de viruși sunt programe care criptează și ascund prezența programelor periculoase și rău intenționate în sistem. Drept urmare, programele antivirus nu pot detecta software-ul cu adevărat rău intenționat.

Semne ale unei infecții cu virusul computerului.

Puteți determina dacă sistemul dumneavoastră este infectat cu un virus sau nu fără a scana neapărat cu pachete antivirus. Foarte des, virușii vă încetinesc computerul. Prin urmare, dacă observați că din senin computerul dvs. a început să încetinească considerabil, ar trebui să vă verificați sistemul cu un antivirus.
Prezența virușilor care sunt încorporați în fișierele de program face adesea imposibilă lansarea unei aplicații, precum și blocările neașteptate.

Prezența virușilor este indicată și de lansarea spontană a aplicațiilor pe computer, repornirea computerului fără participarea dumneavoastră sau mesaje de avertizare.

Încărcarea sistemului de viruși poate fi indicată de o încărcare mare pe hard disk atunci când computerul este inactiv. Acest lucru poate fi determinat cu ușurință de indicatorul de încărcare de pe panoul frontal al carcasei computerului.
De asemenea, virușii se adaugă adesea la rularea automată; dacă îl deschideți, puteți vedea programe ciudate în el. De asemenea, fișierele duplicate cu o extensie diferită pot apărea pe disc.
De asemenea, comportamentul non-standard al sistemului poate indica viruși sau troieni, de exemplu, la deschiderea unui program, browserul de Internet pornește. La deschiderea browserelor, pagina de pornire cu o resursă necunoscută s-a schimbat.
Dacă primiți online mesaje de la prieteni sau cunoscuți că primesc mesaje suspecte în numele dvs., atunci contul dvs. a fost spart sau aveți un vierme pe computer.

Cum să te protejezi de viruși?

Nu există protecție 100% împotriva virușilor. Nici un singur antivirus din lume nu este capabil să protejeze 100% un sistem împotriva pătrunderii. Mai mult, dacă un hacker intenționează să-ți pirateze computerul, atunci fii sigur că va face cu siguranță acest lucru.

Cu toate acestea, există reguli simple pentru a împiedica orice încercare de malware. În primul rând, pe sistem trebuie să fie instalat un program antivirus. În al doilea rând, nu aveți încredere în mesajele primite cu fișiere atașate. Astfel de mesaje ar trebui scanate de software antivirus.

Același lucru este valabil și pentru fișierele pe care urmează să le copiați pe computer de pe o unitate flash sau o unitate optică. În al treilea rând, evitați site-urile care au o mulțime de bannere publicitare și când faceți clic pe linkuri, se vor deschide file suplimentare în browser.

Efectuați scanări antivirus regulate ale întregului sistem. Utilizați firewall-uri, firewall-uri și firewall-uri pentru a vă proteja rețeaua.

Fii suspicios și abia atunci vei putea să dai o respingere demnă atacului numărului tot mai mare de viruși și spyware.

Ei bine, asta-i tot, dragi cititori, sper că ați găsit articolul interesant și informativ, la revedere tuturor și ne revedem!

Tot pe acest subiect, urmăriți videoclipul:

Definirea unui virus de computer este o problemă istorică problematică, deoarece este destul de dificil să se ofere o definiție clară a unui virus, subliniind în același timp proprietățile care sunt unice pentru viruși și nu se aplică altor sisteme software. Dimpotrivă, dând o definiție strictă a unui virus ca program care are anumite proprietăți, se poate găsi aproape imediat un exemplu de virus care nu are astfel de proprietăți.

O altă problemă asociată cu definirea unui virus informatic constă în faptul că astăzi un virus înseamnă cel mai adesea nu un virus „tradițional”, ci aproape orice program rău intenționat. Acest lucru duce la confuzie în terminologie, complicată și mai mult de faptul că aproape toate antivirusurile moderne sunt capabile să detecteze aceste tipuri de malware, astfel încât asocierea „malware-virus” devine din ce în ce mai stabilă.

Clasificare

În prezent, nu există un sistem unificat de clasificare și denumire a virușilor, totuși, în diverse surse puteți găsi diferite clasificări, iată câteva dintre ele:

Clasificarea virusurilor după metoda de infectare

Rezident

Astfel de viruși, după ce au câștigat controlul, într-un fel sau altul rămân în memorie și caută victime continuu până când mediul în care este executat este oprit. Odată cu trecerea la Windows, problema rămânerii în memorie a încetat să mai fie relevantă: aproape toți virușii executați în mediul Windows, precum și în mediul aplicației Microsoft Office, sunt viruși rezidenți. În consecință, atributul rezident este aplicabil numai virușilor DOS de fișier. Existența unor viruși rezidenți non-Windows este posibilă, dar în practică sunt o excepție rară.

Non rezident

După ce a primit controlul, un astfel de virus efectuează o singură căutare a victimelor, după care transferă controlul obiectului asociat cu acesta (obiectul infectat). Acest tip de virus include viruși script.

Clasificarea virusurilor după gradul de impact

Inofensiv

Viruși care nu afectează în niciun fel funcționarea computerului (cu excepția reducerii memoriei libere de pe disc ca urmare a răspândirii lor);

Nepericuloase

Viruși care nu interferează cu funcționarea computerului, dar reduc cantitatea de RAM liberă și de memorie pe disc; acțiunile unor astfel de viruși se manifestă prin unele efecte grafice sau sonore;

Periculos

Viruși care pot duce la diverse probleme cu computerul dvs.;

Foarte periculos

Viruși, al căror impact poate duce la pierderea de programe, distrugerea datelor și ștergerea informațiilor din zonele de sistem ale discului.

Clasificarea virusurilor prin metoda camuflajului

Când se creează copii pentru camuflaj, pot fi utilizate următoarele tehnologii:

Criptare- virusul este format din două părți funcționale: virusul în sine și codificatorul. Fiecare copie a virusului constă dintr-un criptator, o cheie aleatorie și virusul însuși, criptat cu această cheie.

Metamorfism- crearea diferitelor copii ale virusului prin înlocuirea blocurilor de comenzi cu altele echivalente, schimbul de bucăți de cod, inserarea de comenzi „gunoi” între bucăți semnificative de cod care nu fac practic nimic.

Virus criptat

Acesta este un virus care folosește criptarea cheii aleatoare simplă și un criptator imuabil. Astfel de viruși sunt ușor de detectat prin semnătura de criptare.

Virus ransomware

În cele mai multe cazuri, virusul ransomware ajunge prin e-mail ca atașament de la o persoană necunoscută utilizatorului și, eventual, în numele unei bănci binecunoscute sau al unei organizații mari care operează. Scrisorile vin cu titluri precum: „Raport de reconciliere...”, „Datoria dumneavoastră către bancă...”, „Verificarea datelor de înregistrare”, „Reluare”, „Blocarea contului curent” și așa mai departe. Scrisoarea conține un atașament cu documente care pretind să confirme faptul menționat în antetul sau corpul scrisorii. Când deschideți acest atașament, este lansat instantaneu un virus ransomware, care va cripta instantaneu toate documentele. Utilizatorul va detecta infecția văzând că toate fișierele care anterior aveau pictograme familiare vor fi acum afișate cu pictograme de tip necunoscut. Criminalul va cere bani pentru decriptare. Dar de multe ori, chiar și după plătirea atacatorului, șansele de a recupera datele sunt neglijabile.

Atașamentele de e-mail rău intenționate se găsesc cel mai adesea în arhivele .zip, .rar, .7z. Și dacă funcția de afișare a extensiilor de fișiere este dezactivată în setările sistemului computerului, atunci utilizatorul (destinatarul scrisorii) va vedea numai fișiere precum „Document.doc”, „Act.xls” și altele asemenea. Cu alte cuvinte, fișierele vor părea complet inofensive. Dar dacă activați afișarea extensiilor de fișiere, veți vedea imediat că acestea nu sunt documente, ci programe sau scripturi executabile; numele fișierelor vor lua o formă diferită, de exemplu, „Document.doc.exe” sau „Act. xls.js”. La deschiderea unor astfel de fișiere, nu documentul este deschis, ci este lansat un virus ransomware. Iată doar o listă scurtă a celor mai populare extensii de fișiere „periculoase”: .exe, .com, .js, .wbs, .hta, .bat, .cmd. Prin urmare, dacă utilizatorul nu știe ce i-a fost trimis în atașament sau expeditorul nu este familiar, atunci cel mai probabil scrisoarea conține un virus de criptare.

În practică, există cazuri de primire prin e-mail a unui fișier Word obișnuit (cu extensia .doc), în interiorul căruia, pe lângă text, există o imagine, un hyperlink (spre un site necunoscut de pe Internet) sau un încorporat. obiect OLE. Când faceți clic pe un astfel de obiect, apare o infecție imediată.

Virușii de criptare au devenit din ce în ce mai populari din 2013. În iunie 2013, cunoscuta companie McAfee a lansat date care arată că a colectat 250.000 de exemple unice de viruși ransomware în primul trimestru al anului 2013, ceea ce reprezintă mai mult decât dublu față de numărul de viruși detectați în primul trimestru al anului 2012.

În 2016, acești viruși au atins un nou nivel, schimbând principiul de funcționare. În aprilie 2016, pe internet au apărut informații despre un nou tip de virus ransomware, care, în loc să cripteze fișierele individuale, criptează tabelul MFT al sistemului de fișiere, ceea ce duce la faptul că sistemul de operare nu poate detecta fișierele de pe disc și întregul disc este de fapt criptat.

Virus polimorf

Un virus care utilizează un criptator metamorfic pentru a cripta corpul principal al virusului cu o cheie aleatorie. În acest caz, o parte din informațiile utilizate pentru obținerea de noi copii ale codificatorului poate fi, de asemenea, criptată. De exemplu, un virus poate implementa mai mulți algoritmi de criptare și, atunci când creează o copie nouă, poate schimba nu numai comenzile codificatorului, ci și algoritmul în sine.

Clasificarea virusurilor după habitat

„Habitatul” se referă la zonele de sistem ale computerului, sistemele de operare sau aplicațiile în componentele (fișierele) în care este încorporat codul virusului. În funcție de habitatul lor, virușii pot fi împărțiți în:

• cizmă;
• fişier
• macrovirusuri;
• viruși de script.

În timpul erei virușilor DOS, virușii hibrizi de pornire a fișierelor erau obișnuiți. După trecerea masivă la sistemele de operare ale familiei Windows, atât virușii de boot în sine, cât și hibrizii menționați practic au dispărut. Separat, merită remarcat faptul că virușii proiectați să funcționeze în mediul unui anumit sistem de operare sau aplicație se dovedesc a fi ineficienți în mediul altor sisteme de operare și aplicații. Prin urmare, mediul în care este capabil să se execute este identificat ca un atribut separat al virusului. Pentru virușii de fișiere, aceștia sunt DOS, Windows, Linux, MacOS, OS/2. Pentru viruși macro - Word, Excel, PowerPoint, Office. Uneori, un virus necesită o anumită versiune a sistemului de operare sau a aplicației pentru a funcționa corect, atunci atributul este specificat mai restrâns: Win9x, Excel97.

Fișieră viruși

Virușii de fișiere, atunci când se reproduc într-un fel sau altul, folosesc sistemul de fișiere al oricărui (sau al oricărui) sistem de operare. Ei:

• sunt încorporate în fișiere executabile în diferite moduri (cel mai comun tip de virus);
• creați fișiere duplicate (viruși însoțitori);
• creați copii ale lor în diferite directoare;
• utilizați particularitățile organizării sistemului de fișiere (link virus).

Tot ceea ce este conectat la Internet are nevoie de protecție antivirus: 82% dintre virușii detectați au fost „ascunși” în fișierele cu extensia PHP, HTML și EXE.

Numărul de programe malware crește în mod constant și poate atinge în curând proporții epidemice. Răspândirea virușilor în lumea digitală nu are limite și, chiar și cu toate oportunitățile disponibile, nu mai este posibilă neutralizarea activităților comunității criminale cibernetice de astăzi. Devine din ce în ce mai dificil să lupți împotriva hackerilor și a scriitorilor de viruși care își îmbunătățesc constant abilitățile. Astfel, atacatorii au învățat să ascundă cu succes canalele digitale pentru răspândirea amenințărilor, ceea ce face mult mai dificilă urmărirea și analizarea mișcărilor lor online. Rutele de distribuție se schimbă și ele; dacă anterior infractorii cibernetici preferau e-mailul pentru a răspândi viruși, astăzi atacurile în timp real ocupă poziția de lider. A existat, de asemenea, o creștere a aplicațiilor web rău intenționate, care s-au dovedit a fi mai mult decât potrivite pentru atacurile infractorilor cibernetici. Potrivit lui Govind Rammurthy, CEO și Managing Director al eScan MicroWorld, hackerii de astăzi au învățat să evite cu succes detectarea prin semnăturile antivirus tradiționale, care din mai multe motive sunt sortite eșecului atunci când vine vorba de detectarea amenințărilor web. Pe baza mostrelor examinate de eScan, amenințările web domină categoria malware. 82% din programele malware detectate sunt fișiere cu extensia PHP, HTML și EXE și MP3, CSS și PNG - mai puțin de 1%.

Acest lucru sugerează în mod clar că alegerea hackerilor este mai degrabă internetul decât atacurile care folosesc vulnerabilități software. Amenințările sunt de natură polimorfă, ceea ce înseamnă că programele malware pot fi recodificate eficient de la distanță, ceea ce face dificilă detectarea. Prin urmare, o probabilitate mare de infectare este asociată, printre altele, cu vizitarea site-urilor web. Potrivit eScan MicroWorld, numărul de link-uri de redirecționare și de descărcări ascunse (descărcări drive-by-descărcări) pe resurse piratate a crescut cu peste 20% în ultimele două luni. Rețelele sociale extind, de asemenea, foarte mult capacitatea de a furniza amenințări.

Să luăm, de exemplu, un banner care circulă pe Facebook care i-a cerut utilizatorului să schimbe culoarea paginii în roșu, albastru, galben etc. Bannerul ademenitor conținea un link care direcționa utilizatorul către un site fraudulos. Acolo, informațiile confidențiale au căzut în mâinile atacatorilor, care au fost folosite sau vândute pentru a obține profituri ilegale către diferite organizații de pe internet. Astfel, antivirusurile bazate pe semnături tradiționale sunt ineficiente astăzi, deoarece nu pot proteja în mod fiabil împotriva amenințărilor web în timp real. Un antivirus care se bazează pe tehnologii cloud și primește informații despre amenințările din cloud poate face față acestor sarcini.

Porniți viruși

Virușii de pornire se scriu fie în sectorul de boot al discului (sectorul de pornire), fie în sectorul care conține încărcătorul de sistem al hard diskului (Master Boot Record) sau schimbă indicatorul către sectorul de boot activ. Acest tip de virus era destul de comun în anii 1990, dar practic a dispărut odată cu trecerea la sistemele de operare pe 32 de biți și renunțarea la utilizarea dischetelor ca metodă principală de schimb de informații. Teoretic, este posibil să apară viruși de boot care să infecteze CD-urile și unitățile flash USB, dar până în prezent nu au fost detectați astfel de viruși.

Viruși macro

Multe editori de foi de calcul și grafice, sisteme de proiectare și procesoare de text au propriile lor limbaje macro pentru automatizarea acțiunilor repetitive. Aceste limbaje macro au adesea o structură complexă și un set bogat de comenzi. Virușii macro sunt programe în limbaje macro încorporate în astfel de sisteme de procesare a datelor. Pentru a se reproduce, virușii din această clasă folosesc capabilitățile limbilor macro și, cu ajutorul lor, se transferă dintr-un fișier infectat (document sau tabel) în alții.

Viruși de script

Virușii script, precum virușii macro, sunt un subgrup de viruși de fișiere. Acești viruși sunt scrisi în diferite limbaje de script (VBS, JS, BAT, PHP etc.). Ele fie infectează alte programe de script (MS Windows sau Linux fișiere de comandă și service), fie fac parte din viruși multicomponent. De asemenea, acești viruși pot infecta fișiere de alte formate (de exemplu, HTML), dacă în ele pot fi executate scripturi.

Clasificarea virușilor după metoda de infectare a fișierelor

Suprascriere

Această metodă de infecție este cea mai simplă: virusul își scrie propriul cod în loc de codul fișierului infectat, distrugându-i conținutul. Desigur, în acest caz fișierul nu mai funcționează și nu este restaurat. Astfel de viruși se dezvăluie foarte repede, deoarece sistemul de operare și aplicațiile încetează să funcționeze destul de repede.

Injectarea unui virus la începutul unui fișier

Astfel, atunci când un fișier infectat este lansat, codul virusului este primul care primește controlul. În acest caz, virușii, pentru a păstra funcționalitatea programului, fie dezinfectează fișierul infectat, îl rulează din nou, așteaptă finalizarea lui și scriu din nou la începutul său (uneori se folosește un fișier temporar, în care fișierul neutralizat este scris), sau restaurați codul programului în memoria computerului și configurați adresele necesare în corpul acestuia (adică, duplicați funcționarea sistemului de operare).

Injectarea unui virus la sfârșitul unui fișier

Cea mai obișnuită modalitate de a introduce un virus într-un fișier este să adăugați virusul la sfârșitul acestuia. În acest caz, virusul modifică începutul fișierului în așa fel încât primele comenzi ale programului conținute în fișierul de executat să fie comenzile virusului. Pentru a obține controlul când pornește fișierul, virusul ajustează adresa de pornire a programului (adresa punctului de intrare). Pentru a face acest lucru, virusul face modificările necesare în antetul fișierului.

Injectarea unui virus în mijlocul unui fișier

Există mai multe metode pentru introducerea unui virus în mijlocul unui fișier. În cel mai simplu dintre ele, virusul mută o parte a fișierului până la sfârșit sau „împrăștie” fișierul și își scrie codul în spațiul liber. Această metodă este în mare măsură similară cu metodele enumerate mai sus. Unii viruși comprimă blocul de fișiere transferat, astfel încât lungimea fișierului să nu se modifice în timpul infecției.

A doua este metoda „cavității”, în care virusul este scris în zone evident neutilizate ale fișierului. Virusul poate fi copiat în zonele neutilizate ale antetului unui fișier EXE, în „găuri” dintre secțiunile fișierelor EXE sau în zona de mesaje text a compilatoarelor populare. Există viruși care infectează doar acele fișiere care conțin blocuri umplute cu un fel de octet constant, iar virusul își scrie codul în locul unui astfel de bloc.

În plus, copiarea unui virus în mijlocul unui fișier poate apărea ca urmare a unei erori de virus, caz în care fișierul poate fi deteriorat ireversibil.

Viruși fără un punct de intrare

Separat, trebuie remarcat faptul că există un grup destul de mic de viruși care nu au un „punct de intrare” (virusuri EPO - Entry Point Obscuring viruses). Acestea includ viruși care nu schimbă adresa punctului de pornire din antetul fișierelor EXE. Astfel de viruși scriu o comandă pentru a-și transfera codul într-un loc în mijlocul fișierului și primesc controlul nu direct atunci când fișierul infectat este lansat, ci atunci când apelează o procedură care conține cod pentru transferul controlului către corpul virusului. Mai mult, această procedură poate fi efectuată extrem de rar (de exemplu, când este afișat un mesaj despre o anumită eroare). Ca rezultat, un virus poate „adormi” în interiorul unui fișier timp de mulți ani și poate apărea gratuit doar în anumite condiții limitate.

Înainte de a scrie o comandă pentru a comuta la codul său în mijlocul fișierului, virusul trebuie să selecteze adresa „corectă” din fișier - altfel fișierul infectat poate fi corupt. Există mai multe moduri cunoscute prin care virușii determină astfel de adrese în interiorul fișierelor, de exemplu, căutarea într-un fișier pentru o secvență de cod standard al antetelor procedurii limbajului de programare (C/Pascal), dezasamblarea codului fișierului sau înlocuirea adreselor funcțiilor importate.

Virușii însoțitori

Categoria virușilor însoțitori include viruși care nu modifică fișierele infectate. Algoritmul de operare al acestor viruși este că un fișier duplicat este creat pentru fișierul infectat, iar atunci când fișierul infectat este lansat, acest duplicat, adică virusul, primește controlul.

Virușii de acest tip îi includ pe cei care, atunci când sunt infectați, redenumesc un fișier cu alt nume, îl amintesc (pentru lansarea ulterioară a fișierului gazdă) și își scriu codul pe disc sub numele fișierului infectat. De exemplu, fișierul NOTEPAD.EXE este redenumit NOTEPAD.EXD, iar virusul este înregistrat sub numele NOTEPAD.EXE. La pornire, controlul primește un cod de virus, care apoi lansează NOTEPAD-ul original.

Pot exista și alte tipuri de viruși însoțitori care folosesc alte idei sau caracteristici originale ale altor sisteme de operare. De exemplu, însoțitorii PATH care plasează copii ale lor în directorul principal Windows, profitând de faptul că acest director este primul din lista PATH, iar Windows va căuta mai întâi fișierele de pornire în el. Mulți viermi de computer și programe troiene folosesc, de asemenea, această metodă de auto-lansare.

Legați viruși

Virușii de legătură nu modifică conținutul fizic al fișierelor, dar atunci când un fișier infectat este lansat, ei „forțează” sistemul de operare să-și execute codul. Ei ating acest scop prin modificarea câmpurilor necesare ale sistemului de fișiere.

File viermi

Viermii de fișiere nu asociază în niciun fel prezența lor cu niciun fișier executabil. Când se reproduc, pur și simplu își copiază codul în niște directoare de disc în speranța că aceste noi copii vor fi într-o zi lansate de utilizator. Uneori, acești viruși dau copiilor lor nume „speciale” pentru a încuraja utilizatorul să ruleze copia lor - de exemplu, INSTALL.EXE sau WINSTART.BAT.

Unii viermi de fișiere pot scrie copii ale lor în arhive (ARJ, ZIP, RAR). Alții scriu comanda pentru a rula fișierul infectat în fișiere BAT.

Viruși și viruși OBJ-, LIB în textele sursă

Virușii care infectează bibliotecile compilatorului, modulele obiect și codurile sursă ale programelor sunt destul de exotice și practic neobișnuite. În total, sunt aproximativ o duzină. Virușii care infectează fișierele OBJ și LIB își scriu codul în ele în formatul unui modul obiect sau bibliotecă. Prin urmare, fișierul infectat nu este executabil și nu poate răspândi în continuare virusul în starea sa actuală. Purtătorul virusului „în direct” devine un fișier COM sau EXE obținut în timpul procesului de conectare a unui fișier OBJ/LIB infectat cu alte module obiect și biblioteci. Astfel, virusul se răspândește în două etape: în prima etapă, fișierele OBJ/LIB sunt infectate, în a doua etapă (legare) se obține un virus funcțional.

Infectarea codurilor sursă de program este o continuare logică a metodei anterioare de propagare. În acest caz, virusul adaugă codul său sursă la textele sursă (în acest caz, virusul trebuie să-l conțină în corpul său) sau dump-ul său hexazecimal (ceea ce este mai ușor din punct de vedere tehnic). Un fișier infectat este capabil să răspândească în continuare virusul numai după compilare și conectare.

Răspândirea

Spre deosebire de viermi (viermi de rețea), virușii nu folosesc serviciile de rețea pentru a pătrunde în alte computere. O copie a virusului ajunge la computerele de la distanță numai dacă obiectul infectat, dintr-un motiv oarecare dincolo de funcționalitatea virusului, este activat pe un alt computer, de exemplu:

• la infectarea discurilor accesibile, virusul a pătruns în fișierele aflate pe o resursă de rețea;
• virusul s-a copiat pe un suport amovibil sau pe fișiere infectate de pe el;
• utilizatorul a trimis un e-mail cu un atașament infectat.

În vara lui 2012, specialiștii Kaspersky Lab au pregătit o listă cu cele mai notabile 15 programe malware care și-au pus amprenta în istorie:

• 1986 Brian – primul virus informatic; s-a răspândit prin scrierea propriului cod în sectorul de boot al dischetelor.
• 1988 Viermele Morris a infectat aproximativ 10% dintre calculatoarele conectate la Internet (adică aproximativ 600 de computere).
• 1992 Michelangelo este primul virus care a atras atenția presei.
• 1995 Concept - primul virus macro.
• 1999 Melissa a inaugurat era distribuțiilor de malware în masă care au condus la epidemii globale.
• Pe 26 aprilie 1999, a avut loc primul dezastru global de computer. Programatorii, probabil, nu și-au speriat copiii cu virusul Cernobîl sau CIH. Potrivit diverselor surse, aproximativ o jumătate de milion de computere din întreaga lume au fost afectate și niciodată până acum consecințele epidemilor de virusuri nu au fost atât de răspândite și însoțite de pierderi atât de grave.
• 2003 Slammer – un vierme fără pile care a provocat o epidemie pe scară largă în întreaga lume.
• 2004 Cabir – primul virus experimental pentru Symbian; distribuit prin Bluetooth.
• 2006 Leap este primul virus pentru platforma Mac OSX.
• 2007 Storm Worm - a folosit pentru prima dată servere de comandă și control distribuite pentru a gestiona computerele infectate.
• 2008 Koobface este primul virus care atacă în mod deliberat utilizatorii rețelei sociale Facebook.
• 2008 Conficker este un vierme de computer care a provocat una dintre cele mai mari epidemii din istorie, în urma căreia au fost infectate computerele companiilor, utilizatorilor casnici și organizațiilor guvernamentale din peste 200 de țări.
• 2010 FakePlayer – Troian SMS pentru smartphone-uri Android.
• 2010 Stuxnet este un vierme care a fost folosit pentru a efectua un atac țintit asupra sistemelor SCADA (Supervisory Control And Data Acquisition), marcând începutul erei războiului cibernetic.
• 2011 Duqu este un program troian sofisticat care colectează informații de la unitățile industriale.
• 2012 Flame este un malware sofisticat care este utilizat în mod activ în mai multe țări ca armă cibernetică. Complexitatea și funcționalitatea malware-ului depășesc toate tipurile de amenințări cunoscute anterior.

Panda Security: evaluarea virusului 2010

• Iubitor de Mac Evil: Acesta este numele dat programului de acces la distanță cu numele înspăimântător Hellraiser.A (HellRaiser.A). Afectează numai sistemele Mac și necesită permisiunea utilizatorului pentru a instala pe computer. Dacă victima îl instalează, programul va obține acces complet de la distanță la computer și va putea îndeplini o serie de funcții... până la deschiderea unității!
• Bunul Samaritean: Cu siguranță unii au ghicit deja despre ce vorbim... Acesta este fișierul Bredolab.Y. Este deghizat într-un mesaj de asistență Microsoft care vă spune că trebuie să instalați urgent un nou patch de securitate pentru Outlook... Dar aveți grijă! Dacă descărcați fișierul propus, pe computer va fi instalat automat un instrument de securitate fals, care vă va avertiza că sistemul este infectat și că este necesar să achiziționați o anumită soluție de securitate pentru a combate virusul. Dacă plătiți pentru programul oferit, desigur, nu îl veți primi niciodată, nu vă va rezolva problema și nu vă veți primi banii înapoi.
• Lingvistul anului: Fără îndoială, vremurile sunt dificile... Iar hackerii sunt din ce în ce mai forțați să se adapteze la noile tendințe și să facă tot posibilul pentru a-și prinde următoarea victimă. Lungimile pe care sunt dispuși să meargă pentru a înșela utilizatorii nu cunosc limite! Pentru a face acest lucru, ei sunt chiar pregătiți să învețe limbi străine. Prin urmare, am decis să acordăm premiul la categoria „Lingvistul anului” unui virus numit MSNWorm.IE. Acest virus, care nu este nimic special în sine, se răspândește prin intermediul programelor de mesagerie, invitând utilizatorii să se uite la o fotografie... în 18 limbi! Deși zâmbetul de la sfârșit rămâne „:D” universal...

Deci, dacă doriți să știți cum să spuneți „Uită-te la fotografie” într-o altă limbă, această listă te va economisi timp:

• Cei mai curajoși: În 2010, Stuxnet.A a primit acest premiu. Dacă ar exista o coloană sonoră care să meargă cu această amenințare, ar fi ceva de genul „Mission: Impossible” sau „Sfântul”. Acest cod rău intenționat a fost dezvoltat pentru a ataca sistemele de control de supraveghere și de colectare a datelor, de ex. asupra infrastructurilor critice. Viermele exploatează un defect al securității USB Microsoft pentru a obține acces la miezul centralelor nucleare... Sună ca intriga unui film de la Hollywood!
• Cel mai enervant: Îți amintești cum erau virușii? După ce ți-au infectat computerul o dată, ei întreabă constant: „Sunteți sigur că doriți să părăsiți programul? - Nu chiar?". Indiferent de răspunsul tău, a apărut din nou și din nou aceeași întrebare: „Sigur vrei să renunți la program?”, capabilă să enerveze chiar și un sfânt... Exact așa cel mai enervant vierme al anului 2010, Oscarbot.YQ , lucrări. Odată ce l-ai instalat, poți începe să te rogi, să meditezi sau să stai într-o ipostază de yoga, pentru că te va înnebuni. De fiecare dată când încercați să închideți programul, veți vedea o fereastră cu altă întrebare, și alta, și alta... Cel mai enervant este că acest lucru este inevitabil.
• Cel mai sigur vierme: Clippo.A. Acest nume le poate aminti unor utilizatori de numele Clippy - porecla pentru asistentul Microsoft Office sub forma unei agrafe. Acesta este cel mai sigur dintre toți viermii existenți. Odată instalat pe computer, acesta protejează toate documentele cu o parolă. În acest fel, atunci când utilizatorul încearcă să deschidă din nou documentul, nu va putea face acest lucru fără parolă. De ce face virusul asta? Cel mai interesant lucru este că chiar așa este! Nimeni nu se oferă să cumpere o parolă sau să cumpere un antivirus. Asta doar pentru a te enerva. Cu toate acestea, pentru acei utilizatori care au fost infectați, nu este deloc amuzant, pentru că... nu există simptome vizibile de infecție.
• Victima crizei: Ramsom.AB. Criza economică a afectat mulți oameni din întreaga lume, inclusiv criminali cibernetici. În urmă cu câțiva ani, așa-numitul „ransomware” (viruși care blochează computerul și cer răscumpărare) au cerut mai mult de 300 USD pentru a-l debloca. Acum, din cauza crizei, recesiunii și concurenței dintre escrocii cibernetici, victimelor li se oferă să-și răscumpere computerul pentru doar 12 USD. Au venit vremuri grele... Aproape că îmi pare rău pentru hackeri.
• Cel mai economic: în 2010, câștigătorul la această categorie a fost SecurityEssentials2010 (desigur, un fals, nu antivirusul oficial MS). Acest cod rău intenționat acționează ca orice alt antivirus fals. Acesta informează utilizatorul că computerul său a fost atacat de viruși și poate fi salvat doar prin achiziționarea acestui antivirus. Designul antivirusului fals este foarte convingător: mesajele și ferestrele par foarte credibile. Asa ca fii atent! Și nu mă crede pe cuvânt.

VIRUSURI.

Este imposibil de rezolvat problema detectării teoretice a virușilor, așa că în practică este necesar să se rezolve anumite probleme legate de cazuri particulare de malware. În funcție de proprietățile virușilor, se pot folosi diverse metode pentru a le detecta și neutraliza. Trebuie remarcat faptul că, în practică, clasificările adoptate de diverși producători de produse antivirus diferă, deși sunt construite pe principii similare. Prin urmare, în timpul prezentării se vor formula mai întâi principii și abia apoi exemple din clasificare.
Definiția practică a unui virus Definirea unui virus de computer este o problemă istorică problematică, deoarece este destul de dificil să se ofere o definiție clară a unui virus, subliniind în același timp proprietățile care sunt unice pentru viruși și nu se aplică altor sisteme software. Dimpotrivă, dând o definiție strictă a unui virus ca program care are anumite proprietăți, se poate găsi aproape imediat un exemplu de virus care nu are astfel de proprietăți.Voi da mai multe formulări ale definiției: Cronologic, cea mai veche definiție este de la Evgeniy Kaspersky (cartea „Viruși de calculator”): Definiția 1: O PROPRIETĂȚI OBLIGATORII (ESENȚIALE) ALE UNUI VIRUS DE COMPUTER este capacitatea de a-și crea propriile duplicate (nu neapărat identice cu originalul) și de a le introduce în rețelele și/sau fișierele de computere, în zonele de sistem ale computerului și în alte obiecte executabile. În același timp, duplicatele își păstrează capacitatea de a se răspândi în continuare. Definiție conform GOST R 51188-98:
Definiția 2: Un virus este un program capabil să creeze copii ale lui însuși (nu neapărat identice cu originalul) și să le introducă în fișiere, zone de sistem ale unui computer, rețele de computere, precum și să efectueze alte acțiuni distructive. În același timp, copiile își păstrează capacitatea de a fi distribuite în continuare. Un virus informatic este un tip de program rău intenționat. Este ușor de observat că definiția din GOST repetă aproape complet definiția lui E. Kaspersky.

Definițiile 1 și 2 repetă în mare măsură definiția lui F. Cohen sau clarificarea propusă de D. Chess și S. White, ceea ce ne permite să extindem asupra lor (definițiilor) concluzia că este imposibil să se creeze un algoritm care să detecteze toate astfel de definiții. programe sau chiar toate „încarnările” unuia dintre viruși. Cu toate acestea, în practică, se dovedește că toți virușii cunoscuți pot fi detectați de programele antivirus. Rezultatul este atins, parțial, datorită faptului că copiile deteriorate sau nereușite ale virușilor, incapabile să creeze și să introducă copii ale acestora, sunt detectate și clasificate împreună cu toți ceilalți viruși „cu drepturi depline”. În consecință, din punct de vedere practic, adică din punct de vedere al algoritmilor de căutare, capacitatea de reproducere nu este deloc necesară pentru clasificarea unui program ca virus.O altă problemă asociată definiției unui virus informatic constă în faptul că că astăzi un virus înseamnă cel mai adesea nu un virus „tradițional”, ci aproape orice program rău intenționat. Acest lucru duce la confuzie în terminologie, care este și mai complicată de faptul că aproape toate antivirusurile moderne sunt capabile să detecteze aceste tipuri de malware, astfel încât asocierea „malware-virus” devine din ce în ce mai stabilă. în scopul instrumentelor antivirus, În cele ce urmează, dacă nu se specifică altfel, virușii vor fi înțeleși ca programe rău intenționate. Definiția 3: Un program rău intenționat este un program de calculator sau un cod portabil conceput pentru a implementa amenințări la adresa informațiilor stocate într-un sistem informatic sau pentru utilizarea greșită ascunsă a resurselor computerului sau alte impacturi care împiedică funcționarea normală a sistemului informatic. Programele rău intenționate includ viruși informatici, troieni, viermi de rețea etc. Virușii informatici, troienii și viermii sunt principalele tipuri de programe rău intenționate.
Viruși

Definițiile clasice ale unui virus informatic sunt date mai sus.

Ciclu de viață Deoarece o trăsătură distinctivă a virușilor în sensul tradițional este capacitatea de a se reproduce într-un singur computer, virușii sunt împărțiți în tipuri în conformitate cu metodele de reproducere.Procesul de reproducere în sine poate fi împărțit în mai multe etape: 1. Pătrunderea într-un computer 2 . Activarea virusului 3. Căutați obiecte de infectat4. Pregătirea copiilor de virus5. Injectarea de copii virale

Caracteristicile de implementare ale fiecărei etape dau naștere la atribute, al căror set determină de fapt clasa virusului.

Penetrare

Virușii pătrund în computer împreună cu fișierele infectate sau alte obiecte (sectoarele de pornire ale dischetelor), spre deosebire de viermi, fără a afecta procesul de penetrare. În consecință, posibilitățile de pătrundere sunt complet determinate de posibilitățile de infecție și nu are rost să clasificăm separat virusurile în funcție de aceste etape ale ciclului de viață.

Activare

Pentru a activa virusul, obiectul infectat trebuie să capete controlul. În această etapă, virușii sunt împărțiți în funcție de tipurile de obiecte care pot fi infectate:

1.Boot virusuri - viruși care infectează sectoarele de boot ale mediilor permanente și amovibile. 2.Viruși de fișiere - viruși care infectează fișierele. Acest grup este împărțit în continuare în trei, în funcție de mediul în care este executat codul: · Virușii de fișiere înșiși - cei care lucrează direct cu resursele sistemului de operare Dintre cele mai recente programe malware cu funcționalitate de virus, putem remarca Email-Worm.Win32. Bagle.p (precum şi modificările acestuia.q şi.r). · Virușii macro sunt viruși scriși în limbajul macro și executați în mediul unei aplicații. În marea majoritate a cazurilor, vorbim de macrocomenzi în documentele Microsoft Office.

Virușii macro pot infecta mai mult decât documentele Microsoft Word și Excel. Există programe malware care vizează alte tipuri de documente: Macro.Visio.Radiant infectează fișierele cunoscutului program de diagrame Visio, Virus.Acad.Pobresito - documente AutoCAD, Macro.AmiPro.Green - documente ale procesorului de text Ami Pro, cunoscut anterior.

· Virușii script sunt viruși executați în mediul unui shell de comandă specific: anterior - fișiere bat în shell-ul de comandă DOS, acum mai des VBS și JS - script-uri în shell-ul de comandă Windows Scripting Host (WSH). faptul că virușii, proiectați să funcționeze într-un anumit sistem de operare sau aplicație, se dovedesc a fi inoperabili în alte sisteme de operare și aplicații. Prin urmare, mediul în care este capabil să se execute este identificat ca un atribut separat al virusului. Pentru virușii de fișiere, aceștia sunt DOS, Windows, Linux, MacOS, OS/2. Pentru viruși macro - Word, Excel, PowerPoint, Office. Uneori, un virus necesită o anumită versiune a sistemului de operare sau a aplicației pentru a funcționa corect, atunci atributul este specificat mai restrâns: Win9x, Excel97. Căutarea victimelor În etapa de căutare a obiectelor de infectat, există două moduri în care virușii se comportă: 1. După ce a primit controlul, virusul efectuează o singură căutare a victimelor, după care transferă controlul obiectului asociat cu acesta. (obiect infectat). 2. După ce a primit controlul, virusul rămâne cumva în memorie și caută victime în mod continuu, până la oprirea mediului în care este executat. În zilele DOS-ului cu sarcini unice, virușii de al doilea tip erau numit în mod obișnuit rezident. Odată cu trecerea la Windows, problema rămânerii în memorie a încetat să mai fie relevantă: aproape toți virușii executați în mediul Windows, precum și în mediul aplicației MS Office, sunt viruși de al doilea tip. În schimb, virușii de tip script sunt viruși de tip 1. În consecință, atributul rezident este aplicabil numai virușilor DOS de fișier. Existența unor viruși Windows nerezidenți este posibilă, dar în practică sunt o excepție rară.Separat, are sens să luăm în considerare așa-numiții viruși stealth - viruși care, fiind în permanență în memorie, interceptează apelurile către un fișier infectat și șterg. codul virusului din acesta din mers, transmițându-l ca răspuns la solicitarea unei versiuni nemodificate a fișierului. Astfel, acești viruși își maschează prezența în sistem. Pentru a le detecta, instrumentele antivirus necesită posibilitatea de a accesa direct discul, ocolind sistemul de operare. Virușii stealth au devenit cel mai răspândit în timpul erei DOS. Pregătirea copiilor de viruși Definiția 4: O semnătură de virus este, într-un sens larg, o informație care permite cuiva să se determine fără ambiguitate prezența unui anumit virus într-un fișier sau alt cod. Exemple de semnături sunt: ​​o secvență unică de octeți prezenți într-un anumit virus și care nu se găsesc în alte programe; suma de control a unei astfel de secvențe. Procesul de pregătire a copiilor pentru distribuire poate diferi semnificativ de simpla copiere. Autorii celor mai complexi virusi din punct de vedere tehnologic incearca sa faca diferite copii cat mai diferite pentru a le complica detectarea cu ajutorul instrumentelor antivirus. Ca urmare, compilarea unei semnături pentru un astfel de virus este extrem de dificilă sau chiar imposibilă. Implementarea

Introducerea copiilor virale poate fi efectuată prin două metode fundamental diferite:

· Injectarea codului virusului direct în obiectul infectat · Înlocuirea obiectului cu o copie a virusului. Obiectul înlocuit este de obicei redenumit

Pentru viruși, prima metodă este predominant caracteristică. A doua metodă este mult mai des folosită de viermi și troieni, sau mai precis de componentele troiene ale viermilor, deoarece troienii înșiși nu se răspândesc.

Daune cauzate de malware

Viermii și virușii pot face aceleași lucruri ca troienii. La nivel de implementare, acestea pot fi fie componente troiene individuale, fie funcții încorporate. În plus, datorită naturii lor răspândite, virușii și viermii se caracterizează și prin alte forme de acțiuni rău intenționate:

· Supraîncărcarea canalelor de comunicare- un tip de daune caracteristice viermilor, asociate cu faptul că, în timpul epidemilor de amploare, un număr mare de cereri, scrisori infectate sau copii directe ale viermilor sunt transmise pe canalele de Internet. În unele cazuri, utilizarea serviciilor de internet în timpul unei epidemii devine dificilă. Exemple: Net-Worm.Win32.Slammer · Atacurile DDoS- datorită naturii lor răspândite, viermii pot fi utilizați eficient pentru a implementa atacuri distribuite de denial of service (atacuri DDoS). În apogeul unei epidemii, când milioane și chiar zeci de milioane de computere sunt infectate, accesul tuturor sistemelor infectate la o anumită resursă de internet duce la blocarea completă a acestei resurse. Astfel, în timpul atacului viermelui MyDoom, site-ul companiei SCO a fost indisponibil timp de o lună.· Pierdere de date- comportament mai tipic pentru viruși decât pentru troieni și viermi, asociat cu distrugerea intenționată a anumitor date de pe computerul utilizatorului. Exemple: Virus.Win9x.CIH - ștergerea sectoarelor de pornire ale discurilor și conținutul Flash BIOS, Macro.Word97.Thus - ștergerea tuturor fișierelor de pe unitatea C:, Email-Worm.Win32.Mydoom.e - ștergerea fișierelor cu anumite extensii în funcție de contorul de numere aleatoare indicator Funcționare defectuoasă a software-ului- de asemenea o trăsătură mai caracteristică virusurilor. Din cauza erorilor din codul virusului, aplicațiile infectate pot funcționa cu erori sau să nu funcționeze deloc. Exemple: Net-Worm.Win32.Sasser.a - repornirea computerului infectat · - utilizarea intensivă a resurselor computerului de către malware duce la scăderea performanței atât a sistemului în ansamblu, cât și a aplicațiilor individuale. Exemple: în diferite grade - orice malware

Prezența acțiunilor distructive nu este deloc un criteriu obligatoriu pentru clasificarea codului programului ca fiind viral. De asemenea, trebuie remarcat faptul că virusul poate provoca daune colosale numai prin procesul de auto-replicare. Cel mai frapant exemplu este Net-Worm.Win32.Slammer.

Amenințări la securitatea informațiilor Să luăm în considerare amenințările la adresa securității informațiilor din punctul de vedere al virușilor. Având în vedere faptul că numărul total de viruși astăzi depășește 100.000, analiza amenințărilor din fiecare dintre aceștia este o sarcină prea consumatoare de timp și inutilă, deoarece numărul de viruși crește zilnic, ceea ce înseamnă că lista rezultată trebuie modificată zilnic. Vom presupune că virusul este capabil să implementeze oricare dintre amenințările la adresa securității informațiilor Există multe modalități de clasificare a amenințărilor la securitatea informațiilor care sunt procesate într-un sistem automat. Clasificarea cea mai frecvent utilizată a amenințărilor se bazează pe rezultatul impactului acestora asupra informațiilor, și anume, încălcarea confidențialității, integrității și disponibilității.Pentru fiecare amenințare, există mai multe moduri prin care virușii o pot implementa. Amenințare la confidențialitate

· Furtul de informații și distribuirea acesteia folosind mijloace obișnuite de comunicare sau canale de transmisie ascunse: Email-Worm.Win32.Sircam - a trimis documente arbitrare găsite pe un computer infectat împreună cu copii ale virușilor

· Orice activitate care are ca rezultat incapacitatea de a accesa informații; diverse efecte sonore și vizuale: Email-Worm.Win32.Bagle.p - blocarea accesului la site-urile web ale companiilor antivirus · Dezactivarea unui computer prin distrugerea sau deteriorarea componentelor critice (distrugerea Flash BIOS): Virus.Win9x.CIH - deteriorarea Flash BIOS-ului Cât de ușor a fost Asigurați-vă că pentru fiecare dintre metodele de mai sus de implementare a amenințărilor, puteți da un exemplu specific de virus care implementează una sau mai multe metode în același timp. Concluzie Programele rău intenționate diferă în funcție de condițiile lor de existență, de tehnologiile utilizate în diferite etape ale ciclului de viață și de impactul rău intenționat real - toți acești factori stau la baza clasificării. Ca urmare, conform caracteristicii principale (din punct de vedere istoric) - reproducerea, malware-ul este împărțit în trei tipuri: viruși, viermi și troieni.Indiferent de tip, malware-ul este capabil să provoace daune semnificative, implementând orice amenințări la adresa informații - amenințări la încălcarea integrității, confidențialității, disponibilității. În acest sens, la proiectarea sistemelor complexe de protecție antivirus și, chiar mai general, a sistemelor complexe de protecție a informațiilor, este necesară gradarea și clasificarea obiectelor de rețea în funcție de importanța informațiilor procesate pe acestea și de probabilitatea de infectare a acestor noduri cu virusuri.