Thực đơn
trang chủYandex

Phần mềm gián điệp: dấu trang, Trojan, keylogger. Cách loại bỏ virus và phần mềm gián điệp khỏi máy tính của bạn

Hầu như tất cả người dùng ngày nay đều quen thuộc với virus và hậu quả tác động của chúng đối với hệ thống máy tính. Trong số tất cả các mối đe dọa ngày càng phổ biến, một vị trí đặc biệt bị chiếm giữ bởi phần mềm gián điệp chuyên theo dõi hành động của người dùng và đánh cắp thông tin bí mật. Tiếp theo, chúng tôi sẽ chỉ ra những ứng dụng và applet đó là gì, đồng thời thảo luận về cách phát hiện phần mềm gián điệp trên máy tính và loại bỏ mối đe dọa đó mà không gây hại cho hệ thống.

Phần mềm gián điệp là gì?

Hãy bắt đầu với thực tế là các ứng dụng gián điệp hoặc các applet thực thi, thường được gọi là Phần mềm gián điệp, không phải là vi-rút theo nghĩa thông thường. Nghĩa là, chúng hầu như không ảnh hưởng đến hệ thống về tính toàn vẹn hoặc hiệu suất của nó, mặc dù khi lây nhiễm vào máy tính, chúng có thể liên tục cư trú trong RAM và tiêu tốn một phần tài nguyên hệ thống. Tuy nhiên, theo quy luật, điều này không ảnh hưởng đặc biệt đến hiệu suất của HĐH.

Nhưng mục đích chính của chúng là theo dõi công việc của người dùng và nếu có thể sẽ đánh cắp dữ liệu bí mật, giả mạo email nhằm mục đích gửi thư rác, phân tích các yêu cầu trên Internet và chuyển hướng đến các trang web chứa phần mềm độc hại, phân tích thông tin trên ổ cứng, v.v. Bản thân nó Không cần phải nói rằng bất kỳ người dùng nào cũng phải cài đặt ít nhất một gói chống vi-rút nguyên thủy để bảo vệ. Đúng, trong hầu hết các trường hợp, cả phần mềm chống vi-rút miễn phí và đặc biệt là tường lửa tích hợp sẵn trong Windows đều không cung cấp sự tin cậy hoàn toàn về bảo mật. Một số ứng dụng có thể không được nhận dạng. Đây là nơi đặt ra một câu hỏi hoàn toàn hợp lý: "Vậy thì việc bảo vệ máy tính khỏi phần mềm gián điệp là gì?" Chúng ta hãy thử xem xét các khía cạnh và khái niệm chính.

Các loại phần mềm gián điệp

Trước khi tiến hành một giải pháp thực tế, bạn nên hiểu rõ ứng dụng và applet nào thuộc lớp Phần mềm gián điệp. Ngày nay có một số loại chính:

  • bộ ghi chìa khóa;
  • máy quét ổ cứng;
  • điệp viên màn ảnh;
  • điệp viên đưa thư;
  • gián điệp ủy nhiệm.

Mỗi chương trình như vậy ảnh hưởng đến hệ thống một cách khác nhau, vì vậy tiếp theo chúng ta sẽ xem xét chính xác phần mềm gián điệp xâm nhập vào máy tính như thế nào và chúng có thể làm gì với hệ thống bị nhiễm.

Các phương thức thâm nhập spyware vào hệ thống máy tính

Ngày nay, do sự phát triển đáng kinh ngạc của công nghệ Internet, World Wide Web là kênh mở chính và được bảo vệ yếu kém mà các mối đe dọa loại này sử dụng để xâm nhập vào các hệ thống hoặc mạng máy tính cục bộ.

Trong một số trường hợp, phần mềm gián điệp được chính người dùng cài đặt trên máy tính, điều này nghe có vẻ nghịch lý. Trong hầu hết các trường hợp, anh ấy thậm chí không biết về nó. Và mọi thứ đều đơn giản. Ví dụ: bạn đã tải xuống một chương trình có vẻ thú vị từ Internet và bắt đầu cài đặt. Trong giai đoạn đầu, mọi thứ trông như bình thường. Nhưng đôi khi các cửa sổ xuất hiện yêu cầu bạn cài đặt một số sản phẩm phần mềm bổ sung hoặc tiện ích bổ sung cho trình duyệt Internet của bạn. Thông thường tất cả điều này được viết bằng chữ in nhỏ. Người dùng, cố gắng nhanh chóng hoàn tất quá trình cài đặt và bắt đầu làm việc với ứng dụng mới, thường không chú ý đến điều này, đồng ý với tất cả các điều kiện và... cuối cùng nhận được một “tác nhân” được nhúng để thu thập thông tin.

Đôi khi phần mềm gián điệp được cài đặt ở chế độ nền trên máy tính, sau đó giả dạng các quy trình hệ thống quan trọng. Có thể có nhiều tùy chọn ở đây: cài đặt phần mềm chưa được xác minh, tải xuống nội dung từ Internet, mở tệp đính kèm email đáng ngờ và thậm chí chỉ cần truy cập một số tài nguyên không an toàn trên Internet. Như đã rõ, đơn giản là không thể theo dõi quá trình cài đặt như vậy nếu không có biện pháp bảo vệ đặc biệt.

Hậu quả của việc phơi nhiễm

Đối với tác hại do gián điệp gây ra, như đã đề cập, điều này thường không ảnh hưởng đến hệ thống dưới bất kỳ hình thức nào, nhưng thông tin người dùng và dữ liệu cá nhân sẽ gặp rủi ro.

Nguy hiểm nhất trong số tất cả các ứng dụng thuộc loại này là cái gọi là key logger, hay nói một cách đơn giản, chúng là những ứng dụng có khả năng giám sát bộ ký tự, tạo cơ hội cho kẻ tấn công lấy được thông tin đăng nhập và mật khẩu giống nhau, ngân hàng. thông tin chi tiết hoặc mã PIN của thẻ và chỉ là thứ mà người dùng không muốn cung cấp cho nhiều người. Theo quy định, sau khi tất cả dữ liệu đã được xác định, nó sẽ được gửi đến máy chủ từ xa hoặc qua email, tất nhiên, ở chế độ ẩn. Vì vậy, nên sử dụng các tiện ích mã hóa đặc biệt để lưu trữ những thông tin quan trọng như vậy. Ngoài ra, nên lưu tệp không phải trên ổ cứng (máy quét ổ cứng có thể dễ dàng tìm thấy chúng) mà trên phương tiện di động, hoặc ít nhất là trên ổ flash và luôn kèm theo khóa giải mã.

Trong số những điều khác, nhiều chuyên gia cho rằng sử dụng bàn phím ảo là an toàn nhất, mặc dù họ nhận ra sự bất tiện của phương pháp này.

Việc theo dõi màn hình về chính xác những gì người dùng đang làm chỉ nguy hiểm khi dữ liệu bí mật hoặc chi tiết đăng ký được nhập. Gián điệp chỉ cần chụp ảnh màn hình sau một thời gian nhất định và gửi chúng cho kẻ tấn công. Sử dụng bàn phím ảo, như trong trường hợp đầu tiên, sẽ không mang lại bất kỳ kết quả nào. Và nếu hai điệp viên làm việc cùng lúc thì bạn sẽ không thể trốn đi đâu được.

Việc theo dõi email được thực hiện thông qua danh sách liên lạc của bạn. Mục đích chính là thay thế nội dung thư khi gửi đi nhằm mục đích gửi thư rác.

Gián điệp proxy chỉ có hại ở chỗ chúng biến thiết bị đầu cuối máy tính cục bộ thành một loại máy chủ proxy nào đó. Tại sao lại phải cần cái này? Có, chỉ để ẩn đằng sau địa chỉ IP của người dùng khi thực hiện các hành động bất hợp pháp. Đương nhiên, người dùng không biết gì về điều này. Giả sử ai đó đã hack hệ thống an ninh của ngân hàng và lấy trộm một số tiền nhất định. Việc giám sát hành động của các dịch vụ được ủy quyền cho thấy rằng vụ hack được thực hiện từ một thiết bị đầu cuối có IP như vậy, đặt tại địa chỉ đó. Cơ quan mật vụ đến gặp một người không hề nghi ngờ và tống anh ta vào tù. Có thực sự không có gì tốt về điều này?

Triệu chứng đầu tiên của nhiễm trùng

Bây giờ chúng ta hãy chuyển sang thực hành. Làm cách nào để kiểm tra máy tính của bạn để tìm phần mềm gián điệp nếu đột nhiên, vì lý do nào đó, bạn nghi ngờ về tính toàn vẹn của hệ thống bảo mật? Để làm được điều này, bạn cần biết tác động của những ứng dụng đó thể hiện như thế nào trong giai đoạn đầu.

Nếu không có lý do rõ ràng nào mà hiệu suất giảm hoặc hệ thống định kỳ "đóng băng" hoặc từ chối hoạt động, trước tiên bạn nên xem tải trên bộ xử lý và RAM, đồng thời theo dõi tất cả các quy trình đang hoạt động.

Trong hầu hết các trường hợp, người dùng trong cùng một “Trình quản lý tác vụ” sẽ thấy các dịch vụ lạ mà trước đây không có trong cây quy trình. Đây chỉ là cuộc gọi đầu tiên. Những người tạo ra phần mềm gián điệp không hề ngu ngốc, vì vậy họ tạo ra các chương trình ngụy trang thành các quy trình hệ thống và đơn giản là không thể xác định chúng theo cách thủ công nếu không có kiến ​​​​thức đặc biệt. Sau đó, các vấn đề bắt đầu với việc kết nối Internet, trang bắt đầu thay đổi, v.v.

Cách kiểm tra máy tính của bạn để tìm phần mềm gián điệp

Đối với việc quét, các phần mềm chống vi-rút tiêu chuẩn sẽ không giúp ích được gì ở đây, đặc biệt nếu chúng đã bỏ qua mối đe dọa. Tối thiểu, bạn sẽ cần một số loại phiên bản di động như Kaspersky Virus Removal Tool (hoặc tốt hơn là một cái gì đó như Đĩa cứu hộ để kiểm tra hệ thống trước khi khởi động).

Làm thế nào để tìm phần mềm gián điệp trên máy tính của bạn? Trong hầu hết các trường hợp, bạn nên sử dụng các chương trình đặc biệt có mục tiêu cao thuộc loại Chống phần mềm gián điệp (SpywareBlaster, AVZ, XoftSpySE Anti-Spyware, Microsoft Antispyware, v.v.). Quá trình quét trong đó hoàn toàn tự động cũng như việc xóa sau đó. Nhưng ở đây có những điều đáng chú ý.

Cách xóa phần mềm gián điệp khỏi máy tính của bạn: phương pháp tiêu chuẩn và phần mềm của bên thứ ba được sử dụng

Bạn thậm chí có thể xóa phần mềm gián điệp khỏi máy tính của mình theo cách thủ công nhưng chỉ khi chương trình không được ngụy trang.

Để thực hiện việc này, bạn có thể vào phần chương trình và tính năng, tìm ứng dụng bạn đang tìm kiếm trong danh sách và bắt đầu quá trình gỡ cài đặt. Đúng, nói một cách nhẹ nhàng thì trình gỡ cài đặt Windows không tốt lắm vì nó để lại một đống rác máy tính sau khi quá trình hoàn tất, vì vậy tốt hơn là bạn nên sử dụng các tiện ích chuyên dụng như iObit uninstaller, ngoài việc gỡ cài đặt trong theo cách tiêu chuẩn, cho phép bạn thực hiện quét chuyên sâu để tìm kiếm các tệp còn sót lại hoặc thậm chí các khóa và mục trong sổ đăng ký hệ thống.

Bây giờ là một vài lời về tiện ích Spyhunter giật gân. Nhiều người gọi nó gần như là thần dược cho mọi bệnh tật. Chúng tôi cầu xin sự khác biệt. Nó vẫn quét hệ thống nhưng đôi khi nó cho kết quả dương tính giả. Đây không phải là vấn đề. Thực tế là việc gỡ cài đặt nó khá có vấn đề. Đối với người dùng bình thường, chỉ cần số lượng hành động cần thực hiện cũng khiến đầu óc họ quay cuồng.

Sử dụng cái gì? Ví dụ: có thể thực hiện việc bảo vệ chống lại các mối đe dọa như vậy và tìm kiếm phần mềm gián điệp trên máy tính của bạn, ngay cả khi sử dụng gói ESETNOD32 hoặc Smart Security với chức năng Chống Trộm được kích hoạt. Tuy nhiên, mỗi người đều lựa chọn cho mình những gì tốt hơn và dễ dàng hơn cho mình.

Hợp pháp hóa hoạt động gián điệp trong Windows 10

Nhưng đó không phải là tất cả. Tất cả những điều trên chỉ liên quan đến việc phần mềm gián điệp xâm nhập vào hệ thống như thế nào, nó hoạt động như thế nào, v.v. Nhưng phải làm gì khi hoạt động gián điệp là hợp pháp?

Windows 10 không hoạt động tốt về mặt này. Ở đây có một loạt dịch vụ cần phải tắt (giao tiếp dữ liệu với máy chủ Microsoft từ xa, sử dụng danh tính để nhận quảng cáo, gửi dữ liệu đến công ty, xác định vị trí bằng phép đo từ xa, nhận thông tin cập nhật từ nhiều vị trí, v.v.).

Có bảo vệ 100% không?

Nếu bạn xem xét kỹ cách phần mềm gián điệp xâm nhập vào máy tính và những gì nó làm sau đó, thì chỉ có một điều có thể nói về khả năng bảo vệ 100%: nó không tồn tại. Ngay cả khi bạn sử dụng toàn bộ kho công cụ bảo mật, bạn vẫn có thể chắc chắn 80% về bảo mật, không hơn thế. Tuy nhiên, bản thân người dùng không được có những hành động kích động như truy cập các trang web đáng ngờ, cài đặt phần mềm không an toàn, bỏ qua cảnh báo chống vi-rút, mở tệp đính kèm email từ các nguồn không xác định, v.v.

http://www.computermaster.ru/articles/secur2.html

Những điều bạn cần biết về virus máy tính

(c) Alexander Frolov, Grigory Frolov, 2002

[email được bảo vệ]; http://www.frolov.pp.ru, http://www.datarecovery.ru

Kể từ khi tạo ra máy tính cá nhân mà các chuyên gia và công chúng có thể tiếp cận được, lịch sử của virus máy tính đã bắt đầu. Hóa ra là các máy tính cá nhân và các chương trình được phân phối trên đĩa mềm chính là đại diện cho “môi trường sinh sản” trong đó virus máy tính phát sinh và sống vô tư. Những huyền thoại và truyền thuyết nảy sinh xung quanh khả năng virus máy tính xâm nhập mọi lúc mọi nơi đã bao bọc những sinh vật độc hại này trong một màn sương mù không thể hiểu được và chưa biết.

Thật không may, ngay cả những quản trị viên hệ thống có kinh nghiệm (chưa kể đến người dùng thông thường) không phải lúc nào cũng hiểu chính xác virus máy tính là gì, chúng xâm nhập vào máy tính và mạng máy tính như thế nào cũng như những tác hại mà chúng có thể gây ra. Đồng thời, nếu không hiểu rõ cơ chế hoạt động và lây lan của virus thì không thể tổ chức phòng chống virus hiệu quả. Ngay cả chương trình chống vi-rút tốt nhất cũng sẽ bất lực nếu sử dụng không đúng cách.

Một khóa học ngắn về lịch sử virus máy tính

Virus máy tính là gì?

Định nghĩa chung nhất về virus máy tính có thể được đưa ra dưới dạng mã chương trình tự lan truyền trong môi trường thông tin của máy tính. Nó có thể được nhúng vào các tập tin thực thi và lệnh của chương trình, được phân phối qua các khu vực khởi động của đĩa mềm và ổ cứng, tài liệu ứng dụng văn phòng, qua e-mail, trang Web, cũng như qua các kênh điện tử khác.

Sau khi xâm nhập vào hệ thống máy tính, vi-rút có thể bị giới hạn ở các hiệu ứng hình ảnh hoặc âm thanh vô hại nhưng có thể gây mất hoặc hỏng dữ liệu cũng như rò rỉ thông tin cá nhân và bí mật. Trong trường hợp xấu nhất, hệ thống máy tính bị nhiễm vi-rút có thể nằm dưới sự kiểm soát hoàn toàn của kẻ tấn công.

Ngày nay, mọi người tin tưởng vào máy tính để giải quyết nhiều vấn đề quan trọng. Do đó, sự cố của hệ thống máy tính có thể gây ra những hậu quả rất nghiêm trọng, bao gồm cả thương vong về người (hãy tưởng tượng một loại virus trong hệ thống máy tính của các dịch vụ sân bay). Các nhà phát triển hệ thống thông tin máy tính và quản trị viên hệ thống không nên quên điều này.

Ngày nay, có hàng chục ngàn loại virus khác nhau được biết đến. Bất chấp sự phong phú này, có một số lượng khá hạn chế các loại vi-rút khác nhau về cơ chế lây lan và nguyên tắc hoạt động. Ngoài ra còn có các loại virus kết hợp có thể được phân loại thành nhiều loại khác nhau cùng một lúc. Chúng ta sẽ nói về các loại vi-rút khác nhau, theo thứ tự thời gian xuất hiện của chúng càng nhiều càng tốt.

Tập tin virus

Trong lịch sử, virus tập tin xuất hiện sớm hơn các loại virus khác và ban đầu được phân phối trong môi trường hệ điều hành MS-DOS. Bằng cách tự tiêm vào phần nội dung của các tệp chương trình COM và EXE, vi-rút thay đổi chúng theo cách mà khi khởi chạy, quyền kiểm soát không được chuyển sang chương trình bị nhiễm mà sang vi-rút. Virus có thể viết mã của nó ở cuối, đầu hoặc giữa tệp (Hình 1). Virus cũng có thể chia mã của nó thành các khối, đặt chúng ở những vị trí khác nhau trong chương trình bị nhiễm.

Cơm. 1. Virus trong file MOUSE.COM

Sau khi được kiểm soát, virus có thể lây nhiễm sang các chương trình khác, xâm chiếm RAM của máy tính và thực hiện các chức năng độc hại khác. Sau đó, vi-rút chuyển quyền kiểm soát sang chương trình bị nhiễm và chương trình này thực thi như bình thường. Kết quả là người dùng đang chạy chương trình thậm chí không nghi ngờ rằng nó bị “ốm”.

Lưu ý rằng vi-rút tệp có thể lây nhiễm không chỉ các chương trình COM và EXE mà còn cả các loại tệp chương trình khác - lớp phủ MS-DOS (OVL, OVI, OVR và các loại khác), trình điều khiển SYS, thư viện liên kết động DLL, cũng như bất kỳ tệp nào có chương trình mã số . Virus tập tin đã được phát triển không chỉ cho MS-DOS mà còn cho các hệ điều hành khác, chẳng hạn như Microsoft Windows, Linux, IBM OS/2. Tuy nhiên, phần lớn vi-rút loại này sống chính xác trong môi trường MS-DOS và Microsoft Windows.

Vào thời MS-DOS, virus tập tin phát triển mạnh nhờ việc trao đổi miễn phí các chương trình, trò chơi và kinh doanh. Vào thời đó, các tệp chương trình có kích thước tương đối nhỏ và được phân phối trên các đĩa mềm. Chương trình bị nhiễm cũng có thể vô tình được tải xuống từ BBS hoặc Internet. Và cùng với những chương trình này, virus tập tin cũng lây lan.

Các chương trình hiện đại chiếm một lượng không gian đáng kể và thường được phân phối trên đĩa CD. Việc chia sẻ chương trình trên đĩa mềm đã là chuyện quá khứ. Bằng cách cài đặt một chương trình từ đĩa CD được cấp phép, bạn thường không có nguy cơ lây nhiễm vi-rút vào máy tính của mình. Một điều nữa là đĩa CD lậu. Chúng tôi không thể đảm bảo bất cứ điều gì ở đây (mặc dù chúng tôi biết về các ví dụ về vi-rút lây lan trên các đĩa CD được cấp phép).

Kết quả là, ngày nay, vi-rút tập tin đã mất đi sự phổ biến so với các loại vi-rút khác, điều mà chúng ta sẽ nói đến sau.

Virus khởi động

Virus khởi động giành quyền kiểm soát trong quá trình khởi động máy tính, ngay cả trước khi hệ điều hành bắt đầu tải. Để hiểu cách chúng hoạt động, bạn cần nhớ trình tự khởi động máy tính và tải hệ điều hành.

Ngay sau khi bật nguồn máy tính, quy trình kiểm tra POST (Power On Self Test) được ghi trong BIOS bắt đầu hoạt động. Trong quá trình quét, cấu hình máy tính được xác định và chức năng của các hệ thống con chính của nó được kiểm tra. POST sau đó kiểm tra xem đĩa mềm có được đưa vào ổ A: hay không. Nếu đĩa mềm được lắp vào thì việc tải hệ điều hành tiếp theo sẽ diễn ra từ đĩa mềm. Nếu không, việc khởi động được thực hiện từ ổ cứng.

Khi khởi động từ đĩa mềm, quy trình POST sẽ đọc Bản ghi khởi động (BR) từ đĩa mềm vào RAM. Mục này luôn nằm ở khu vực đầu tiên của đĩa mềm và là một chương trình nhỏ. Ngoài chương trình, BR còn chứa cấu trúc dữ liệu xác định định dạng đĩa mềm và một số đặc điểm khác. Thủ tục POST sau đó chuyển quyền điều khiển sang BR. Sau khi nhận được quyền kiểm soát, BR tiến hành tải trực tiếp hệ điều hành.

Khi bạn khởi động từ ổ cứng, POST sẽ đọc Bản ghi khởi động chính (MBR) và ghi nó vào RAM của máy tính. Mục này chứa chương trình khởi động và bảng phân vùng, mô tả tất cả các phân vùng trên ổ cứng. Nó được lưu trữ trong khu vực đầu tiên của ổ cứng.

Sau khi đọc MBR, quyền điều khiển sẽ được chuyển sang chương trình khởi động vừa đọc từ đĩa. Nó phân tích nội dung của bảng phân vùng, chọn phân vùng đang hoạt động và đọc bản ghi khởi động BR của phân vùng đang hoạt động. Mục nhập này tương tự như mục nhập BR của đĩa mềm hệ thống và thực hiện các chức năng tương tự.

Bây giờ chúng ta hãy nói về cách thức hoạt động của virus khởi động.

Khi đĩa mềm hoặc ổ cứng của máy tính bị nhiễm, virus khởi động sẽ thay thế bản ghi khởi động BR hoặc bản ghi khởi động chính MBR (Hình 2). Các bản ghi BR hoặc MBR gốc thường không bị mất trong trường hợp này (mặc dù điều này không phải lúc nào cũng xảy ra). Virus sao chép chúng vào một trong các khu vực trống của đĩa.

Cơm. 2. Virus trong bản ghi khởi động

Do đó, virus giành được quyền kiểm soát ngay sau khi thủ tục POST hoàn tất. Sau đó, như một quy luật, anh ta hành động theo thuật toán tiêu chuẩn. Virus tự sao chép vào cuối RAM, do đó làm giảm dung lượng khả dụng của nó. Sau đó, nó chặn một số chức năng của BIOS, do đó việc truy cập vào chúng sẽ chuyển quyền kiểm soát cho vi-rút. Khi kết thúc quá trình lây nhiễm, vi-rút sẽ tải khu vực khởi động thực vào RAM của máy tính và chuyển quyền điều khiển sang khu vực đó. Tiếp theo, máy tính khởi động như bình thường nhưng virus đã có sẵn trong bộ nhớ và có thể điều khiển hoạt động của tất cả các chương trình, driver.

Virus kết hợp

Rất thường xuyên có những loại virus kết hợp các đặc tính của virus tập tin và virus khởi động.

Một ví dụ là virus khởi động tập tin OneHalf, loại virus này rất phổ biến trong quá khứ. Xâm nhập vào máy tính chạy MS-DOS, virus này lây nhiễm vào bản ghi khởi động chính. Khi máy tính khởi động, virus sẽ dần dần mã hóa các khu vực của ổ cứng, bắt đầu từ những khu vực gần đây nhất. Khi mô-đun thường trú của vi-rút nằm trong bộ nhớ, nó sẽ giám sát tất cả quyền truy cập vào các khu vực được mã hóa và giải mã chúng, để tất cả phần mềm máy tính hoạt động bình thường. Nếu OneHalf chỉ bị xóa khỏi RAM và khu vực khởi động, thì sẽ không thể đọc chính xác thông tin được ghi trong các khu vực được mã hóa của đĩa.

Khi virus mã hóa một nửa ổ cứng, nó sẽ hiển thị thông báo sau trên màn hình:

Dis là một nửa. Bấm phím bất kỳ để tiếp tục...

Sau đó, virus chờ người dùng nhấn phím và tiếp tục công việc của mình.

Virus OneHalf sử dụng nhiều cơ chế khác nhau để ngụy trang. Nó là một loại virus tàng hình và sử dụng các thuật toán đa hình để lây lan. Việc phát hiện và diệt virus OneHalf là một công việc khá phức tạp và không phải chương trình diệt virus nào cũng có thể làm được.

Virus vệ tinh

Như bạn đã biết, trong hệ điều hành MS-DOS và Microsoft Windows thuộc nhiều phiên bản khác nhau, có ba loại tệp mà người dùng có thể khởi chạy để thực thi. Đây là các tệp lệnh hoặc tệp bó BAT, cũng như các tệp thực thi COM và EXE. Trong trường hợp này, một số tệp thực thi có cùng tên nhưng có phần mở rộng tên khác nhau có thể được đặt đồng thời trong cùng một thư mục.

Khi người dùng chạy một chương trình và sau đó nhập tên của nó vào dấu nhắc của hệ điều hành, anh ta thường không chỉ định phần mở rộng của tệp. Tập tin nào sẽ được thực thi nếu có một số chương trình trong thư mục có cùng tên nhưng có phần mở rộng tên khác nhau?

Hóa ra trong trường hợp này tệp COM sẽ chạy. Nếu chỉ có tệp EXE và BAT tồn tại trong thư mục hiện tại hoặc các thư mục được chỉ định trong biến môi trường PATH thì tệp EXE sẽ được thực thi.

Khi vi-rút vệ tinh lây nhiễm vào tệp EXE hoặc BAT, nó sẽ tạo một tệp khác trong cùng thư mục có cùng tên nhưng có phần mở rộng tên COM. Virus tự ghi vào file COM này. Như vậy, khi chương trình được khởi chạy, virus vệ tinh sẽ là kẻ nắm quyền kiểm soát đầu tiên, sau đó virus này có thể khởi chạy chương trình này nhưng dưới sự kiểm soát của chính nó.

Virus trong các tập tin hàng loạt

Có một số loại vi-rút có thể lây nhiễm vào các tệp bó BAT. Để làm điều này, họ sử dụng một phương pháp rất tinh vi. Chúng ta sẽ xem xét nó bằng virus BAT.Batman làm ví dụ. Khi một tệp bó bị nhiễm, văn bản sau sẽ được chèn vào đầu tệp:

@ECHO TẮT REM [...] sao chép %0 b.com>nul b.com del b.com rem [...]

Trong dấu ngoặc vuông […] đây là sơ đồ vị trí của các byte, là hướng dẫn của bộ xử lý hoặc dữ liệu vi rút. Lệnh @ECHO OFF vô hiệu hóa hiển thị tên của các lệnh đã thực thi. Dòng bắt đầu bằng lệnh REM là một nhận xét và không được diễn giải dưới bất kỳ hình thức nào.

Lệnh sao chép %0 b.com>nul sao chép tệp bó bị nhiễm vào tệp B.COM. Sau đó, tệp này được thực thi và xóa khỏi đĩa bằng lệnh del b.com.

Điều thú vị nhất là tệp B.COM do virus tạo ra khớp với tệp bó bị nhiễm đến một byte. Hóa ra là nếu bạn hiểu hai dòng đầu tiên của tệp BAT bị nhiễm là một chương trình, thì nó sẽ bao gồm các lệnh CPU mà thực tế không làm gì cả. CPU thực thi các lệnh này và sau đó bắt đầu thực thi mã virus thực tế được viết sau câu lệnh bình luận REM. Sau khi giành được quyền kiểm soát, virus sẽ chặn các hoạt động gián đoạn của hệ điều hành và bắt đầu hoạt động.

Trong quá trình lây lan, virus sẽ giám sát việc ghi dữ liệu vào tập tin. Nếu dòng đầu tiên được ghi vào tệp chứa lệnh @echo thì vi-rút sẽ nghĩ rằng một tệp bó đang được ghi và lây nhiễm vào tệp đó.

Mã hóa và đa hình virus

Để làm cho việc phát hiện trở nên khó khăn hơn, một số vi-rút mã hóa mã của chúng. Mỗi khi vi-rút lây nhiễm một chương trình mới, nó sẽ mã hóa mã của chính nó bằng khóa mới. Kết quả là, hai bản sao của một loại virus như vậy có thể khác nhau đáng kể, thậm chí có độ dài khác nhau. Việc mã hóa mã virus làm phức tạp rất nhiều quá trình nghiên cứu nó. Các chương trình thông thường sẽ không thể phân tách được loại virus như vậy.

Đương nhiên, virus chỉ có thể hoạt động nếu mã thực thi được giải mã. Khi một chương trình bị nhiễm chạy (hoặc khởi động từ bản ghi khởi động BR bị nhiễm) và vi-rút giành được quyền kiểm soát, nó phải giải mã mã của nó.

Để làm cho việc phát hiện vi-rút trở nên khó khăn hơn, không chỉ các khóa khác nhau được sử dụng để mã hóa mà còn các quy trình mã hóa khác nhau. Hai bản sao của virus như vậy không có một chuỗi mã trùng khớp. Những virus như vậy có thể thay đổi hoàn toàn mã của chúng, được gọi là virus đa hình.

Virus tàng hình

Virus lén lút cố gắng che giấu sự hiện diện của chúng trên máy tính. Họ có một mô-đun thường trú được đặt cố định trong RAM của máy tính. Mô-đun này được cài đặt khi khởi chạy một chương trình bị nhiễm vi-rút hoặc khi khởi động từ đĩa bị nhiễm vi-rút khởi động.

Mô-đun thường trú của vi-rút chặn các cuộc gọi đến hệ thống con đĩa của máy tính. Nếu hệ điều hành hoặc chương trình khác đọc tệp chương trình bị nhiễm, vi-rút sẽ thay thế tệp chương trình thực, không bị nhiễm. Để thực hiện việc này, mô-đun vi-rút thường trú có thể tạm thời loại bỏ vi-rút khỏi tệp bị nhiễm. Sau khi làm việc xong với tập tin, nó lại bị nhiễm virus.

Virus tàng hình khởi động hoạt động theo cách tương tự. Khi bất kỳ chương trình nào đọc dữ liệu từ khu vực khởi động, khu vực bị nhiễm sẽ được thay thế bằng khu vực khởi động thực.

Việc ngụy trang vi-rút tàng hình chỉ hoạt động nếu có mô-đun vi-rút thường trú trong RAM của máy tính. Nếu máy tính khởi động từ đĩa mềm hệ thống “sạch”, không bị nhiễm virus, vi-rút không có cơ hội giành quyền kiểm soát và do đó cơ chế tàng hình không hoạt động.

Virus vĩ mô

Cho đến nay, chúng ta đã nói về vi-rút sống trong các tệp chương trình thực thi và các phần khởi động của đĩa. Việc sử dụng rộng rãi bộ chương trình văn phòng Microsoft Office đã gây ra một loạt các loại vi-rút mới lây lan không phải bằng chương trình mà bằng các tệp tài liệu.

Thoạt nhìn, điều này có vẻ không thể - trên thực tế, vi-rút có thể ẩn náu ở đâu trong tài liệu văn bản Microsoft Word hoặc trong các ô bảng tính Microsoft Excel?

Tuy nhiên, trên thực tế, các tệp tài liệu Microsoft Office có thể chứa các chương trình nhỏ để xử lý các tài liệu này, được viết bằng ngôn ngữ lập trình Visual Basic for Application. Điều này không chỉ áp dụng cho các tài liệu Word và Excel mà còn áp dụng cho cơ sở dữ liệu Access và các tệp bản trình bày Power Point. Các chương trình như vậy được tạo bằng lệnh macro, đó là lý do tại sao vi-rút sống trong tài liệu văn phòng được gọi là lệnh macro.

Virus macro lây lan như thế nào?

Cùng với các tập tin tài liệu. Người dùng trao đổi tệp qua đĩa mềm, thư mục mạng trên máy chủ tệp mạng nội bộ của công ty, email và các kênh khác. Để lây nhiễm vi-rút macro vào máy tính của bạn, bạn chỉ cần mở tệp tài liệu trong ứng dụng văn phòng thích hợp - và công việc đã hoàn tất!

Ngày nay, virus macro rất phổ biến, phần lớn là do sự phổ biến của Microsoft Office. Chúng có thể gây ra tác hại không kém, và trong một số trường hợp thậm chí còn gây hại nhiều hơn cả vi-rút “thông thường”, lây nhiễm vào các tệp thực thi và các phần khởi động của đĩa và đĩa mềm. Theo chúng tôi, mối nguy hiểm lớn nhất của virus macro là chúng có thể thay đổi các tài liệu bị nhiễm mà không bị phát hiện trong một thời gian dài.

Virus gián điệp!

Phần mềm gián điệp là tai họa của thế kỷ này. Hàng triệu máy tính trên thế giới bị nhiễm các chương trình phần mềm gián điệp độc hại này và nhiều người không nhận ra điều đó.

Gián điệp không chỉ gây tổn hại đến tính bảo mật thông tin của bạn mà còn làm giảm đáng kể tốc độ máy tính của bạn. Khi bạn tải xuống một trong các gói phần mềm gián điệp, chương trình sẽ tự động được cài đặt trên máy tính của bạn bất kể mong muốn của bạn. Đôi khi, trong quá trình cài đặt, gián điệp yêu cầu bạn cài đặt phần mềm của nhà tài trợ. Khi được cài đặt, phần mềm gián điệp sẽ cố gắng tự cài đặt vào sổ đăng ký hệ thống trên máy tính của bạn và vẫn ở đó cho đến khi bạn xóa nó hoàn toàn khỏi đó.

Kẻ gián điệp, ngấu nghiến tiềm năng của máy tính, làm giảm hiệu suất của bộ xử lý và bộ nhớ trung tâm. Kết quả là PC của bạn chạy chậm lại hoặc thậm chí ngừng phản hồi hoàn toàn. Phần mềm gián điệp sẽ không tự biến mất mà chỉ gây ra tình trạng lag ngày càng nhiều hơn khi Phần mềm gián điệp tiếp tục thu thập thông tin từ máy tính của bạn. Có ba cách chính mà phần mềm gián điệp có thể phá hủy hệ thống của bạn:

1. Có những gián điệp liên tục theo dõi mọi giao dịch mua hàng của bạn. Nếu bạn sử dụng thẻ tín dụng của mình, bạn có thể sẽ bỏ lỡ cơ hội tài chính của mình; chương trình gián điệp sẽ tìm ra số thẻ tín dụng của bạn và cho bạn cơ hội sử dụng nó để mua hàng cho người khác. Bạn có thể không biết điều này cho đến khi bạn phát hiện ra rằng mình đang thiếu tiền.

2. Tin tặc (những kẻ đứng sau) sẽ có thể truy cập vào máy tính của bạn và thông tin về nó. Họ sẽ có thể tìm ra khóa nào bạn sử dụng trong thời gian thực, đột nhập vào máy tính của bạn, thay đổi cài đặt trình duyệt và cài đặt chương trình của họ mà không cần sự đồng ý của bạn. Ngoài ra, gián điệp còn có thể thu thập thông tin về địa chỉ email, mật khẩu và thậm chí cả số thẻ tín dụng. Tuy nhiên, vấn đề này có thể được giải quyết nhưng chỉ cần xem qua và nghiên cứu cẩn thận tất cả các chương trình loại bỏ phần mềm gián điệp hiện có và các đánh giá về chúng, vì một số trong số chúng có thể gây hại nhiều hơn là có lợi.

3. Phần mềm gián điệp có thể tìm thấy thông tin về địa chỉ email của bạn. Nếu điều này xảy ra, thì bạn sẽ phải đối mặt với nhiều vấn đề, một trong số đó là việc bạn sẽ tràn ngập những lá thư quảng cáo.

Ngay cả khi bạn là người dùng đơn giản, vẫn có một số điều bạn có thể dễ dàng thực hiện để tăng tốc độ máy tính của mình một cách nhanh chóng và đáng tin cậy. Phương pháp đầu tiên và dễ tiếp cận nhất mà bạn chắc chắn nên làm là chống phân mảnh ổ đĩa của mình. "Trình hướng dẫn chống phân mảnh" trên máy tính sẽ giúp bạn thực hiện điều đó. Bạn có thể muốn làm điều này một cách nhanh chóng, tuy nhiên, có thể sẽ mất nhiều thời gian. Quá trình không nên bị gián đoạn. Với công việc thường xuyên, lần kiểm tra tiếp theo sẽ mất ít thời gian hơn.

Cách thứ hai là cài đặt và sử dụng một chương trình chống phần mềm gián điệp tốt. Ví dụ: Spyware Doctor rất giỏi trong việc xử lý chúng.

Tiếp theo, bạn có thể lập trình trong trình duyệt để giảm thời gian lưu các trang đã truy cập, nếu bạn không cần, từ một tháng, theo mặc định, xuống còn 1-2 ngày hoặc xóa chúng ngay sau khi rời khỏi trang của trang.

Khi bạn tắt máy tính để bàn, tải trên RAM sẽ ít hơn. Và bạn sẽ không cảm nhận được sự khác biệt trong thiết kế và công việc.

Hãy chắc chắn rằng bạn có một chương trình chống vi-rút tốt và sử dụng nó thường xuyên. Nếu bạn loại bỏ vi-rút và ngăn chặn sự lây lan của chúng, thì máy tính của bạn sẽ tăng tốc đáng kể.

Khi bạn làm theo những quy tắc đơn giản này, bạn sẽ ngạc nhiên về tốc độ máy tính của mình nhanh hơn và dung lượng ổ đĩa bạn giải phóng được bao nhiêu.

Trong thực tế điều trị virus, đây không phải là một hoạt động quá phức tạp để trả cho các chuyên gia rất nhiều tiền cho công việc này. Bạn có thể bảo vệ máy tính của mình khỏi vi-rút hoặc trong trường hợp bị nhiễm trùng, hãy đưa máy tính của bạn về trạng thái “khỏe mạnh” bằng cách tự xóa các chương trình độc hại bằng cách chọn một chương trình chống vi-rút tốt và tuân theo một số quy tắc. Hãy lấy ít nhất hai trong số những điều quan trọng nhất: Thứ nhất, thường xuyên cập nhật cơ sở dữ liệu chống vi-rút. Thứ hai là quét toàn bộ máy tính của bạn để tìm vi-rút mỗi tháng một lần.

Vì vậy, với suy nghĩ này, tôi nghĩ rõ ràng rằng việc loại bỏ phần mềm độc hại được thực hiện bằng cách sử dụng phần mềm chống vi-rút. Chúng có thể được trả phí hoặc miễn phí; tôi đã nói về các phương pháp miễn phí trong bài viết sau:

Bây giờ chúng ta hãy nói về chương trình độc hại hay nói cách khác là vi-rút là gì?

Virus máy tính hoặc phần mềm độc hại là một chương trình có mục đích chính là gây hại cho máy tính, làm hỏng dữ liệu người dùng, đánh cắp hoặc xóa thông tin cá nhân, làm giảm hiệu suất máy tính, v.v.

Đến nay phần mềm độc hại có thể được phân thành nhiều loại dựa trên tác động của chúng lên máy tính.

  • Virus cổ điển.
  • Các chương trình Trojan.
  • Điệp viên.
  • Rootkit.
  • Phần mềm quảng cáo.

Chúng ta hãy xem xét kỹ hơn từng loại phần mềm độc hại.

Virus cổ điển là những chương trình độc hại có thể lây nhiễm vào máy tính, chẳng hạn như qua Internet. Và bản chất của những loại virus này là khả năng tự sinh sản. Những loại virus như vậy tự sao chép, sao chép các tập tin và thư mục nằm trên máy tính bị nhiễm. Họ làm điều này nhằm mục đích lây nhiễm dữ liệu để không thể khôi phục dữ liệu đó trong tương lai. Loại virus này cố gắng làm hỏng tất cả dữ liệu trên máy tính bằng cách chèn mã của nó vào tất cả các file, từ file hệ thống đến dữ liệu cá nhân của người dùng. Thông thường, cách cứu một máy tính bị nhiễm virus như vậy là .

ngựa thành Troy- Đây là loại virus nguy hiểm. Các chương trình Trojan được những kẻ tấn công viết cho một mục đích cụ thể, chẳng hạn như đánh cắp thông tin từ máy tính hoặc “đánh cắp” mật khẩu, v.v.

Trojan được chia thành hai phần. Phần đầu tiên, được gọi là Máy chủ, được kẻ tấn công lưu trữ và phần thứ hai, phần Máy khách, được phân phối đến tất cả các góc có thể có của Internet và những nơi khác. Nếu phần máy khách của chương trình độc hại xâm nhập vào máy tính thì PC này sẽ bị nhiễm virus và Trojan bắt đầu gửi nhiều thông tin khác nhau một cách ngụy trang đến kẻ tấn công trên máy chủ của anh ta.

Trojan cũng có thể thực hiện nhiều hoạt động khác nhau trên máy tính theo yêu cầu của máy chủ (kẻ tấn công), đánh cắp mật khẩu và lây nhiễm mã độc vào các tài liệu và tệp.

gián điệp, có phần giống với ngựa thành Troy. Nhưng chúng có điểm khác biệt chính là gián điệp không gây hại cho hệ thống và tệp người dùng. Phần mềm gián điệp lặng lẽ ngồi trên máy tính và theo dõi. Họ có thể đánh cắp mật khẩu hoặc thậm chí lưu hoàn toàn mọi thứ bạn gõ trên bàn phím.

Phần mềm gián điệp là loại vi-rút thông minh nhất và thậm chí có thể gửi tệp từ máy tính bị nhiễm. Gián điệp biết rất nhiều thông tin về PC bị nhiễm: hệ thống nào được cài đặt, phần mềm chống vi-rút bạn sử dụng, trình duyệt nào bạn sử dụng trên Internet, chương trình nào được cài đặt trên máy tính, v.v. Phần mềm gián điệp là một trong những phần mềm độc hại nguy hiểm nhất.

Rootkit Bản thân chúng không phải là virus. Nhưng rootkit là những chương trình có mục đích che giấu sự tồn tại của các loại virus khác trên máy tính. Ví dụ: máy tính bị nhiễm virus phần mềm gián điệp cùng lúc với rootkit. Và rootkit sẽ cố gắng ẩn phần mềm gián điệp khỏi hệ điều hành và phần mềm chống vi-rút của bạn. Theo đó, sự hiện diện của rootkit trên máy tính cũng không kém phần nguy hiểm, vì chúng có thể hoạt động khá tốt và che giấu hàng loạt vi-rút (phần mềm gián điệp, Trojan) khỏi con mắt của chương trình chống vi-rút của chúng tôi trong một thời gian dài!

Phần mềm quảng cáo là một loại phần mềm độc hại khác. Đây là một chương trình ít nguy hiểm hơn và bản chất của nó là hiển thị quảng cáo trên máy tính của bạn theo nhiều cách khác nhau ở nhiều nơi khác nhau. Phần mềm quảng cáo không gây ra bất kỳ tác hại nào, không lây nhiễm hoặc làm hỏng tập tin. Nhưng bạn cũng cần bảo vệ mình khỏi loại vi-rút này.

Đây là những loại phần mềm độc hại hiện hữu. Để bảo vệ máy tính của bạn khỏi virus, chúng ta cần một phần mềm diệt virus tốt. Tôi đã nói về điều đó trong một bài viết khác và bây giờ chúng ta hãy tiếp tục chủ đề mô tả virus và các chương trình bảo vệ cho máy tính của bạn.

Trước đây, virus không có mục đích cụ thể nào, chúng được viết ra cho vui và nhà phát triển cũng không đặt ra mục tiêu cụ thể. Bây giờ virus là những thuật toán phức tạp, bản chất của nó thường là đánh cắp tiền và dữ liệu. Trojan thường được thiết kế chỉ để đánh cắp mật khẩu và các dữ liệu quan trọng khác.

Nhân tiện, việc máy tính của bạn có bị virus tấn công hay không có thể được xác định bằng một số dấu hiệu nhất định:

  • Các chương trình không hoạt động chính xác hoặc ngừng hoạt động hoàn toàn.
  • Máy tính bắt đầu chậm lại và hoạt động chậm.
  • Một số tập tin bị hỏng và từ chối mở.

Rất thường xuyên những dấu hiệu như vậy có thể trở thành dấu hiệu nhiễm virus máy tính, nhưng may mắn thay không phải lúc nào cũng vậy.

Xin lưu ý rằng thông thường, một loại vi-rút cụ thể có thể lây nhiễm các loại tệp khác nhau. Vì vậy, ngay cả sau khi máy tính đã được cứu khỏi sự tấn công mạnh mẽ của virus, điều đúng đắn nhất cần làm là định dạng các phân vùng.

Các chương trình diệt virus sẽ giúp bạn bảo vệ mình khỏi virus, như tôi đã nói ở trên. Ngày nay, các chương trình chống vi-rút có chức năng đủ để đẩy lùi hầu hết các chương trình độc hại được phát tán trên Internet. Nhưng để tối đa phòng ngừa vi-rút Một vai trò quan trọng được thực hiện bởi chương trình chống vi-rút được lựa chọn và cấu hình phù hợp để có đầy đủ chức năng “chiến đấu”. Tôi khuyên bạn nên đọc bài viết về. Nhưng nếu bạn không có thời gian thì tôi sẽ mách bạn những chương trình diệt virus tốt nhất ngay tại đây. Hôm nay nó là:

  • Kaspersky
  • Avast
  • Dr.Web
  • NOD32

Tôi nghĩ có rất nhiều để lựa chọn.

Chúc may mắn và may mắn với việc bảo vệ chống virus của bạn.