ანტივირუსული დაცვა მავნე ანტივირუსული პროგრამებისგან. ანტივირუსული პროგრამების პრევენციის მეთოდები. ვირუსებისგან დაცვის მეთოდები

მეტა-კომპიუტერის მავნე პროგრამის ნარჩენებს შეუძლიათ მავნე კოდის შეტანა დაზარალებულ კომპიუტერში, რისთვისაც მათ სჭირდებათ არა მხოლოდ აიძულონ მომხმარებელი გაუშვას ინფექციის ფაილი, არამედ შეაღწიონ სისტემაში რაიმე სახის დაღვრას, არამედ წარსულში გაპარვა. დაყენებული ანტივირუსული რუსული ფილტრი. ამიტომ კრიმინალები პირდაპირ ებრძვიან ანტივირუსულ პროგრამებს. მათ მიერ გამოყენებული ტექნიკური მეთოდები კი მრავალფეროვანია, მაგრამ ყველაზე ხშირად ისინი მსგავსია.

შეფუთვა და კოდის დაშიფვრა.დღევანდელი კომპიუტერული ჭიებისა და ტროასების მნიშვნელოვანი ნაწილი (არა მეტი) შეფუთულია ან დაშიფრულია ამა თუ იმ გზით. უფრო მეტიც, ამ მიზნით სპეციალურად შექმნილია შეფუთვისა და დაშიფვრის საშუალებები. ასეთი პროგრამებისა და ტროას პროგრამების აღმოსაჩენად, ანტივირუსულ პროგრამებს დასჭირდებათ დეკომპრესიისა და გაშიფვრის ახალი მეთოდების დამატება, ან ხელმოწერები VP-ის კანზე, რაც ამცირებს გამოვლენის ძალას, რათა მომავალში ყველაფერი არ იყოს შესაძლებელი. შეცვლილი კოდის მტკიცებულება ჩნდება ანტივირუსული კომპანიის ხელში.

მუტაციის კოდი- ტროას კოდის განზავება "Smitty" ინსტრუქციებით. შედეგად, ტროას პროგრამის ფუნქციონირება შენარჩუნებულია, მაგრამ მისი "თანამედროვე გარეგნობა" მნიშვნელოვნად შეიცვალა. ეპიდემიები პერიოდულად აღმოიფხვრება, როდესაც კოდის მუტაცია ხდება რეალურ დროში - როდესაც კანი ინფიცირებულია ტროას პროგრამებით ინფიცირებული ვებსაიტიდან. სულ ეს არის, ვგულისხმობ, რომ ამ საიტის მნიშვნელოვანი ნაწილი იკარგება თქვენს კომპიუტერში ტროას პროგრამული ხოცვა-ჟლეტის ნიშნებით.

თქვენი ყოფნის მოზიდვა-ასე გქვია rootkit ტექნოლოგიები,როგორც წესი, ტროას პროგრამები გამარჯვებულია. ამ შემთხვევაში ხდება სისტემის ფუნქციების გადატვირთვა და ჩანაცვლება, რის შედეგადაც ფაილების ინფექციები არ ჩანს არც ოპერაციული სისტემის სტანდარტული საშუალებებით და არც ანტივირუსული პროგრამებით. ზოგჯერ არის რეესტრის გასაღებები, რომლებშიც რეგისტრირებულია ტროას პროგრამის ასლი და კომპიუტერის სხვა სისტემური სფეროები.

ანტივირუსული პროგრამებისა და სისტემების განახლება ანტივირუსული მონაცემთა ბაზების განახლებისთვის.ბევრი ტროას პროგრამა და ჭია ახორციელებს სპეციალურ მოქმედებებს ანტივირუსული პროგრამების წინააღმდეგ: მოძებნეთ ისინი აქტიური დანამატების სიაში და შეეცადეთ დაამაგროთ ისინი რობოტზე, „დაკითხოთ“ ანტივირუსული მონაცემთა ბაზები და დაბლოკოთ ამოღება. განახლებები და ა.შ. ანტივირუსული პროგრამები უნდა იყოს დაცული სხვადასხვა გზით: მონაცემთა ბაზების მთლიანობის მონიტორინგით, თქვენი პროცესების „გატაცებით“ ტროიანებიდან და ა.შ.

თქვენი კოდის დამატება ვებსაიტებზე.ტროას ფაილების შემცველი ვებსაიტების მისამართები მალე გახდება ხილული ანტივირუსული კომპანიებისთვის. ბუნებრივია, ასეთი გვერდები ექვემდებარება ანტივირუსული ანალიტიკოსების დიდ პატივისცემას: საიტის პერიოდულად ჩამოტვირთვის ნაცვლად, ტროას პროგრამების ახალი ვერსიები შედის ანტივირუსულ განახლებებში. ამის თავიდან ასაცილებლად ვებსაიტი მოდიფიცირებულია სპეციალური გზით: თუ ის ითხოვს ანტივირუსული კომპანიის მისამართს, მაშინ ტროას ნაცვლად ჩამოიტვირთება არატროას ფაილი.

მხრის შეტევა- ტროას პროგრამების დიდი რაოდენობით ახალი ვერსიების შექმნა და გაფართოება ინტერნეტში მოკლე დროში. შედეგად, ანტივირუსული კომპანიები აღმოჩნდებიან „დატბორილი“ ახალი მავნე პროგრამით, რომლის ანალიზს ერთი საათი სჭირდება, რაც სუსტ კოდს დამატებით შანსს აძლევს კომპიუტერში წარმატებით შეღწევას.

ამ და სხვა მეთოდებს ჰაკერები იყენებენ ანტივირუსული პროგრამების წინააღმდეგ. მათი აქტივობის ზრდასთან ერთად, მდინარე იზრდება და ახლა შეგვიძლია ვისაუბროთ მიმდინარე „ტექნოლოგიურ რბოლაზე“, რომელიც გაჩაღდა ანტივირუსულ და ვირუსულ ინდუსტრიებს შორის. ამავდროულად, იზრდება არა მხოლოდ ცალკეული ჰაკერების და მავნე ჯგუფების რაოდენობა, არამედ დანარჩენის პროფესიონალიზმი. ეს ყველაფერი ნიშნავს უფრო მეტ სირთულეს და რობოტების გამოყენებას, რომლებიც აუცილებელია ანტივირუსული კომპანიებისთვის, რათა განავითარონ საკმარისი დონის დაცვის შესაძლებლობები.

სიტყვა "ბოტი" არის მოკლე სიტყვა "რობოტი". ბოტი არის კოდის ნაწილი, რომელიც უზრუნველყოფს ფუნქციონირებას მისი მფლობელისთვის, რომელიც არის ამ კოდის ავტორი. ბოტი (ბოტი) არის სხვადასხვა სახის მავნე პროგრამა, რომელიც დაინსტალირებულია ათასობით კომპიუტერზე. კომპიუტერი, რომელზეც ბოტია დაინსტალირებული, ეწოდება ზომბები(ზომბი). ბოტი უარყოფს თავისი ოსტატის ბრძანებებს და აღმოფხვრის ინფექციებს კომპიუტერზე და კლავს მათ. ასეთი ბრძანებები შეიძლება გამოყენებულ იქნას სპამის, ვირუსების ან თავდასხმების განსახორციელებლად. თავდამსხმელმა სჯობს თავი აარიდოს მსგავს ქმედებებს vikoristan-ის ბოტებისგან და არა მისი კომპიუტერიდან, თუ არ დაუშვებს მისი იდენტიფიკაციის გამხელას.

მავნე პროგრამით დათრგუნული ზომბი კომპიუტერების მთლიანობა, რომელზედაც დაყენებულია ბოტები, ე.წ. ბოტნეტები (ბოტნეტი). ბოტნეტის შესაქმნელად, ჰაკერები არღვევენ ათასობით სისტემას ძალიან კორუმპირებული კოდის გამოყენებით სხვადასხვა მეთოდის გამოყენებით: ელ.ფოსტის სიებში დანართების ნახვით, გატეხილი ვებსაიტების მეშვეობით, გადმოწერილი ვებსაიტების გამოწერის გაუქმებით, ელფოსტის მისამართებში დანართებით. ახალი ფოსტა და ა.შ. კომპიუტერის მომხმარებლის კომპიუტერზე წარმატებით დაინსტალირების შემდეგ, მავნე კოდი აგზავნის მავნე შეტყობინებებს იმის შესახებ, რომ სისტემა დაზიანებულია და ახლა ხელმისაწვდომია მავნე ფაქტორებისთვის, რომლებსაც შეუძლიათ ისარგებლონ მათით საკუთარი გულისთვის. მაგალითად, შეგიძლიათ გამოიყენოთ ბოტის სერვისების შექმნა ინტენსიური სამუშაოს შესასრულებლად ან მათი დაქირავება სპამერებზე. იმის გათვალისწინებით, რომ კომპიუტერების უმეტესობა, რომლებიც შეტანილია botmerage-ში, არის სახლის კომპიუტერები, ტრეიდერებს არაფერში ეჭვი არ ეპარებათ.

ამ ბოტნეტების მთავრობა მართავს სისტემებს, რომლებიც შედიან მათში დისტანციურად, ჩვეულებრივ, დამატებითი IRC (ინტერნეტ რელე ჩატი) პროტოკოლის გამოყენებით.

ძირითადი მალსახმობები შექმნისა და vikoristan-ის ბოტნეტების ჩამოთვლილია ქვემოთ:

1. ჰაკერი იყენებს სხვადასხვა მეთოდს პოტენციურ მსხვერპლთათვის მავნე კოდის გასაგზავნად, რომელიც შეიცავს უსაფრთხო ბოტის პროგრამას.
2. მსხვერპლის სისტემაზე წარმატებული ინსტალაციის შემდეგ, ბოტი ამყარებს კონტაქტს სხვა ბოტნეტის სერვერთან, აკავშირებს მას IRC ან სპეციალური ვებ სერვერის მეშვეობით, რაც მის კოდშია მითითებული. ამის შემდეგ აქტიური სერვერი აკონტროლებს ახალ ბოტს.
3. სპამერი უხდის ჰაკერს მისი ბოტნეტის სისტემების კორუფციისთვის, ჰაკერი აგზავნის სპეციალურ ბრძანებებს მასპინძელ სერვერზე, ხოლო მასპინძელი სერვერი, თავის მხრივ, აძლევს ბრძანებას ყველა ინფიცირებულ სისტემას, შევიდნენ ბოტნეტში და გაათავისუფლონ სპამი.

სპამერები იყენებენ ამ მეთოდს მათი კონტაქტების წვდომის საგრძნობლად გასაუმჯობესებლად, მათ მიერ დაყენებული სპამის ფილტრების გვერდის ავლით, რათა ასეთი შეტყობინებები გაიგზავნება არაერთხელ ეს არის მისამართები, რომლებიც სავარაუდოდ დაიბლოკება ან დაემატება ყველა „შავ სიას“ და ბოროტი კომპიუტერების ავტორიტეტების რეალური მისამართების უპიროვნებისგან.

ბოტნეტის შესაქმნელად, მისი მომავალი მთავრობა ან თავად ააშენებს ყველაფერს, ან გადაუხდის ჰაკერებს, რათა განავითარონ და გააფართოვონ იაფი პროგრამები, რათა დააინფიცირონ სისტემები, რომლებიც გახდებიან მისი ბოტნეტის ნაწილი. შემდეგ კი, ბოლომდე, ბოტნეტებს შექმნიან და გადაიხდიან მათ, ვისაც სურს გითხრათ მათი ახალი პროდუქტების შესახებ, ისევე როგორც მათ, ვინც უნდა განახორციელოს თავდასხმა კონკურენტებზე, შეიძინოს კორპორატიული კლიენტების მონაცემები ან პაროლები და მრავალი სხვა. .

ტრადიციული ანტივირუსული პროგრამა უზრუნველყოფს ვირუსის ხელმოწერებს მავნე კოდის გამოსავლენად. ხელმოწერები არის ანტივირუსული პროგრამული უზრუნველყოფის გამყიდველის მიერ შექმნილი მავნე კოდის „თითის ანაბეჭდი“. ხელმოწერა შედგება თავად ვირუსისგან აღებული კოდის ფრაგმენტებისგან. ანტივირუსული პროგრამა სკანირებს ფაილებს, ელ.წერილს და სხვა მონაცემებს, რომლებიც გადის სიმღერებში და ადარებს მათ ვირუსის ხელმოწერების მონაცემთა ბაზას. რაიმე წარუმატებლობის აღმოჩენის შემთხვევაში, ანტივირუსული პროგრამა განაგრძობს შემდეგ ქმედებებს, როგორიცაა ინფიცირებული ფაილის კარანტინში გაგზავნა, ფაილის „გაფუჭების“ მცდელობა (ვირუსის ამოღება), მომხმარებლისთვის წინასწარ ფანჯრის ჩვენება და/ ან ჩაწერა podії v.

მავნე კოდის გამოვლენა ხელმოწერების საფუძველზე - ეს არის ეფექტური გზა გაუმართავი პროგრამული უზრუნველყოფის იდენტიფიცირებისთვის, მაგრამ ასევე ტოვებს პრობლემებს ახალ საფრთხეებზე რეაგირებასთან დაკავშირებით. ვირუსის პირველი აღმოჩენის შემდეგ, ანტივირუსის გამყიდველი პასუხისმგებელია ვირუსის გამოვლენაზე, ახალი ხელმოწერების შემუშავებასა და ტესტირებაზე, ხელმოწერების განახლებული მონაცემთა ბაზის გამოშვებაზე და ყველა სხვა თანამშრომელი პასუხისმგებელია მის განახლებაზე. თუ ცუდი კოდი უბრალოდ უგზავნის თქვენს ფოტოებს ყველა თქვენს მეგობარს, ეს გამოსწორება არც ისე კრიტიკულია. თუმცა, რადგან ცუდი პროგრამა მსგავსია Slammer-ის შეცდომის, ასეთი პრობლემის ბლოკირება შეიძლება დამღუპველი იყოს.

ᲨᲔᲜᲘᲨᲕᲜᲐ. Slammer ჭია 2003 წელს გამოჩნდა. ჩვენ შევიმუშავეთ ფუნქცია Microsoft SQL Server 2000 DBMS-ში, რომელიც საშუალებას გაძლევთ გაუშვათ ხედვა სერვისში. ამჟამინდელი შეფასებით, სლემერმა 1 მილიარდ დოლარზე მეტი შემოსავალი დააგროვა.

ყოველდღე იქმნება უამრავი ახალი, საზიზღარი პროგრამები და მნიშვნელოვანია ანტივირუსული პროგრამული უზრუნველყოფის პროვაიდერებისთვის სიფხიზლის შენარჩუნება. ვირუსის ხელმოწერის ტექნოლოგია შესაძლებელს ხდის აღმოაჩინოს უკვე აღმოჩენილი ვირუსები და რომლებისთვისაც შეიქმნა ხელმოწერა. იმის გამო, რომ ვირუსების ავტორები უკვე თავისუფალია და ბევრ ვირუსს შეუძლია შეცვალოს მათი კოდი, მნიშვნელოვანია, რომ ანტივირუსული პროგრამა იცავს მცირე და სხვა მექანიზმებს, რომლებიც საშუალებას იძლევა აღმოაჩინონ პრობლემები ექსკლუზიური კოდი.

კიდევ ერთი მეთოდი, რომელიც შეიძლება გამოყენებულ იქნას ყველა ანტივირუსული პროგრამული პროდუქტის გამოსავლენად, არის მავნე კოდის გამოვლენა ევრისტიკული ანალიზი (ევრისტიკული გამოვლენა). ეს მეთოდი აანალიზებს უფასო კოდის ფუძემდებლურ სტრუქტურას, აფასებს კოდის მიერ გამოყენებულ ინსტრუქციებსა და ალგორითმებს და განსაზღვრავს ცუდი პროგრამის მიერ გამოყენებული მონაცემების ტიპებს. ამრიგად, ის აგროვებს უამრავ ინფორმაციას კოდის ფრაგმენტის შესახებ და აფასებს იმის ალბათობას, რომ მას აქვს მავნე ხასიათი. ვიკორისტოვა არის „ეჭვის განმკურნებელი“, რომელიც იზრდება მსოფლიოში იმის გამო, რომ ანტივირუსული პროგრამა ახალ პოტენციურად საშიშ (საეჭვო) მთავრობაშია ნაპოვნი. როდესაც მითითებული ლიმიტის მნიშვნელობა მიიღწევა, კოდი ითვლება სახიფათო და ანტივირუსული პროგრამა იწყებს სხვადასხვა დამცავ მექანიზმებს. ეს საშუალებას აძლევს ანტივირუსულ პროგრამას ამოიცნოს უცნობი მავნე პროგრამები და არ დაეყრდნოს მხოლოდ ხელმოწერებს.

მოდით შევხედოთ ანალოგიას. ივანე პოლიციელია, ის მუშაობს იმისთვის, რომ საზიზღარი ბიჭები გააბოროტოს და ჩაკეტოს ისინი. როგორც ივანე აპირებს ხელმოწერის მეთოდის გამოყენებას, ის ფოტოების დასტას ათანაბრებს იმ ხალხის კანს, რომელსაც ქუჩაში ხედავს. თუ გაქცევთ, შეგიძლიათ სწრაფად დაიჭიროთ საზიზღარი ბიჭი და ჩასვათ თქვენს საპატრულო მანქანაში. თუ ჩვენ ვაპირებთ გამოვიყენოთ ევრისტიკული მეთოდი, უნდა ვიყოთ საეჭვო ქმედებების დაკვირვება. მაგალითად, თუ ხედავთ ადამიანს, რომელიც ბანკის წინ დგას, ის აფასებს იმ ფაქტის სანდოობას, რომ ის არის ყაჩაღი და არა უბრალოდ გაყინული ბიჭი, რომელიც ფულს ითხოვს ბანკის გამყიდველისგან.

ᲨᲔᲜᲘᲨᲕᲜᲐ. დისკის გარეშე სამუშაო სადგურები ასევე მგრძნობიარეა ვირუსების მიმართ, მიუხედავად იმისა, აქვთ მყარი დისკი თუ სრულფასოვანი ოპერაციული სისტემა. სუნი შეიძლება დაინფიცირდეს ვირუსებით, რომლებიც მიმაგრებულია და ცოცხლობენ მეხსიერებაში. ასეთი სისტემების ხელახლა ჩართვა შესაძლებელია დისტანციურად (დისტანციური ხელახალი ჩართვა) მეხსიერების გასასუფთავებლად და მისი გადაქცევის კუბ წისქვილში, რათა ვირუსმა მცირე ხნით იცოცხლოს ასეთ სისტემაში.

ზოგიერთი ანტივირუსული პროდუქტი ქმნის პროგრამულ ნაწილს, რომელსაც ეწოდება ვირტუალური მანქანა ან ქვიშის ყუთი და საშუალებას აძლევს ზოგიერთ საეჭვო კოდს შევიდეს დაცულ გარემოში. ეს აძლევს ანტივირუსულ პროგრამას კოდის მოქმედებაში გაშვების შესაძლებლობას, რაც გაცილებით მეტ ინფორმაციას იძლევა გადაწყვეტილების მისაღებად, არ აქვს მნიშვნელობა რა.

ᲨᲔᲜᲘᲨᲕᲜᲐ. ვირტუალურ მანქანას ან ქვიშის ყუთს ზოგჯერ უწოდებენ ემულაციის ბუფერი(ემულაციის ბუფერი). თუმცა, თუ მეხსიერების სეგმენტი მოიპარეს, თუ კოდი სავარაუდოდ უსარგებლო აღმოჩნდება, სისტემა კვლავ უვნებელია.

კოდის ნაწილების შესახებ ინფორმაციის ანალიზს ე.წ სტატიკური ანალიზი , ეს ნიშნავს კოდის გაშვებას ვირტუალურ მანქანაზე ე.წ დინამიური ანალიზი . დანაშაულები და მეთოდები მხედველობაში მიიღება გამოვლენის უახლოესი მეთოდებით.

ვაქცინაცია.კიდევ ერთი მიდგომა, რომელსაც იყენებდნენ ანტივირუსული პროგრამები, ე.წ ვაქცინაცია(იმუნიზაცია). ამ ფუნქციის მქონე პროდუქტებმა შეიტანეს ცვლილებები ფაილებსა და დისკის ზონებში ისე, რომ ისინი ისე გამოჩნდნენ, თითქოს უკვე ინფიცირებული იყვნენ. ამ შემთხვევაში, ვირუსი შეიძლება აღმოჩნდეს, რომ ფაილი (დისკი) უკვე ინფიცირებულია და არ ახორციელებს საჭირო დამატებით ცვლილებებს, რომლებიც გადავიდა მიმდინარე ფაილში.

ვაქცინაციის პროგრამა, როგორც წესი, მიმართულია კონკრეტულ ვირუსზე, მათგან კანის ფრაგმენტები დიფერენციალურად მოწმდება ინფექციის ფაქტის შესამოწმებლად და ფაილში (დისკზე) სხვადასხვა მონაცემების (ხელმოწერების) მოსაძებნად. თუმცა, ვირუსების და სხვა სუსტი პროგრამული უზრუნველყოფის რაოდენობა სტაბილურად იზრდება, ისევე როგორც ფაილების რაოდენობა, რომლებიც დაცვას საჭიროებს, ამიტომ ეს მიდგომა პრაქტიკაში უმეტეს შემთხვევაში არ ჩერდება.

ამ დროისთვის, მიუხედავად ყველა ამ დახვეწილი და ეფექტური მიდგომებისა, არ არსებობს ანტივირუსული მეთოდების ეფექტურობის 100-ასასასასასი მილიონი გარანტია, თუმცა ვირუსის მწერლები კიდევ უფრო ცბიერები არიან. ეს არის მუდმივი თამაში ნაწლავებისა და დათვების, როგორც ეს არის დღეს. ანტივირუსული ინდუსტრია პოულობს ახალ გზას მავნე პროგრამების აღმოსაჩენად და ვირუსების დამწერები ახლა პოულობენ გზას ამ ახალი მეთოდის გადასაჭრელად. ეს ნიშნავს, რომ ანტივირუსების გამყიდველები თანდათან ზრდიან თავიანთი პროდუქტების ინტელექტს და მომხმარებლები იძულებულნი არიან სწრაფად შეიძინონ მათი ახალი ვერსიები.

ანტივირუსული პროგრამული უზრუნველყოფის ევოლუციის შემდეგი ეტაპი ეწოდება ქცევის ბლოკატორები (ქცევის ბლოკატორი). ანტივირუსული პროგრამა, რომელიც იყენებს ქცევაზე დაფუძნებულ ბლოკირებას, ეფექტურად აძლევს საშუალებას საეჭვო კოდს შევიდეს დაუცველ ოპერაციულ სისტემაში და გადალახოს მისი ურთიერთქმედება ოპერაციულ სისტემასთან, ანადგურებს მის მთლიანობას საეჭვო ქმედებებზე. Zokrema, ანტივირუსული პროგრამა, ყურადღება მიაქციეთ შემდეგი ტიპის მოქმედებებს:

• ფაილებში ჩანაწერი ავტომატურად შეიტანება სისტემის დაწყებისას, ან სისტემის რეესტრის ავტომატური გაშვების განყოფილებაში
• ფაილების ნახვა, წაშლა ან შეცვლა
• ელ.ფოსტის შეტყობინებებში სკრიპტების ჩათვლით თანდართული კოდის გასაგზავნად
• კავშირი პერიფერიულ რესურსებთან ან ფარულ საქაღალდეებთან
• შეფუთული კოდის ლოგიკის შეცვლა
• მაკროების და სკრიპტების შექმნა ან შეცვლა
• დააფორმატეთ მყარი დისკი ან ჩაწერეთ პირველად სექტორში

თუ ანტივირუსული პროგრამა აღმოაჩენს რაიმე პოტენციურად სახიფათო აქტივობას, მას შეუძლია შეწყვიტოს ასეთი პროგრამა და შეატყობინოს პრობლემა ჩართულ პირებს. ქცევის ბლოკატორების ახალი თაობა რეალურად აანალიზებს ასეთი ქმედებების წარმოშობის თანმიმდევრობას, პირველ რიგში იმის დასადგენად, რომ სისტემა ინფიცირებულია (პირველი თაობის ქცევის ბლოკატორები შექმნილია უბრალოდ მოქმედების შესაჩერებლად, რამაც გამოიწვია დიდი მხოლოდ გულისთვის. რძის პროდუქტები). მიმდინარე ანტივირუსულ პროგრამას შეუძლია ამოიცნოს კოდის დაუცველი ნაწილები და ხელი შეუშალოს მათ სხვა მიმდინარე პროცესებთან კომუნიკაციაში. სუნიც შეიძლება გამოჩნდეს. ასეთი ანტივირუსული პროგრამები საშუალებას გაძლევთ "გამორთოთ" სისტემა იმ წერტილამდე, სადაც იყო ინფექციამდე, "წაშალოთ" ყველა ცვლილება და აღმოფხვრათ მავნე კოდი.

როგორც ჩანს, ქცევის ბლოკატორებს შეუძლიათ მთლიანად გადაჭრას ცუდი კოდთან დაკავშირებული ყველა პრობლემა, მაგრამ მათ აქვთ ერთი ნაკლი, რომელიც მოითხოვს ცუდი კოდის ასეთ მონიტორინგს რეალურ დროში, წინააღმდეგ შემთხვევაში, სამწუხაროდ, სისტემა შეიძლება კვლავ იყოს ინფიცირებული. უფრო მეტიც, უწყვეტი მონიტორინგი მოიხმარს სისტემის რესურსების დიდ რაოდენობას...

ᲨᲔᲜᲘᲨᲕᲜᲐ. ევრისტიკული ანალიზი და ქცევაზე დაფუძნებული დაბლოკვა გამოიყენება პროაქტიული მეთოდებით, რომლებსაც შეუძლიათ ახალი მავნე პროგრამების იდენტიფიცირება, ზოგიერთს უწოდებენ "ნულოვანი დღის" შეტევებს. მავნე კოდის ხელმოწერებზე დაფუძნებული გამოვლენა ვერ აღმოაჩენს ახალ მავნე პროგრამებს.

ანტივირუსული პროგრამების უმეტესობა იყენებს ყველა მათ ტექნოლოგიას მაქსიმალური დაცვის უზრუნველსაყოფად. გამოსავალი შექმნილია უსარგებლო პროგრამული უზრუნველყოფის წინააღმდეგ საპირისპიროდ, როგორც ნაჩვენებია სურათზე 9-20.

მალიუნოკი 9-20.ანტივირუსული პროგრამული უზრუნველყოფის გამყიდველები იყენებენ სხვადასხვა მეთოდს მავნე კოდის გამოსავლენად.

ჩვენ ყველას უკვე დავიღალეთ ელ.ფოსტის შეტყობინებების მიღებისგან, რომლებიც გვეუბნებიან, რომ ვიყიდოთ ის, რაც აღარ არის საჭირო. ამ ფოთლებს ე.წ სპამი (სპამი) - არ არის აუცილებელი შეტყობინება ელექტრონული ფოსტის შესახებ. სპამი არა მხოლოდ სარგებელს მოაქვს მათი უფლებების მიმღებებს, არამედ ამცირებს ქსელის გამტარუნარიანობას და ასევე შეიძლება იყოს უსარგებლო პროგრამების გაფართოების წყარო. ბევრი vikory კომპანია აყენებს სპამის ფილტრებს მათ ფოსტის სერვერებზე და ვიკორისტებს შეუძლიათ დააყენონ სპამის ფილტრაციის წესები თავიანთ ფოსტის კლიენტებში. სპამერები, ისევე როგორც ვირუსების დამწერები, მუდმივად ეძებენ ახალ და ჭკვიან გზებს სპამის ფილტრების გვერდის ავლით.

სპამის ეფექტური გამოვლენა თანამედროვე მეცნიერებად იქცა. ერთ-ერთ პოპულარულ მეთოდს ე.წ ბაიესის ფილტრაცია (ბაიესის ფილტრაცია). სამწუხაროა, რომ ბ-ნმა თომას ბეიესმა (მათემატიკოსმა) შეიმუშავა ეფექტური გზა მსგავსი მიდგომის მართებულობის გადაცემის მოწინავე მათემატიკაში. ბეიზის თეორემა საშუალებას გვაძლევს განვსაზღვროთ რა გახდა ჰიპოთეზის სიზუსტე არაპირდაპირი მტკიცებულებების (მონაცემების) არსებობისას, რომელიც შეიძლება იყოს არაზუსტი. კონცეპტუალურად, არც ისე მნიშვნელოვანია ამის გაგება. თუ თავი მყარ კედელს დაარტყამთ და რამდენჯერმე დაეცით კანზე, შეგიძლიათ შექმნათ ახალი, რომლის შემდგომი მცდელობაც იგივე მტკივნეულ შედეგს გამოიღებს. კიდევ უფრო უარესია, როდესაც ეს ლოგიკა ჩერდება ქმედებებამდე, რომელიც კიდევ ბევრ ცვლილებას მოიცავს. მაგალითად, როგორ მუშაობს სპამის ფილტრი, რომელიც არ გიშვებთ ვიაგრას შესყიდვის შეთავაზებით გვერდებზე, მაგრამ ხელს არ უშლის თქვენი მეგობრის ფოსტის მიწოდებას, რომელიც უკვე იყენებს ამ პრეპარატს და მოგწერთ ინფორმაციას. მისი ძალისა და სხეულზე შემოდინების შესახებ? Bayesian ფილტრი ახორციელებს სტატისტიკურ მოდელირებას იმ მონაცემებზე, რომლებიც აყალიბებენ ელ.ფოსტის შეტყობინებებს. ამ სიტყვების ზემოთ არის მათემატიკური ფორმულები, რომლებიც საშუალებას გვაძლევს გავიგოთ მათი მდგომარეობა სათითაოდ მთელ მსოფლიოში. Bayes ფილტრი ახორციელებს კანის სიტყვის სიხშირის ანალიზს და შემდეგ აფასებს შეტყობინებებს მთლიანობაში, რათა დადგინდეს არის თუ არა ისინი სპამი.

ასეთი ფილტრი არა მხოლოდ ეძებს სიტყვებს „ვიაგრა“, „სექსი“ და ა.შ., არამედ უყურებს რამდენად ხშირად იძებნება ეს სიტყვები და რა თანმიმდევრობით, რათა დადგინდეს, რომელია მოხსენებული, როგორც სპამი. სამწუხაროდ, სპამერებმა იციან როგორ მართონ ასეთი ფილტრები და მანიპულირებენ სიტყვებით და ფურცლის ტექსტით ზედიზედ სპამის ფილტრის მოტყუების მიზნით. გარდა ამისა, შეგიძლიათ სპამის შეტყობინებების აღმოფხვრა შეტყობინებებით ან სიტყვებით, რომლებიც შეიცავს სიმბოლოებს ასოების ნაცვლად. სპამერები უკვე შეპყრობილნი არიან თქვენი შეტყობინებების მოშორებით, რადგან მათ სურთ მათზე ბევრი ფულის გამომუშავება.

კომპანიების დაცვა სხვადასხვა მავნე პროგრამების გრძელი სიისგან მოითხოვს უფრო მეტს, ვიდრე უბრალოდ ანტივირუსული უსაფრთხოების პროგრამული უზრუნველყოფა. როგორც სხვა კომპონენტების შემთხვევაში, აუცილებელია დამატებითი ადმინისტრაციული, ფიზიკური და ტექნიკური საშუალებების და მახასიათებლების დანერგვა და შენარჩუნება.

კომპანია დამნაშავეა ანტივირუსული პოლიტიკის შენარჩუნებაში, ან ანტივირუსული დაცვის კვება დამნაშავეა კორუმპირებულობაში. დამნაშავეები იყოფა ანტივირუსული და ანტი-სპივერ პროგრამების ტიპებად, რომლებიც საჭიროა კომპანიის წარმატებისთვის, ასევე მათი კონფიგურაციის ძირითად პარამეტრებად.

ინფორმაცია ვირუსის შეტევების, ანტივირუსული დაცვის ტექნიკის გამოყენების შესახებ და ასევე პროგრამაში გადაცემაზე პასუხისმგებელი მავნე ქცევის გამოვლენის შესახებ. ყველა ადამიანი დამნაშავეა იმაში, რომ იცის, რომ ის არის დამნაშავე იმაში, რომ კომპიუტერში ვირუსი აღმოჩენილია და ზიანი მიაყენა. პასუხისმგებლობის სტანდარტი განიხილავს თავისუფალ კოდთან დაკავშირებულ ყველა იმ ნივთს, რომელთანაც კლიენტს უწევს საქმე, და შეიძლება დადგინდეს, რა უნდა გააკეთოს მომხმარებელმა და როგორ დაიცვას თავი. ზოკრემა, სტანდარტი დამნაშავეა საჭმელზე შურისძიებაში:

• კანის სამუშაო სადგურს, სერვერს, კომუნიკატორს, სმარტფონს შეიძლება ჰქონდეს ანტივირუსული პროგრამა დაყენებული.
• ამ მოწყობილობებისთვის აუცილებელია ანტივირუსული ხელმოწერების ავტომატურად განახლების მეთოდის დანერგვა, რაც განპირობებულია კანის მოწყობილობაზე ჩართვითა და კორექტირებით.
• მომხმარებელს არ უნდა ჩართოს თავისი ანტივირუსული პროგრამა.
• ვირუსის მოცილების პროცესის შემდგომი განვითარებისა და დაგეგმვის პასუხისმგებლობა შეიძლება იყოს საკონტაქტო პირის იდენტიფიცირება და დანიშვნა გაუმართავი კოდის გამოვლენისთვის.
• ყველა გარე დისკი (USB დისკი და ა.შ.) ავტომატურად დასკანირდება.
• თქვენი პასუხისმგებლობაა თქვენი სარეზერვო ფაილების სკანირება.
• საჭიროა ანტივირუსული პოლიტიკისა და პროცედურების საფუძვლიანი მიმოხილვა.
• თქვენს ანტივირუსულ პროგრამას შეუძლია უზრუნველყოს საშიში ვირუსებისგან დაცვა.
• ანტივირუსული სკანირება შეიძლება გამოყენებულ იქნას პირდაპირ კარიბჭეზე და კანის მოწყობილობაზე.
• ანტივირუსული სკანირება ავტომატურად უნდა შემოწმდეს განლაგების უკან. არ არის საჭირო ფულის გადახდა მათთვის, ვინც დაიწყებს სკანირებას ხელით.
• კრიტიკული სისტემები უნდა იყოს ფიზიკურად დაცული ისე, რომ შეუძლებელი იყოს მათზე უსარგებლო პროგრამული უზრუნველყოფის ლოკალური ინსტალაცია.

ცუდი პროგრამული უზრუნველყოფის ნარჩენებმა შეიძლება შექმნას მილიონობით დოლარის ნარჩენები (ოპერაციული ხარჯების და დაკარგული პროდუქტიულობის თვალსაზრისით), და ბევრი კომპანია აყენებს ანტივირუსულ გადაწყვეტილებებს ყველა შესასვლელ პუნქტში. ანტივირუსული სკანერი შეიძლება იყოს ინტეგრირებული ფოსტის სერვერის უსაფრთხოების პროგრამულ უზრუნველყოფაში, ან. ასეთი ანტივირუსული სკანერი ამოწმებს ყველა შემომავალ ტრაფიკს ახალი მავნე კოდის არსებობისთვის, რათა აღმოაჩინოს და აღმოფხვრას იგი შიდა ქსელში დაკარგვამდე. პროდუქტებს, რომლებიც ახორციელებენ ამ ფუნქციას, შეუძლიათ ტრაფიკის სკანირება SMTP, HTTP, FTP და, შესაძლოა, სხვა პროტოკოლებიდან. ასევე მნიშვნელოვანია გვესმოდეს, რომ ასეთი პროდუქტი განკუთვნილია მხოლოდ ერთი ან ორი პროტოკოლისთვის და არა ყველაფრისთვის, რაც მოიცავს ტრაფიკს. ეს არის ერთ-ერთი მიზეზი, რის გამოც ანტივირუსული უსაფრთხოების პროგრამა შეიძლება დაინსტალირდეს კანის სერვერსა და სამუშაო სადგურზე.

რუსეთის ფედერაციის სისხლის სამართლის კოდექსის 273-ე დებულება აქვს ფასდაკლებით პროგრამებიგასაგებია, რომ EOM-ის პროგრამებმა ან სხვა პროგრამებში ცვლილებებმა „სავარაუდოდ გამოიწვიოს ინფორმაციის არაავტორიზებული შემცირება, დაბლოკვა, მოდიფიკაცია ან კოპირება, EOM რობოტების, EOM სისტემების ან მათი ზომების შეფერხება“.

Microsoft Corporation განსაზღვრავს ტერმინს მავნე პროგრამას შემდეგნაირად: „მავნე პროგრამა არის მოკლედ მავნე პროგრამული უზრუნველყოფისთვის, რომელიც გამოიყენება როგორც პოპულარული ტერმინი ნებისმიერი სახის პროგრამული უზრუნველყოფისთვის, რომელიც სპეციალურად შექმნილია გარემომცველი კომპიუტერისთვის ზიანის მიყენებისთვის.“ yuter, სერვერი ან კომპიუტერი „ინტერნეტი ბარიერი დამოუკიდებელია თუ არა ეს ვირუსი, spyware პროგრამა და ა.შ.

Skoda, რომელიც გამოიყენება მსგავსი პროგრამული უზრუნველყოფის დაცვისთვის, შეიძლება დაექვემდებაროს ჯარიმას:

• პროგრამული უზრუნველყოფისა და აპარატურის უსაფრთხოება თავს დაესხმება კომპიუტერულ თავდამსხმელს (ღონისძიება);
• დანიმი კორისტუვაჩა კომ'იუტერა;
• თავად კომპიუტერი (ირიბი);
• სხვა კომპიუტერების მომხმარებლებისთვის (ირიბად).

კომპიუტერული სისტემების მფლობელების და (ან) მფლობელების სპეციფიკურმა დაზიანებამ შეიძლება გამოიწვიოს შემდეგი:

• ღირებული ინფორმაციის (მათ შორის ფინანსური) ნაკადი და (ან) ნარჩენები;
• სისტემაში დაინსტალირებული პროგრამული უზრუნველყოფის რუტინული ქცევა;
• შეყვანის და (ან) გამომავალი ტრაფიკის მკვეთრი ზრდა;
• გაუმჯობესებული ან უფრო მოწინავე კომპიუტერული მონიტორინგი;
• სამუშაო საათების გატარება ორგანიზაციაში;
• ქურდების წვდომა კორპორატიული კომპიუტერული ქსელის რესურსებზე;
• რიზიკი შაჰრაიზმის მსხვერპლი გახდა.

თქვენ შეგიძლიათ იცოდეთ არასასურველი პროგრამების ნიშნები:

• კომპიუტერულ სისტემაში თქვენი ყოფნის რეგისტრაცია;
• თვითგამრავლების განხორციელება, თქვენი კოდის სხვა პროგრამებთან ასოცირება, თქვენი კოდის გადატანა კომპიუტერის მეხსიერების ზონაში;
• კომპიუტერის RAM-ში სხვა პროგრამების კოდში ჩარევა;
• მონაცემების შენახვა სხვა პროცესების ოპერატიული მეხსიერებიდან კომპიუტერის მეხსიერების სხვა სფეროებში;
• ნდობა, დაბლოკვა და ჩანაცვლება ინახება ან გადაცემულ მონაცემებში, რომლებიც ამოღებულია სხვა პროგრამების მუშაობის შედეგად ან უკვე განთავსებულია კომპიუტერის გარე მეხსიერებაში;
• მომხმარებლისთვის არასწორი ინფორმაცია აქტივობების შესახებ, რომლებიც არ შედის პროგრამაში.

უფასო პროგრამამ შეიძლება გამოიწვიოს მხოლოდ ერთი ზედაზღვევის ნიშანი ან მათი კომბინაცია. ცხადია, წინადადებების სია არ შეიძლება იყოს ამომწურავი.

აშკარა მატერიალური სარგებლის გამო, უფასო პროგრამული უზრუნველყოფა (პროგრამული უზრუნველყოფა) შეიძლება დაიყოს:

• რათა არ მოუტანოთ პირდაპირი მატერიალური სარგებელი მათ, ვინც შეიმუშავა (დაინსტალირდა) არახელსაყრელი პროგრამა (დაყოფილია ხულიგნობის, „სიმკაცრის“, ვანდალიზმის მოტივებად, მათ შორის რელიგიური, ნაციონალისტური, პოლიტიკური ნიშნით, თვითკმარობისა და მსხვერპლშეწირვის შესახებ, დაადასტურა თქვენი კვალიფიკაცია) ;
• ქურდებს პირდაპირი მატერიალური სარგებელის მოტანა კონფიდენციალური ინფორმაციის მოპარვით, მათ შორის ბანკის კლიენტის სისტემებზე წვდომის აკრძალვის, საკრედიტო ბარათის PIN კოდების და ბუღალტერის სხვა პერსონალური მონაცემების მოხსნის, აგრეთვე დისტანციურ კომპიუტერებზე კონტროლის მოხსნის გზით. მესამე სისტემები მრავალი „ინფიცირებული“ კომპიუტერიდან სპამის აღმოფხვრის მეთოდის გამოყენებით (ზომბი კომპიუტერები).

გთხოვთ გაითვალისწინოთ, რომ უფასო პროგრამები შეიძლება დაიყოს:

• პროგრამული უზრუნველყოფა თავდაპირველად შეიქმნა სპეციალურად იმისთვის, რომ თავიდან აიცილოს EOM-ზე შენახულ ინფორმაციაზე არასანქცირებული წვდომა, რითაც ამხილა ინფორმაციის მფლობელი და (ან) EOM-ის მფლობელი (EOM-ის ზომები);
• პროგრამული უზრუნველყოფა თავდაპირველად არ იყო შემუშავებული სპეციალურად EOM-ზე შენახულ ინფორმაციაზე არაავტორიზებული წვდომის თავიდან ასაცილებლად და თავიდანვე ის არ იყო გამიზნული ინფორმაციის მფლობელს და (ან) EOM-ის მფლობელს (EOM-ის ზომები).

დარჩენილი საათი სიფრთხილით უნდა მოვეკიდოთ ფუჭი პროგრამების შექმნის ინდუსტრიის კრიმინალიზაციას, რაც გამოიხატება არსებულ ვითარებაში:

• მოპარული კონფიდენციალური ინფორმაცია (საქმიანი ჩანაწერები, პერსონალური მონაცემები);
• შეიქმნა ზომბი ქსელი („ბოტნეტი“), რომელიც გამოიყენება სპამის გასაგზავნად, სერვისზე დაწკაპუნებით შეტევების გასავრცელებლად (DDoS თავდასხმები), ტროას პროქსი სერვერების დანერგვისთვის;
• კერძო მოვაჭრეების დაშიფრული ინფორმაცია შემდგომი შანტაჟით და შესაძლო გამოსასყიდით;
• შეტევები ანტივირუსულ პროდუქტებზე;
• ე.წ. Flushing (მომსახურების მუდმივი უარი - PDoS).

მსხვერპლზე დაფუძნებული თავდასხმები ამჟამად ხდება არა იმდენად, როგორც მსხვერპლისგან ფულის გამოძალვის იარაღი, არამედ როგორც პოლიტიკური და კონკურენტული ბრძოლის საშუალება. ადრე DoS თავდასხმები ჩვეულებრივ ჰაკერებისა და ხულიგნების ხელში იყო, მაგრამ ახლა ისინი იგივე საქონელი გახდა, როგორც სპამის მიმწოდებლები ან თაღლითური პროგრამების თაღლითები. DoS თავდასხმის სერვისების რეკლამა ჩვეულებრივი მოვლენა გახდა და ფასები ახლა შეიძლება შევადაროთ სპამის მიმწოდებლის ორგანიზების ღირებულებას.

კომპანიები, რომლებიც სპეციალიზირებულნი არიან კომპიუტერულ და უსაფრთხოების სისტემებში, ეხმაურებიან ახალი ტიპის საფრთხეს - ეგრეთ წოდებულ მუდმივ სერვის პროვაიდერს (Rooba). შეტევის ახალ ტიპს სხვა სახელი მიენიჭა - flushing (rIa5In§). ამჟამინდელ სისტემაში პოტენციურად გაცილებით მეტი ზიანია, თუნდაც ეს იყოს სხვა სახის მავნე აქტივობა, კომპიუტერულ აღჭურვილობაზე დაფუძნებული დირექტივების ფრაგმენტები. რობო თავდასხმები უფრო ეფექტური და იაფია, ვიდრე ტრადიციული ტიპის თავდასხმები, რომლებშიც ჰაკერი ცდილობს დააინსტალიროს საკუთრების პროგრამული უზრუნველყოფა მსხვერპლის სისტემაზე. Flushing-ში შეტევები მოიცავს პროგრამებს VUB ფლეშ მეხსიერების და მოწყობილობის დრაივერებში, რომლებიც დაზიანებული ანადგურებენ მოწყობილობების მუშაობას და პოტენციურად ანადგურებენ მათ ფიზიკურად.

თავდასხმების კიდევ ერთი ვარიანტი, რომელიც მიზნად ისახავს მოპარული კონფიდენციალური ინფორმაციისკენ, გულისხმობს ქურდების მიერ კომპანიის საინფორმაციო სისტემაში საზიზღარი პროგრამის დანერგვას, რითაც ბლოკავს სისტემის მუშაობას. ამ ეტაპზე, კომპანიას თავს დაესხნენ, რათა მიიღონ კრიმინალებისგან წერილი პატარა პენი პაროლისთვის, რომელიც მათ საშუალებას მისცემს განბლოკონ კომპანიის კომპიუტერული სისტემა. ფულის უკანონო შოვნის კიდევ ერთი მსგავსი გზა არის კომპიუტერში ტროას პროგრამების გაშვება, რომლებიც დაშიფრავს მონაცემებს. გაშიფრულ გასაღებს ბოროტმოქმედები ღვინის ქალაქისთვის ერთ გროშიც ბოროტად იყენებენ.

სანამ კორისტუვაჩის პირადი მონაცემების დამრღვევს თავს დაესხმება კომპიუტერი:

• რომ დოკუმენტები და სხვა საბანკო მონაცემები ინახება კომპიუტერის მეხსიერებაში;
• ანგარიშის სახელები და პაროლები სხვადასხვა ონლაინ რესურსებზე წვდომისთვის (ელექტრონული ფული და გადახდის სისტემები, ინტერნეტ აუქციონები, ინტერნეტ მესინჯერები, ელექტრონული ფოსტა, ინტერნეტ საიტები და ფორუმები, ონლაინ აზარტული თამაშები);
• სხვა კლიენტების ელფოსტის მისამართები, სხვა კომპიუტერების 1P მისამართები.

ინტერნეტის მიერ შემოთავაზებული ახალი შესაძლებლობებისა და განსაკუთრებით სოციალური ქსელების ფართო გაფართოების საპასუხოდ, უფრო და უფრო მეტი ადამიანი რეგულარულად წვდება ინტერნეტ რესურსებს და ხდება უფრო და უფრო დახვეწილი თავდასხმების მსხვერპლი, როგორიცაა კორპორატიული კლიენტების კონფიდენციალური მონაცემების მოპარვა, ასევე მათი კომპიუტერების იუტერივის „დაბომბვა“ დამრღვევთა მიერ მათი რესურსების შემდგომი ბოროტად გამოყენების მეთოდით.

ეფექტური "ზომბი" რობოტი წარმოდგენილია სამი საწყობით, რომლებიც გონებრივად ჩამოყალიბებულია:

• პროგრამა-ბოტი, რომელიც მოიცავს ავტორის კოდის გაფართოებას და პროგრამა-ბოტის კოდს, რომელიც ცვლის მთავარ რობოტს;
• ბოტის პროგრამა, რომელიც აგროვებს და გადასცემს კონფიდენციალურ ინფორმაციას, აგზავნის სპამს, მონაწილეობს EOB შეტევაში და სხვა აქტივობებში და ათავსებს მას კრიმინალის მიერ;
• ბოტნეტის ძირითადი მოდული, რომელიც აგროვებს ინფორმაციას პროგრამის ბოტებიდან და ავრცელებს მათ განახლებებს და, საჭიროების შემთხვევაში, ახალ კონფიგურაციის ფაილებს, "გადამისამართებს" პროგრამის ბოტებს.

თქვენს კომპიუტერში დაინსტალირებული ანტივირუსული პროგრამის მაგალითები:

• პრიმუსის კბილი, რობოტული ანტივირუსული სკანერი ან მონიტორი;
• უსაფრთხოების სისტემის დაყენების შეცვლა, რათა გაადვილდეს მცდარი პროგრამების პრობლემების აღმოფხვრა და ფუნქციონირება;
• ავტომატურად დააწკაპუნეთ ღილაკზე „გამოტოვება“ მას შემდეგ, რაც მომხმარებელი იქნება ინფორმირებული გამოვლენილი ცუდი პროგრამის შესახებ;
• სისტემაში თქვენი ყოფნის უზრუნველყოფა (ე.წ. „rootkits“);
• ანტივირუსული ანალიზის გართულება მავნე კოდის დამატებითი ტრანსფორმაციის გზით (დაშიფვრა, დაბინდვა ან დაბინდვა, პოლიმორფიზმი, შეფუთვა).

ბოლო დრომდე, ანტივირუსული პროგრამების მუშაობა ეფუძნებოდა ექსკლუზიურად ანალიზს და არა ობიექტის სკანირებას. ამ შემთხვევაში, ვირუსების გამოვლენის ყველაზე ადრეული ხელმოწერის მეთოდი (ე.წ. სკანირება) ეფუძნება ფიქსირებული ბაიტის თანმიმდევრობის ძიებას, ყველაზე ხშირად ობიექტის ბირთვის პირველი გადაადგილების შემდეგ, რომელიც მდებარეობს ბინარულ კოდში. ფასდაკლება. პროგრამები. უფრო გვიან გამოჩნდება, ევრისტიკული ანალიზი ასევე ამოწმებს დამოწმებული ობიექტის ნაცვლად, მაგრამ ახლა გადაიქცევა უფრო დიდ, უნივერსალურ ბგერად, რომელიც ახასიათებს მიმდევრობების პოტენციურად წამგებიანი პროგრამისთვის. ცხადია, ცუდ პროგრამას შეუძლია ადვილად გადალახოს ასეთი დაცვა, რადგან კანის ასლი იქნება ბაიტების ახალი ნაკრები.

ამის ბუნება არის პოლიმორფიზმი და მეტამორფიზმი, რომლის არსი მდგომარეობს იმაში, რომ როდესაც თქვენ ქმნით ცუდი პროგრამის საკუთარ უაზრო ასლს, ის მუდმივად იცვლება ბაიტების სიმრავლის მიხედვით, საიდანაც იგი ემატება. ამ შემთხვევაში, ფუნქციონირება უცვლელი ხდება.

თავად დაშიფვრა და დაბინდვა (კოდის დაბინდვა) უპირველეს ყოვლისა მიზნად ისახავს პროგრამის კოდის ანალიზის გართულებას, წინააღმდეგ შემთხვევაში, მარტივი გზით განხორციელებული, არის პოლიმორფიზმის სხვადასხვა სახეობა (მაგალითად, კანის ასლის დაშიფვრა რუსეთში უნიკალური გასაღებით). დაბნელება თავისთავად ხდის ანალიზს გაურთულებელს, მაგრამ ის ახლებურად არის ვიკორიზირებული კორუმპირებული პროგრამის კანის ასლში, რომელიც არღვევს ანტივირუსის სკანირებას.

ვირუსების ეპოქაში პოლიმორფიზმი უფრო ფართოდ გავრცელდა, ანადგურებს მხოლოდ ფაილებს ვირუსებს. ეს აიხსნება იმით, რომ პოლიმორფული კოდის დაწერა უნდა იყოს რთული და რესურსზე ინტენსიური და მუშაობს მხოლოდ ისეთ სიტუაციებში, როდესაც სუსტი პროგრამა დამოუკიდებლად მრავლდება: ამ შემთხვევაში ახალი ინსტანცია უფრო მცირეა. უნიკალური ნაკრები ბაიტები. მიმდინარე, წამგებიანი პროგრამების უმეტესობისთვის, რომლებსაც არ აქვთ თვითრეპროდუქციის ფუნქციები, ეს არ არის აქტუალური. ამიტომ, ამ დროს პოლიმორფიზმი ხშირად არ ხდება იაფ პროგრამებში.

თუმცა, დაბინდვა, ისევე როგორც კოდის მოდიფიკაციის სხვა მეთოდები, უმეტესად რთული ევრისტიკული ანალიზის პრობლემაა, ვიდრე წინასწარ განსაზღვრული რთული სკანირება, რაც გავლენას არ ახდენს ამ სიტუაციაზე მის შესაბამისობაზე.

უფასო პროგრამით ფაილის ზომის შესაცვლელად გამოიყენება ეგრეთ წოდებული პაკერები (პაკერები) - სპეციალური პროგრამები, რომლებიც ამუშავებენ ფაილს არქივის პრინციპით. გვერდითი ეფექტი და უარყოფითი (ანტივირუსული პროგრამების თვალსაზრისით) ეფექტი vikoristan-ის პაკეტებზე მდგომარეობს იმაში, რომ ტარდება ანტივირუსული სკანირება.

ეს აიხსნება იმით, რომ უსარგებლო პროგრამის ახალი მოდიფიკაციის შემუშავებისას, ავტორი ცვლის კოდის რამდენიმე სტრიქონს, რის შედეგადაც მისი ბირთვი დაუმთავრებელია. თუ ეს კოდი ცვლის ბაიტებს თავდაპირველ ფაილში და თუ ანტივირუსულმა პროგრამამ აღმოაჩინა ხელმოწერა, რომელიც არ არის ამ განყოფილებაში, მაშინ ცუდი პროგრამა მაინც გამოჩნდება. პროგრამის დამუშავება პაკეტერთან წყვეტს ამ პრობლემას, რადგან ერთი ბაიტის შეცვლა გამომავალ შესრულებად კოდში იწვევს ბაიტების სრულიად ახალ კომპლექტს შეფუთულ ფაილში.

ბევრი თანამედროვე შეფუთვა, გარდა გამომავალი ფაილის შეკუმშვისა, უზრუნველყოფს დამატებით ფუნქციებს თვითდასაცავად, რაც მიზნად ისახავს ფაილის ამოხსნის გართულებას და მის ანალიზს დამატებითი რედაქტორისთვის.

ფასდაკლების პროგრამები (ასევე ე.წ თამაში პროგრამის ნაკადებთან)მიღებულია კომპიუტერული ვირუსების და პროგრამული სანიშნეების დანერგვა. პირველი სემესტრი კომპიუტერული ვირუსი 1984 წელს "კლასიკური" კომპიუტერული ვირუსი არის ავტონომიურად მოქმედი პროგრამა, რომელიც შეიძლება კონტროლდებოდეს სამი ხელისუფლების მიერ:

• მონაცემები თქვენი კოდის სხვა ობიექტების სხეულებში (ფაილები და კომპიუტერის მეხსიერების სისტემის არეების) ჩართვამდე;
• შემდგომი დამოუკიდებელი გამარჯვებული;
• დამოუკიდებელი განვითარება კომპიუტერულ სისტემებში.

კომპიუტერული ვირუსები არ ეყრდნობიან edge სერვისებს, რათა შეაღწიონ სხვა ზღვარზე კომპიუტერებში. ვირუსის ასლი განადგურებულია დისტანციურ კომპიუტერზე მხოლოდ იმ შემთხვევაში, თუ ინფიცირებული ობიექტი, რაიმე მიზეზით, რომელიც არ არის დაკავშირებული ვირუსთან, გააქტიურებულია სხვა კომპიუტერზე, მაგალითად:

• როდესაც მომხმარებლისთვის ხელმისაწვდომი დისკები ინფიცირებულია, ვირუსი შეაღწევს ამ კიდეების რესურსებზე შენახულ ფაილებში;
• ვირუსი კოპირებულია საკუთარ ცხვირზე ან სხვისი ფაილების დაინფიცირებით;
• მომხმარებელმა წაშალა ელ.წერილი ვირუსით ინფიცირებული დანართებიდან.

მთავარია, რომ ვირუსებს არ გააჩნიათ ერთ კომპიუტერს შორის გავრცელების უნარი. ეს შეიძლება მოხდეს მხოლოდ იმ შემთხვევაში, თუ მნიშვნელოვანი მედია (ფლოპი დისკები, ფლეშ დრაივები) ინფიცირებულია, ან თუ მომხმარებელი თავად გადასცემს ვირუსით ინფიცირებულ ფაილს სხვა კომპიუტერზე მოგვიანებით.

ვანდალიზებული ვირუსებიდააინფიციროს მყარი დისკის ძირითადი სექტორი (Master Boot record - MBR) ან მყარი დისკის დანაყოფის, სისტემის ფლოპი დისკის ან დაცული CD (Boot Record - BR) დაცული სექტორი, რომელიც შეიცავს პირველადი ინფექციისა და მათი ინფექციის პროგრამებს. ოპერაციული სისტემა ეს არის კოდი. ამ სექტორების ყურები ინახება დისკის ერთ-ერთ დიდ სექტორში ან უშუალოდ ვირუსის სხეულში.

MBR-ის ინფექციის შემდეგ, რომელიც არის მყარი დისკის ნულოვანი ცილინდრის თავის პირველი სექტორის ნული, ვირუსი აკონტროლებს ვირუსს ტექნიკის შემოწმების პროცედურის (POST), BIOS Setup პროგრამების (როგორც მას ეძახდნენ) დასრულების შემდეგ. კლიენტი), BIOS პროცედურები და wow გაფართოება. კონტროლის დაკარგვის შემდეგ, დამპყრობელი ვირუსი იწვევს შეურაცხმყოფელ მოქმედებებს:

• 1) თქვენი კოდის კოპირება კომპიუტერის RAM-ის ბოლომდე, რითაც იცვლება მისი თავისუფალი ნაწილის ზომა;
• 2) გადანაწილება „თქვენზე“ BIOS-ის უამრავ შეფერხებაზე, ძირითადად დაკავშირებული დისკებთან;
• 3) კომპიუტერის RAM-ში შეყვანა ნამდვილი პროგრამული პროგრამით, რომელიც მოიცავს მყარი დისკის დანაყოფების ცხრილის გადახედვას, აქტიური დანაყოფის მინიჭებას, შენახვას და საკონტროლო პროგრამის ოპერაციულ სისტემაზე გადატანას.active division;
• 4) ჭეშმარიტი კობის იმპორტის პროგრამის კონტროლის გადაცემა.

ინფექციური ვირუსი მოქმედებს ანალოგიურად, ანაცვლებს ოპერაციული სისტემის ინფექციის პროგრამას. კომპიუტერის მავნე ვირუსით ინფექციის პირველადი ფორმა არის ვირუსის ინფექციის ტესტი არასისტემური ფლოპი დისკიდან (ან CO დისკიდან), რომლის ინფიცირებული სექტორი ინფიცირებულია ვირუსით. ეს სიტუაცია წარმოიქმნება, როდესაც ინფიცირებული ფლოპი დისკი იკარგება დისკში, როდესაც ოპერაციული სისტემა ხელახლა დაინსტალირდება. მყარი დისკის ძირითადი სექტორის დაინფიცირების შემდეგ, ვირუსი გაფართოვდება ნებისმიერ არაინფიცირებულ ფლოპი დისკზე.

შემოჭრილი ვირუსები ჩვეულებრივ შედის რეზიდენტ ვირუსების ჯგუფში. ვირუსებმა დაიწყეს პოპულარობის ზრდა გასული საუკუნის 90-იან წლებში, მაგრამ პრაქტიკულად დაინერგა 32-ბიტიან ოპერაციულ სისტემებზე და დისკებზე გადასვლით, როგორც ინფორმაციის გაცვლის მთავარ მეთოდზე. თეორიულად, შესაძლებელია გამოჩნდეს საშიში ვირუსები, რომლებიც აინფიცირებენ SP დისკებს და ფლეშ დრაივებს, მაგრამ ასეთი ვირუსები ჯერ არ არის გამოვლენილი.

ფაილის ვირუსებიაინფიცირებს სხვადასხვა ტიპის ფაილებს:

• პროგრამის ფაილები, მოწყობილობის დრაივერის ფაილები და ოპერაციული სისტემის სხვა მოდულები;
• დოკუმენტის ფაილები, რომლებიც შეიძლება შეიცავდეს მაკროებს;
• დოკუმენტის ფაილები, რომლებიც შეიძლება შეიცავდეს სკრიპტებში (სკრიპტებში) ან სკრიპტის ფაილებთან და ა.შ.

როდესაც ფაილი ინფიცირებულია, ვირუსი წერს მის კოდს ფაილის დასაწყისში, შუაში ან ბოლოს, ან ერთ ადგილას. გამომავალი ფაილი ისე იცვლება, რომ ფაილის გახსნის შემდეგ კონტროლი უნებურად გადადის ვირუსის კოდზე. ვირუსის კოდის დაყენების შემდეგ, მოქმედებების თანმიმდევრობა მოჰყვება:

• 1) სხვა ფაილების (კომბინირებული ვირუსების) და დისკის მეხსიერების სისტემის არეების დაინფიცირება;
• 2) RAM-ში მაღალი სიმძლავრის რეზიდენტი მოდულების (რეზიდენტი ვირუსების) დაყენება;
• 3) სხვა მოქმედებების იდენტიფიცირება, რომლებიც დევს ვირუსის მიერ განხორციელებული ალგორითმის უკან;
• 4) ფაილის გახსნის საწყისი პროცედურის გაგრძელება (მაგალითად, ინფიცირებული პროგრამის გამომავალი კოდის კონტროლის გადაცემა).

პროგრამის ფაილებში ვირუსები, როდესაც ინფიცირდება, ცვლის სათაურს ისე, რომ პროგრამის RAM-ში ჩატვირთვის შემდეგ კონტროლი გადადის ვირუსის კოდზე. მაგალითად, სტანდარტული ფაილის ფორმატი Windows და OS / 2 ოპერაციული სისტემებისთვის (Portable Executable - PE) აქვს შემდეგი სტრუქტურა:

• 1) სათაური MS-DOS ოპერაციული სისტემის ფორმატში;
• 2) პროგრამის კოდი რეალური პროცესორის რეჟიმისთვის, რომელიც ხსნის კონტროლს, როდესაც ის ვერ გაუშვებს Windows აპლიკაციის ძირითად MS-DOS ოპერაციულ სისტემაში;
• 3) PE ფაილის სათაური;
• 4) დამატებითი (სურვილისამებრ) სათაური PE ფაილისთვის;
• 5) დანამატის ყველა სეგმენტის სათაურები და სხეულები (პროგრამის კოდი, სტატიკური მონაცემები, რომელიც ექსპორტირებულია მონაცემთა პროგრამის მიერ, რომელიც იმპორტირებულია მონაცემთა პროგრამის მიერ, ღირებული ინფორმაცია და ა.შ.).

PE ფაილში არასავალდებულო სათაურის განთავსების განყოფილება მოიცავს ველს დანამატის შესვლის წერტილის მისამართის განთავსებისთვის. კოდის სეგმენტში შესასვლელი წერტილის წინ, პროგრამა ათავსებს ფუნქციით სხვა მოდულებიდან იმპორტირებულ მისამართთა ცხრილს (იმპორტის მისამართების ცხრილი - IAT), რომელიც ივსება აქტიური მისამართებით, თანმიმდევრული კოდის ჩასმამდე მისამართების სივრცეში. პროცესი.

როდესაც პროგრამის ფაილი ინფიცირებულია ვირუსით, დანამატის შესვლის წერტილის მისამართი იცვლება ისე, რომ მიუთითებს ვირუსის კოდზე და უზრუნველყოფილია მისი ავტომატურად წაშლა პროგრამის ფაილის ინფიცირებისას. ასევე შესაძლებელია ოპერაციული სისტემის ბირთვის მოდულების (მაგალითად, kernel32.dll) შეცვლა, რათა გადატვირთოს ზარები გარკვეული სისტემის ფუნქციებზე (მაგალითად, CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle), რათა დაინფიცირდეს სხვა ფაილები.

სხვადასხვა ფაილის ვირუსები მოიცავს ვირუსებს ინფიცირებული ლოგიკური დისკის ან ფლოპი დისკის კლასტერებში. როდესაც ინფიცირდება, ვირუსის კოდი კოპირდება დისკის ერთ-ერთ სხვადასხვა კლასტერში, რომელიც მითითებულია ფაილების განაწილების ცხრილში (FAT), როგორც ფაილის დარჩენილი კლასტერი. შემდეგ კატალოგში პროგრამული ფაილების აღწერა იცვლება - პირველი კლასტერული ფაილის ნომრის ნაცვლად, ვირუსის კოდის განთავსების მიზნით მოთავსებულია კლასტერის ნომერი. ამ შემთხვევაში, ინფიცირებული ფაილის პირველი კლასტერის ნამდვილი ნომერი დაშიფრულია და ინახება, მაგალითად, დირექტორიაში არსებული ფაილის აღწერილობის არაკორუმპირებულ ნაწილში.

როდესაც ინფიცირებული ფაილი გაშვებულია, კონტროლი პასუხობს ვირუსის კოდით, რომელიც არის:

• 1) აყენებს თავის რეზიდენტ მოდულს RAM-ში, რომელიც შემდგომში გადასცემს ყველა ფაილს ინფიცირებულ დისკზე;
• 2) ჩამოტვირთავს გამომავალი პროგრამის ფაილს და გადასცემს მასზე კონტროლს.

როდესაც ინფიცირებული ფაილების შემცველი დირექტორია ჩამოტვირთულია, ვირუსის რეზიდენტი ნაწილი გადასცემს ოპერაციულ სისტემას პირველი კლასტერების ნამდვილ ნომრებს, რომლებმაც დაინახეს ინფიცირებული ფაილები.

ვირუსები დოკუმენტურ ფაილებში, რომლებიც შექმნიან, მაგალითად, Microsoft Office პროგრამების მიერ, გაფართოვდებიან მაკროების (პროცედურები Visual Basic აპლიკაციებისთვის - VBA) პროგრამით. ამიტომ, ასეთ ვირუსებს ზოგჯერ მაკროებში ან უბრალოდ ვირუსებს უწოდებენ მაკროვირუსები.

მაკრო პროგრამირება, განსაკუთრებით VBA, იყენებს უნივერსალურ ენებს, რომლებიც მხარს უჭერენ ობიექტზე ორიენტირებული პროგრამირების ტექნოლოგიას, რომელიც უზრუნველყოფს სტანდარტული მაკრო ბრძანებების დიდ ბიბლიოთეკას და საშუალებას გაძლევთ შექმნათ რთული პროცედურები. გარდა ამისა, მაკროები, რომლებიც დაკავშირებულია სიმღერის მოქმედებებთან (მაგალითად, დოკუმენტის ჩანაწერებთან) ან მომხმარებლის მოქმედებებთან (მაგალითად, როდესაც დააწკაპუნებთ ბრძანებაზე დოკუმენტის ფაილში შესანახად) ავტომატურად გამოჩნდება.

Butts ავტომატურად აჩვენებს მაკროებს, რომლებიც დაკავშირებულია შემდეგი ნაბიჯებით Microsoft Word დოკუმენტის დასამუშავებლად, მაგ.:

• AutoExec (ავტომატურად კონფიგურირებული Microsoft Word Word-ის დამმუშავებლის გაშვებისას, როგორც ნაპოვნი normal.dot შაბლონის ფაილში ან ფაილში Microsoft Office საქაღალდის Startup საქაღალდეში);
• AutoNew (ავტომატურად შლის კონტროლს ახალი დოკუმენტის შექმნისას);
• AutoOpen (ავტომატურად იხსნება დოკუმენტის გახსნისას);
• AutoClose (ავტომატურად იხურება დოკუმენტის დახურვისას);
• ავტომატური გასვლა (ავტომატურად ათავისუფლებს კონტროლს, როდესაც დასრულდება Microsoft Word სიტყვა პროცესორის მუშაობა).

Microsoft Excel ცხრილების პროცესორი მხარს უჭერს მხოლოდ ზოგიერთ ავტომატურად ჩამოყალიბებულ მაკროს და ამ მაკროების სახელები მარტივად შეიძლება შეიცვალოს - Auto_open და Auto_close.

Microsoft Word ტექსტის პროცესორს ასევე აქვს მაკროები, რომლებიც ავტომატურად აშორებენ კონტროლს, როდესაც დააწკაპუნებთ ერთ-ერთ სტანდარტულ ბრძანებაზე - File Save (ფაილი | შენახვა), FileSaveAs (ფაილი | შენახვა როგორც), Tools- Macro (სერვისი | მაკრო | მაკრო), ToolsCustomize ( მომსახურება | | მორგება) და ა.შ.

Microsoft Office-ის დოკუმენტი ასევე შეიძლება შეიცავდეს მაკროებს, ავტომატურად წაშალოს კონტროლი, როდესაც დააჭერთ კლავიატურაზე კლავიშების კონკრეტულ კომბინაციას ან მიაღწევთ სასურველ დროს (თარიღი, საათი).

მაკრო (მათ შორის ის, რომელიც ავტომატურად გარდაიქმნება) ადგილობრივი დოკუმენტიდან შეიძლება ჩაიწეროს შაბლონის ფაილში normal.dot (და მაგალითად) და ამგვარად ხელმისაწვდომი გახდება Microsoft Word-ის ნებისმიერი დოკუმენტის რედაქტირებისას. ნორმალურ.dot ფაილში მაკროს ჩაწერა შეიძლება განხორციელდეს სტანდარტული MacroCopy მაკრო ბრძანების (WordBasic), აპლიკაციის ობიექტის OrganizerCopy მეთოდის ან სტანდარტული Organizer ობიექტების (Microsoft Word) და Sheets (Microsoft Excel) მეთოდების გამოყენებით.

კომპიუტერის გარე მეხსიერებაში განთავსებული ფაილების მანიპულირებისთვის, სტანდარტული მაკრო შეიძლება გამოყენებულ იქნას მაკროებში Open (ახალი ფაილის შესაქმნელად), SetAttr (ფაილის ატრიბუტების შესაცვლელად), სახელი (ფაილის ან საქაღალდის გადარქმევა), Get (წასაკითხად). მონაცემები h დახურული ფაილი), Put (იწერს მონაცემებს დახურულ ფაილში), ძიება (ცვლის ნაკადის პოზიციას ჩაწერის ან კითხვის ფაილიდან), Close (ხურავს ფაილს), Kill (აშორებს ფაილს), RmDir (დისტანციური საქაღალდე) , MkDir (ქმნის ახალ საქაღალდეს), ChDir (ნაკადის საქაღალდის შეცვლა) და სხვა.

სტანდარტული Shell მაკრო ბრძანება გაძლევთ წვდომას თქვენს კომპიუტერში დაინსტალირებულ პროგრამებზე ან სისტემის ბრძანებებზე.

ამრიგად, VBA პროგრამირება შეიძლება მთლიანად ბოროტად გამოიყენონ მაკროვირუსების ავტორებმა თუნდაც სახიფათო კოდის შესაქმნელად. Microsoft Word-ის დოკუმენტში უმარტივესი მაკროვირუსი აინფიცირებს სხვა დოკუმენტის ფაილებს შემდეგნაირად:

• 1) როდესაც ინფიცირებული დოკუმენტი იხსნება, კონტროლი უარს ამბობს ვირუსის კოდით ახალი მაკროს შეყვანაზე;
• 2) ვირუსი ათავსებს სხვა მაკროებს საკუთარი კოდით normal.dot შაბლონის ფაილში (მაგალითად, FileOpen, FileSaveAs და FileSave);
• 3) ვირუსი ინსტალირებულია Windows-ის რეესტრში და (ან) Microsoft Word-ის ფაილების ინიციალიზაციაში;
• 4) Microsoft Word-ის გაშვებისას, პირველი ფაილი, რომელიც იხსნება, არის რეალურად უკვე ინფიცირებული შაბლონის ფაილი normal.dot, რომელიც საშუალებას აძლევს ვირუსის კოდს ავტომატურად დაკარგოს კონტროლი და სხვა დოკუმენტების ფაილების ინფექციების აღმოჩენა შესაძლებელია სტანდარტული Microsoft Word-ის გამოყენებით მათი შენახვისას. ბრძანებებს.

შეიძლება ითქვას, რომ მაკროვირუსების უმეტესობა მიეკუთვნება რეზიდენტ ვირუსების ჯგუფს, რადგან მათი კოდის ნაწილი მუდმივად იმყოფება კომპიუტერის RAM-ში ნებისმიერ დროს Microsoft Office პაკეტით პროგრამების გაშვებისას.

მაკროვირუსის კოდის განთავსება Microsoft Office-ის დოკუმენტის შუაში შეიძლება განხორციელდეს სქემატურად, რადგან დოკუმენტის ფაილის ფორმატი ძალიან რთულია და შეიძლება მოიცავდეს სხვადასხვა ფორმატის მონაცემთა ბლოკების თანმიმდევრობას, რომლებიც ურთიერთობენ ერთმანეთთან დიდი რაოდენობით სერვისების გამოყენებით. . მაკროვირუსების თავისებურება ის არის, რომ მათ შეუძლიათ დააინფიცირონ დოკუმენტური ფაილები სხვადასხვა პლატფორმის კომპიუტერებზე და არა მხოლოდ IBM კომპიუტერებზე. ინფექცია შეიძლება მოხდეს, თუ კომპიუტერზე დაინსტალირებულია საოფისე პროგრამები, მათ შორის პროგრამები Microsoft Office კომპლექტის ჩათვლით.

დოკუმენტის ფაილების შენახვისას, მათი შენახვა მოიცავს დროებით მონაცემებს, რომლებიც ასოცირდება დოკუმენტთან და მდებარეობს მეხსიერების ბლოკებში, რომლებიც სრულად არ იყო შევსებული დოკუმენტის რედაქტირებისას. ამიტომ, როდესაც დოკუმენტს ემატება ახალი მონაცემები, მისი ზომა შეიძლება შეიცვალოს არატრანსფერული გზით, ცვლილებების ჩათვლით. ეს არ გვაძლევს საშუალებას განვსაზღვროთ არის თუ არა დოკუმენტის ფაილი მაკროვირუსებით ინფიცირებული, რადგან მისი ზომის შეცვლა შეუძლებელია ინფექციის შემდეგ. ასევე მნიშვნელოვანია, რომ კონფიდენციალური ინფორმაცია შეიძლება გამოვლინდეს კონფიდენციალურად შენახულ დოკუმენტის ფაილში.

ყველაზე გავრცელებული მაკროვირუსები თავიანთ კოდს მხოლოდ მაკროებში ათავსებენ. თუმცა, დოკუმენტის ფაილების მაკროებში ასევე არის სხვადასხვა ტიპის ვირუსები, რომლებშიც ვირუსის კოდი ინახება არა მხოლოდ მაკროებში. ეს ვირუსები მოიცავს პატარა, სავალდებულო მაკროს, რომელიც იჭერს ვირუსის მთავარ კოდს, რომელსაც ქმნის მაკრო რედაქტორი Microsoft Office-ში, ქმნის ახალ მაკროს ვირუსის კოდით და წერს მას მისი არსებობის კვალის დასაფიქსირებლად. ათვალიერებს მაკრო შემოქმედებას. ამ ტიპის ვირუსის ძირითადი კოდი წარმოდგენილია მწკრივების ხილულ მასივში, მაკრო-აღდგენის ან ინფიცირებულ დოკუმენტში ცვლილებების ზონაში.

normal.dot შაბლონის ფაილის ინფიცირება არ არის ერთადერთი გზა მაკროვირუსების გავრცელებისთვის მომხმარებლის კომპიუტერზე. ასევე შესაძლებელია, რომ დამატებითი შაბლონის ფაილები, რომლებიც მდებარეობს Startup საქაღალდეში, Microsoft Office-ის საქაღალდის შუაში, შეიძლება დაინფიცირდეს. კომპიუტერის დოკუმენტების ფაილების მაკროვირუსებით დაინფიცირების კიდევ ერთი გზაა მათი ჩასმა Microsoft Word-ის დამატებით ფაილებში, რომლებიც მდებარეობს Microsoft Office საქაღალდის Addins საქაღალდეში. მაკროვირუსები, რომლებიც არ ათავსებენ თავიანთ კოდს normal.dot შაბლონში, შეიძლება კლასიფიცირდეს არარეზიდენტ ვირუსებად. სხვა ფაილების დაინფიცირების ამ მაკროვირუსებს შეუძლიათ ან დააყენონ სტანდარტული მაკროები ფაილებთან და საქაღალდეებთან მუშაობისთვის VBA-ში, ან შექმნან სხვა რედაქტირებადი ფაილების სია, რომლებიც ჯდება Microsoft Word-ის და სხვა პროგრამების ქვემენიუში Microsoft Office პაკეტში.

Microsoft Excel ელცხრილების პროცესორი არ ახდენს normal.dot შაბლონის ვიკორისტირებას, ამიტომ ფაილები Startup საქაღალდედან ვიკორისტირდება კლიენტის სხვა დოკუმენტის ფაილების დასაინფიცირებლად. მაკროვირუსების სპეციფიკა, რომლებიც აინფიცირებენ Excel-ის ცხრილების ფაილებს, არის ის, რომ მათ შეუძლიათ დაეყრდნონ არა მხოლოდ VBA პროგრამირებას, არამედ მაკრო ბრძანებებს Microsoft Excel-ის „ძველ“ ვერსიებში, რომელთა მხარდაჭერაც უზრუნველყოფილია და უფრო მნიშვნელოვანია. მათი ვერსიები. ამ მაგიდის პროცესორის.

Microsoft Access მონაცემთა ბაზის მართვის სისტემაში, გაუმართავი მოქმედებების შემთხვევაში (მაგალითად, მონაცემთა ბაზის გახსნის) კონტროლის ავტომატური მოხსნისთვის, მაკროები ამოიცნობა, სპეციალურ სკრიპტებში დაწერილი, რაც შესაძლებელია კიდეც. ასევე, ამ ავტომატურად გენერირებულ სკრიპტის მაკროებში (მაგალითად, AutoExec მაკროში, რომელიც ავტომატურად იღებს კონტროლს Microsoft Access-ის გაშვებისას), შეიძლება გამოიძახონ VBA-ში დაწერილი სრულფასოვანი მაკრო. ამიტომ, Microsoft Access-ის მონაცემთა ბაზის ვირუსით დაინფიცირებისთვის, თქვენ უნდა შექმნათ ან შეცვალოთ მაკრო სკრიპტი ავტომატურად და დააკოპიროთ მაკრო მოდული მონაცემთა ბაზაში, რათა დაინფიცირდეს ვირუსის კოდის ძირითადი ნაწილი.

ეს არის კომბინირებული ვირუსები, რომლებსაც შეუძლიათ დაინფიცირონ Microsoft Access მონაცემთა ბაზები და Microsoft Word დოკუმენტები. ეს ვირუსი შედგება ორი ძირითადი ნაწილისაგან, რომლებიც აინფიცირებენ დოკუმენტის „საკუთარი“ ტიპის ფაილებს (.doc ან .mdb). თუ თქვენ გეშინიათ ასეთი ვირუსის, შეგიძლიათ მისი კოდი გადაიტანოთ ერთი Microsoft Office პროგრამიდან მეორეზე. როდესაც ვირუსის კოდი გადადის Microsoft Access-დან Startup საქაღალდეში, იქმნება დამატებითი შაბლონის ფაილის (.dot ფაილი) ინფექცია და როდესაც ვირუსის კოდი გადადის Microsoft Word-დან, ინფექცია იქმნება Access მონაცემთა ბაზის ფაილში. რომელიც გადაეცემა ვირუსის კოდის მიერ გასაშვები პარამეტრის ნაწილად Microsoft Access-ის დანამატით (msaccess.exe).

ანტივირუსული კომპანიები იუწყებიან ვირუსების გავრცელების ახალ ტენდენციას. ფოსტის ვირუსებისა და ვირუსების სკრიპტებში გავრცელების შემდეგ, ახლა ფხვიერი პროგრამების გაფართოების ერთ-ერთი ყველაზე პოპულარული გზაა ფლეშ დრაივები, რომლებიც კომპიუტერთან დაკავშირებულია USB-ის საშუალებით. ეს შესაძლებელია Windows ოპერაციული სისტემის სისუსტის გამო, რომელიც ავტომატურად უშვებს autorun ფაილს autorun.inf ცვალებადი შენახვის მოწყობილობიდან.

ზოგიერთი ექსპერტის აზრით, Windows OS-ში INF / Autorun სერვისი შეიძლება ჩაითვალოს კომპიუტერული სისტემების უსაფრთხოების მთავარ პრობლემად. ინფიცირებული პროგრამების ელექტრონული ფოსტით გაგზავნისას, კომპეტენტური კომპიუტერის ოპერატორისთვის თითქმის შეუძლებელია ინფექციის თავიდან აცილება, მაშინაც კი, თუ თქვენ უბრალოდ ჩასვით ინფიცირებული მოწყობილობა USB პორტში და პროცესი შეუქცევადი ხდება. ერთი პრევენციული ღონისძიება შეიძლება იყოს autorun-ის გამორთვა, ამიტომ გირჩევთ დაუკავშირდეთ უსაფრთხოების ექსპერტებს თავად Microsoft-ისგან.

შეიძლება ითქვას, რომ USB დისკებზე გარკვეული თვალსაზრისით არის ვირუსების მატება და განახლებულია ვირუსების განვითარება, თუ ინტერნეტი ჯერ არ გაშრება. შემდეგ ვირუსები გავრცელდა კომპიუტერიდან კომპიუტერზე ფლოპი დისკის გამოყენებით.

პროგრამული სანიშნეგამოიძახეთ გარე და შიდა პროგრამები თავდასხმის ქვეშ მყოფ კომპიუტერულ სისტემასთან დაკავშირებით, მათ შორის შემდეგი ძირითადი ფუნქციები ამ სისტემასთან დაკავშირებით:

• CS განყოფილებების გაფართოება ინფორმაციული უსაფრთხოების ამ და სხვა საფრთხეების განხორციელების გზით (კომპიუტერები ან ჭიები, რომლებიც ადმინისტრირებულია კომპიუტერულ ვირუსებზე, რომლებიც უდანაშაულოა ხელისუფლებისგან, თქვენი კოდის ჩართვა სხვა ფაილებში);
• სხვადასხვა არაავტორიზებული აქტივობების განხორციელება (კონფიდენციალური ინფორმაციის შეგროვება და მისი გადაცემა მძარცველისთვის, კლიენტის ინფორმაციის განადგურება ან შეცვლა, კომპიუტერის თვისებების შეფერხება, კომპიუტერული რესურსების ბოროტად გამოყენება უხამსი მიზნებისთვის ("ტროას" პროგრამები ან უბრალოდ "ტროასები");
• CS-ის პროგრამული უსაფრთხოების ფუნქციონირებაში შემცირება ან ცვლილებების შეტანა, მასში დაფიქსირებული მონაცემების შემცირება ან შეცვლა აქტიური გონების განდევნის შემდეგ ან CS-ის მოწოდების აქტიური ინტელექტის ამოღება („ლოგიკური ბომბები“);
• CS-ის უსაფრთხოების ქვესისტემის სხვა ფუნქციების ჩანაცვლება ან მასში „ხაფანგების“ გახსნა CS-ში ინფორმაციის უსაფრთხოებისთვის საფრთხის განსახორციელებლად (მაგალითად, დაშიფვრის მეთოდების ქონა რობოტების ემულაციისთვის დაინსტალირებული ї CS-ში გადაიხდის აპარატურას. დაშიფვრა);
• CS მომხმარებლების პაროლების ხელახლა შენახვა მოთხოვნის დამატებითი იმიტაციისთვის, სანამ შევიდოდით ან კლავიატურიდან CS მომხმარებლების ყველა შეყვანის ხელახლა შენახვა;
• ინფორმაციის ნაკადის გადინება, რომელიც გადაიცემა განაწილებული CS-ის (მონიტორის) ობიექტებს შორის;
• ინტელექტუალურად არაუსაფრთხო პროგრამები, რომლებიც იშლება ლეგიტიმური მომწოდებლების მიერ, ნაცვლად პოტენციურად სახიფათო ფუნქციების შეცვლისა, რომლებიც შეიძლება იყოს გამარჯვებული.

როგორც წესი, იმისათვის, რომ ჰეჯის ჭიამ დაიწყო მუშაობა, თქვენ უნდა გაუშვათ ფაილი, რომელიც გაგზავნილია ელექტრონული ფოსტით (ან გადადით საფოსტო ყუთში, რომელიც პირდაპირ მდებარეობს იმ გვერდზე, რომელიც ამოღებულია ელექტრონული ფოსტით). ასევე არის ისეთი ჭიები, რომელთა გააქტიურება გავლენას არ ახდენს ადამიანების ჩაბარებაზე:

• ჭია მდებარეობს ფურცლის ტექსტში და იხსნება, როდესაც მომხმარებელი უბრალოდ ხსნის შეტყობინებას (ან ის გამოჩნდება საფოსტო კლიენტის ფანჯრის წინა ხედის პანელში) (ფურცელი, რომელშიც არის ტექსტი ინგლისურად, რა უნდა გააკეთეთ სკრიპტი hrobak კოდით);
• ოპერაციული სისტემებისა და სხვა პროგრამების (მაგალითად, პროგრამული უზრუნველყოფის) უსაფრთხოების სისტემებში "ხვრელების" (გატეხვები, დაუცველობები) აღმოფხვრა.

ელექტრონული ფოსტით გაგზავნილი ფაილის სპონტანურად გასაშვებად, გამარჯვებული ქურდები იყენებენ დახვეწილ ტექნოლოგიებს, რომელსაც სოციალური ინჟინერია ეწოდება. მაგალითად, ფურცელზე გამოყენებული ფორმის შევსების წინადადება კორისტუვაჩის მიერ მოპოვებული დიდი პენის პრიზის მოსაგებად. ან პროგრამული უზრუნველყოფის გარკვეული გამყიდველი კომპანიისგან ოფიციალური დისტრიბუციის დაფარვა (გაითვალისწინეთ, რომ ეს კომპანიები არასოდეს ავრცელებენ ფაილებს მომხმარებლის კითხვის გარეშე) და ა.შ.

მისი გაშვების შემდეგ, ჭიას შეუძლია თავად გაავრცელოს თავისი კოდი ელექტრონული ფოსტით, ვიკორისტის "მისამართების წიგნის" ფოსტის პროგრამის საშუალებით. როდესაც ვინმე იცნობს ინფიცირებულ კომპიუტერს, მისი კომპიუტერი შეიძლება დაინფიცირდეს.

კიდეების ჭიების მთავარი უპირატესობა კლასიკურ ვირუსებთან შედარებით არის მათი თვითგავრცელების უნარი კიდეებით, ისევე როგორც ინფიცირებულ კომპიუტერზე სხვა ლოკალური ობიექტების დაინფიცირების აუცილებლობაში.

თქვენი ქსელის ჭიების გაფართოებისთვის შეგიძლიათ გამოიყენოთ სხვადასხვა კომპიუტერული და მობილური ქსელები: ელფოსტა, შეხვედრების შეტყობინებების სისტემები, ფაილების გაზიარება (P2P) და IRC ქსელები, ლოკალური ქსელები. გამოთვლითი ქსელები (LAN), მონაცემთა გაცვლის ქსელები მობილურ მოწყობილობებს შორის (ტელეფონები, კომპიუტერები) და ა.შ. დ.

Bilshist Vidomikh Cherv'yakiv, შეკერეთ Vighmi Files-ში: დეპოზიტი ელექტრონულ ფურცელში, ლურჯი ინფექციის ფაილზე yako-ზე ნუ ვებ-pecypce icq-iz irc-puppy-ზე, ჩაწერეთ კატალოგებში p2p Worms (ე.წ. „ფაილის გარეშე“ ან „სამყარო“ ჭიები) ფართოვდება პაკეტების სახით, შეაღწევს უშუალოდ კომპიუტერის მეხსიერებაში და ააქტიურებს მის კოდს.

ეს ჭიები ასევე ექვემდებარება სხვა სახის უსარგებლო პროგრამული უზრუნველყოფის გავლენას. მაგალითად, ამ ჭიებს შეუძლიათ ხელი შეუშალონ ინფიცირებული კომპიუტერიდან კონფიდენციალური ინფორმაციის შეგროვებასა და გადაცემას, ან დაინფიცირონ ფაილები ინფიცირებული კომპიუტერის ლოკალურ დისკზე, ანუ ტროას ї პროგრამების და (ან) კომპიუტერული ვირუსის სიმძლავრე.

ნახ. 4.1 ჩვენ ვაძლევთ მონაცემებს კომპიუტერული ვირუსების და სხვადასხვა კატეგორიის ჭიების განაწილების საჩვენებლად 2008 წელს (კასპერსკის ლაბორატორიის მონაცემებზე დაყრდნობით).

Პატარა 4.1.

ტროას პროგრამების კატეგორიების გარდა, არის დისტანციური კომპიუტერების და ქსელების დაზიანება ინფიცირებული კომპიუტერის მუდმივი დაზიანების გარეშე (მაგალითად, ტროას პროგრამები, რომლებიც შემუშავებულია დისტანციური ქსელის რესურსებზე მასიური DDoS შეტევებისთვის).

ჭიებისა და ვირუსებისგან განსხვავებით, ტროასები არ შთანთქავენ სხვა ფაილებს და არ აგროვებენ ნარჩენებს გაფართოებისთვის. ეს არის უბრალოდ პროგრამები, რომლებიც საზიანოა ინფიცირებული კომპიუტერის მომხმარებლისთვის, როგორიცაა პაროლის შენახვა ინტერნეტში წვდომისთვის.

ამ დროს "ტროას" პროგრამების კლასის შუაში, კასპერსკის ლაბორატორიის მკვლევარები ხედავენ სამ ძირითად ჯგუფს:

• Backdoor (აძლევს თავდამსხმელს დაინფიცირებული კომპიუტერის დისტანციურად ადმინისტრირების შესაძლებლობას), Trojan-Downloader (სხვა მავნე პროგრამების მიწოდება მომხმარებლის კომპიუტერში), Trojan-PSW (პაროლების აღდგენა), Trojan (სხვა „ტროას“ პროგრამები), ყველაზე ვრცელი და „ტროას“ პროგრამა;
• Trojan-Spy (spyware პროგრამები), Trojan-Dropper (სხვა მავნე პროგრამების ინსტალატორები);
• Trojan-Proxy (ტროას პროქსი სერვერები), Trojan-Clicker (ინტერნეტ დაწკაპუნებები), Rootkit (თქვენი ყოფნის დასადგენად კომპიუტერულ სისტემაში), Trojan-DDoS (პროგრამები მრავალჯერადი შეტევაში მონაწილეობისთვის სერვისში თქვენს ანგარიშზე დაწკაპუნებით), Trojan -SMS („მობილური ტროიანები“ არის ყველაზე აქტუალური საფრთხე მობილური მოწყობილობებისთვის).

ეს პროგრამები შეიცავს ფუნქციების მთელ რიგს, რომლებიც მხოლოდ რამდენიმე გონებაში დაგეხმარებათ კორისტუვაჩის ჯანმრთელობის დაცვაში. უფრო მეტიც, ასეთი პროგრამები შეიძლება ლეგალურად გაიყიდოს და გამოიყენოს ყოველდღიურ საქმიანობაში, მაგალითად, სისტემის ადმინისტრატორების მიერ. თუმცა, კრიმინალის ხელში ასეთი პროგრამები შეიძლება იქცეს ინსტრუმენტად, რომლის დახმარებითაც შეგიძლიათ აღადგინოთ კორისტუვაჩის ჯანმრთელობა. კასპერსკის ლაბორატორიის მკვლევარები ხედავენ მსგავს პროგრამებს ფსიქიკურად სახიფათო პროგრამების უფრო ფართო ჯგუფში (შეუძლებელია მათი ნათლად კლასიფიკაცია როგორც სახიფათო, ისე სახიფათო).

ამ ტიპის პროგრამა არჩევითად იდენტიფიცირებულია ანტივირუსული პროგრამებით, ანტივირუსული მონაცემთა ბაზების გაფართოებული ნაკრების არჩევის საფუძველზე. გამოვლინდა, რომ მონაცემთა ბაზების შემდგომი გაფართოებით, პროგრამა 100%-ით იცნობს პროგრამას და 100%-ით დარწმუნებულია, რომ არ მიუთითებს რაიმე ზიანს მონაცემებზე (მაგალითად, მომხმარებელმა თავად დაამატა ეს პროგრამა, არის იცნობს მის ფუნქციებს და იკორისტუვაჩს ლეგალური მიზნებისთვის), მაშინ კორისტუვაჩს შეუძლია ან მოგიწოდებთ გააფართოვოთ ანტივირუსული მონაცემთა ბაზები, ან დაამატოთ ასეთი პროგრამები „დამნაშავეების“ სიაში (პროგრამები, რომლებიც მოგვიანებით არ იქნება გამოვლენილი).

პოტენციურად სახიფათო პროგრამები იდენტიფიცირებულია კლასების RiskWare (ლეგალურად გაფართოებული პოტენციურად სახიფათო პროგრამები), Porn Ware (პროგრამები პორნოგრაფიული ხასიათის ინფორმაციის ჩვენებისთვის) და AdWare (სარეკლამო პროგრამული უზრუნველყოფა) კლასების პროგრამებით.

RiskWare პროგრამების კლასში შედის ლეგალური პროგრამები (მათი პროდუქცია თავისუფლად იყიდება და ფართოდ გამოიყენება ლეგალური მიზნებისთვის), რომლებიც არანაკლებ არის მომხმარებლის ჯანმრთელობისა და მისი მონაცემების დამრღვევის ხელში. ასეთ პროგრამებში შეგიძლიათ იპოვოთ იურიდიული საშუალებები დისტანციური ადმინისტრირებისთვის, IRC კლიენტის პროგრამები, ავტომატური აკრეფის პროგრამები ("Dialer", dialer), ჩამოტვირთვის პროგრამები ("yes unloader", downloader), ნებისმიერი აქტივობის მონიტორინგი (მონიტორი), კომუნალური პროგრამები რობოტებისთვის. პაროლებით, ასევე უამრავი ინტერნეტ სერვერებით FTP, Web, Proxy და Telnet სერვისებისთვის.

ყველა ეს პროგრამა თავისთავად ცუდი არ არის, მაგრამ თქვენ უნდა გაითვალისწინოთ ის შესაძლებლობები, რომლებიც ქურდებს შეუძლიათ სწრაფად გამოიყენონ დამნაშავეებისთვის ზიანის მიყენებისთვის. მაგალითად, დისტანციური მართვის პროგრამა საშუალებას გაძლევთ მიიღოთ წვდომა დისტანციური კომპიუტერის ინტერფეისზე და გამოიყენოთ იგი დისტანციური აპარატის მართვისა და მონიტორინგისთვის. ასეთი პროგრამა შეიძლება იყოს სრულიად ლეგალური, ფართოდ ხელმისაწვდომი და აუცილებელი სისტემის ადმინისტრატორების ან სხვა ტექნიკური ბუღალტერების მუშაობაში. თუმცა, ქურდების ხელში, ასეთი პროგრამა შექმნილია იმისთვის, რომ თავიდან აიცილოს კორისტუვაჩის ჯანმრთელობა და მისცეს მას სხვისი კომპიუტერის წვდომა.

როგორც სხვა მაგალითი, მოდით შევხედოთ პროგრამას, რომელიც არის IRC საზღვრის კლიენტი: ასეთი პროგრამის გაფართოებული ფუნქციონალური შესაძლებლობებით, შესაძლებელია ქურდების და ტროას პროგრამების სწრაფად გამოვლენა (Zocrema, Backdoor) vikorist ფუნქციებზე, როგორიცაა. კლიენტი თქვენს საქმიანობაში. ამრიგად, „ტროას“ პროგრამა შეიძლება დაემატოს Power სკრიპტის IRC კლიენტის კონფიგურაციის ფაილს ჰაკერის ცოდნის გარეშე და წარმატებით შეწყვიტოს მისი დესტრუქციული ფუნქციები ინფიცირებულ მანქანაზე. ამ შემთხვევაში, ჰაკერი არ იქნება საეჭვო და თქვენს კომპიუტერში მავნე ტროას პროგრამების მუშაობის შესახებ.

ყველაზე ხშირად, სასარგებლო პროგრამები დამოუკიდებლად აყენებენ IRC კლიენტს მომხმარებლის კომპიუტერზე შემდგომი გამოყენებისთვის საკუთარი მიზნებისთვის. მდებარეობა ამ საქაღალდეში, როგორც წესი, არის Windows საქაღალდე და მისი ქვესაქაღალდე. ამ საქაღალდეებში IRC კლიენტის არსებობა აშკარად მიუთითებს იმაზე, რომ კომპიუტერი დაინფიცირდა ზოგიერთი საზიზღარი პროგრამით.

სარეკლამო პროგრამული უზრუნველყოფა (Adware, Advware, Spyware, Browser Hijackers) შექმნილია სარეკლამო შეტყობინებების ჩვენებისთვის (ყველაზე ხშირად გრაფიკული ბანერების სახით) და საძიებო მოთხოვნების გადამისამართებისთვის სარეკლამო ვებ გვერდებზე. რეკლამის ჩვენების გამო, ასეთი პროგრამები, როგორც წესი, არ მიუთითებს მათ არსებობაზე სისტემაში. გთხოვთ გაითვალისწინოთ, რომ Adware პროგრამებს არ აქვთ დეინსტალაციის პროცედურა.

• უფასო და ჭკვიანი უსაფრთხოების პროგრამულ უზრუნველყოფაში სარეკლამო კომპონენტების დანერგვის გზა (უფასო, shareware);
• სარეკლამო კომპონენტების არასანქცირებული ინსტალაციის გზით, როდესაც ექვემდებარება „ინფიცირებულ“ ვებგვერდებს.

უფასო და shareware კატეგორიის პროგრამების უმეტესობა აჩვენებს რეკლამას მათი შეძენისა და (ან) რეგისტრაციის შემდეგ. ასეთი პროგრამები ხშირად ეყრდნობა მესამე მხარის Adware უტილიტას. ზოგიერთ შემთხვევაში, ეს Adware პროგრამები აღარ არის დაინსტალირებული მომხმარებლის კომპიუტერზე და პროგრამების რეგისტრაციის შემდეგ, რომლებიც დაუყოვნებლივ იკარგება მის სისტემაში. ამ შემთხვევაში, Adware კომპონენტის არსებობა კვლავ გამოიყენება ნებისმიერი პროგრამის მიერ რეკლამის ჩვენებისთვის, რამაც შეიძლება გამოიწვიოს ამ პროგრამის მუშაობის გაუმართაობა.

ამ ტიპის Adware-ის ძირითადი დანიშნულება არის პროგრამული უზრუნველყოფის გადახდის იმპლიციტური ფორმა, რომელიც ეკისრება კომერციული სარეკლამო ინფორმაციის ჩვენებას (რეკლამის განმთავსებლები იხდიან სარეკლამო სააგენტოსთვის მათი რეკლამის ჩვენებას, ხოლო სარეკლამო სააგენტო იხდის Adware დისტრიბუტორს). სარეკლამო პროგრამული უზრუნველყოფა ხელს უწყობს ხარჯების შემცირებას როგორც პროგრამული უზრუნველყოფის შემქმნელებისთვის (შემოსავალი Adware-დან ასტიმულირებს მათ ახალი და მოწინავე პროგრამების დაწერას), ასევე თავად დეველოპერებს.

როდესაც დაზიანებული „ინფიცირებული“ ვებ გვერდების წაშლისას სარეკლამო კომპონენტები ინსტალირებულია, ხშირად გამოიყენება ჰაკერული ტექნოლოგიები (კომპიუტერში შეღწევა ვებ-ბრაუზერის უსაფრთხოების სისტემაში დარღვევით, აგრეთვე ტროას პროგრამების დანერგვა, როდესაც მნიშვნელობები არჩეული პროგრამული უზრუნველყოფის ინსტალაციისთვის). Adware პროგრამებს, რომლებიც ასე მოქმედებენ, ხშირად უწოდებენ "ბრაუზერის გამტაცებლებს".

ბევრი სარეკლამო პროგრამა, რეკლამების მიწოდების გარდა, ასევე აგროვებს კონფიდენციალურ ინფორმაციას კომპიუტერისა და მომხმარებლის შესახებ (IP მისამართი, OS ვერსია და ვებ ბრაუზერი, ყველაზე ხშირად მოძიებული ინტერნეტ რესურსების სია, საძიებო მოთხოვნები და ა.შ. ნებისმიერი ინფორმაცია, რომელიც შეიძლება გამოყენებულ იქნას სარეკლამო მიზნებისთვის).

ამ მიზეზით, Adware პროგრამებს ხშირად ასევე უწოდებენ Spyware (არ აურიოთ სარეკლამო პროგრამული უზრუნველყოფა Spyware კატეგორიაში Trojan Spy პროგრამებთან). Adware კატეგორიის პროგრამებს ზიანი მოაქვს არა მხოლოდ სამუშაოზე დახარჯული საათებისა და დროის ფლანგვის გამო, არამედ კონფიდენციალური მონაცემების ნაკადის რეალური საფრთხის გამო.

RiskWare და PornWare კლასების პროგრამების დაყოფა მიზეზის მიხედვით შეიძლება წარმოდგენილი იყოს წრიულ დიაგრამაში (ნახ. 4.2, Kaspersky Lab-ის მონაცემებზე დაყრდნობით).

AdTool არის სარეკლამო მოდულების ფართო სპექტრი, რომლებიც არ შეიძლება დაემატოს AdWare-ს, მაგრამ მათ მაინც აქვთ აუცილებელი იურიდიული ატრიბუტები: ლიცენზირებული, აჩვენონ თავიანთი ყოფნა კომპიუტერში და აცნობონ მომხმარებელს თავიანთი დიიიების შესახებ.

Პატარა 4.2.

პორნო-აკრეფები დამოუკიდებლად (მომხმარებლის ინფორმირების გარეშე) ამყარებენ სატელეფონო კავშირებს პრემიუმ ნომრებით, რაც ხშირად იწვევს სასამართლო პროცესებს აბონენტებსა და მათ სატელეფონო კომპანიებს შორის.

მონიტორის კატეგორიის პროგრამებს მიეკუთვნება ლეგალური „keyloggers“ (გასაღების წნევის ჩაწერის პროგრამები), რომლებიც ოფიციალურად გამოდის და იყიდება, თუ მათ აშკარად აქვთ სისტემაში ყოფნის რეგისტრაციის ფუნქცია, ასეთი პროგრამები ჩვენ შეიძლება ვიყოთ ვიკორსტანები, როგორც სრულფასოვანი ჯაშუშები. ტროიანები.

PSW-Tool კატეგორიის პროგრამები შექმნილია დავიწყებული პაროლების გასაახლებლად, მაგრამ ადვილად შეიძლება გამოიყენონ ქურდებმა და ამოიღონ ეს პაროლები კომპიუტერის მეხსიერებიდან არასაეჭვო მსხვერპლისთვის. Downloader კატეგორიის პროგრამები შეიძლება ბოროტად გამოიყენონ ქურდებმა არასასურველი შინაარსის მსხვერპლის კომპიუტერზე მოსატყუებლად.

სხვა პრობლემურ პროგრამებამდე დააინსტალირეთ სხვადასხვა პროგრამები ისე, რომ არ შეუქმნათ საფრთხე პირდაპირ კომპიუტერს, რომელზეც თქვენ აკავშირებთ, არამედ გამოყოთ ისინი სხვა პრობლემური პროგრამების შესაქმნელად, დისტანციურ სერვერებზე DDoS შეტევების ორგანიზებისთვის, მავნე სხვა კომპიუტერებზე და ა.შ.

ასეთ პროგრამებს მიეკუთვნება ვირუსის მოტყუება (Hoax) და რბილი ანტივირუსული პროგრამები (FraudTool), „ჰაკერული“ პროგრამები „ბოროტი“ დისტანციური კომპიუტერებისთვის (Exploit, HackTool), კონსტრუქტორები და უფასო პროგრამების პაკეტები (Construct ან, VirTool, Packed), პროგრამები. სპამისა და აღმოჩენის შეტევებისთვის (SpamTool, IM-Flooder, Flooder), პროგრამები კლიენტის თაღლითობაში შეყვანისთვის (BadJoke).

FraudTool-ის ძირითადი ტიპია ეგრეთ წოდებული Rogue-antivirus - პროგრამები, რომლებიც ითვლება შესანიშნავი ანტივირუსული შესაძლებლობებით. კომპიუტერზე დაყენების შემდეგ, თქვენ უნდა „იპოვოთ“ რაიმე სახის ვირუსი, დააინსტალიროთ იგი აბსოლუტურად „სუფთა“ კომპიუტერულ სისტემაზე და სცადოთ შეიძინოთ თქვენი ფასიანი ვერსია „ლიცენზირებისთვის“. კლიენტების პირდაპირი მოტყუების გარდა, პროგრამები შეიცავს AdWare ფუნქციას. სინამდვილეში, ეს პრაქტიკა ემყარება წამგებიანი პროგრამების მომგებიანობის შიშს.

Exploit და HackTool კატეგორიების ჰაკერების უტილიტები შექმნილია დისტანციურ კომპიუტერებში მათი შემდგომი კონტროლით შეღწევისთვის (ტროას პროგრამების გამარჯვების მეთოდები, როგორიცაა "backdoor") ან ჰაკერისგან სხვა მავნე პროგრამების სისტემის გამოყენებისთვის. "ექსპლოიტის" ტიპის ჰაკერული საშუალებები ახდენენ დაუცველობას ოპერაციულ სისტემებში ან აპლიკაციებში, რომლებიც დაინსტალირებულია თავდასხმის ქვეშ მყოფ კომპიუტერზე.

ვირუსების და ტროას პროგრამის კონსტრუქტორები არის კომუნალური საშუალებები, რომლებიც შექმნილია ახალი კომპიუტერული ვირუსებისა და ტროასების შესაქმნელად. იხილეთ ვირუსების კონსტრუქტორები DOS, Windows და მაკრო ვირუსებისთვის. ისინი საშუალებას გაძლევთ შექმნათ ვირუსების, ობიექტის მოდულების და (ან) პირდაპირ ინფიცირებული ფაილების გამომავალი ტექსტები.

ყველა კონსტრუქტორს აქვს სტანდარტული გრაფიკული ინტერფეისი, სადაც დამატებითი მენიუს სისტემის გამოყენებით შეგიძლიათ აირჩიოთ ვირუსის ტიპი, რომელიც თავს დაესხმება ობიექტებს, დაშიფვრის ხილვადობას ან ხელმისაწვდომობას, დაცვას ჰოსტისგან, ტექსტის შიდა სტრიქონებისგან და ასევე ეფექტი. და რომლებიც ახლავს რობოტ ვირუსს და ა.შ. სხვა კონსტრუქტორები არ ურთიერთობენ ინტერფეისთან და კითხულობენ ინფორმაციას მათი კონფიგურაციის ფაილიდან შექმნილი ვირუსის ტიპის შესახებ.

ნუკერის კატეგორიის კომუნალური საშუალებები უზრუნველყოფენ მოთხოვნის სპეციალურ რეგისტრაციას კომპიუტერებზე, რომლებიც თავს დაესხნენ გარკვეული პერიოდის განმავლობაში, რის შედეგადაც სისტემა თავს დაესხნენ. ეს პროგრამები იყენებს დაუცველობას edge სერვისებისა და ოპერაციული სისტემების პროგრამულ უზრუნველყოფაში, რის შედეგადაც სპეციალური ტიპის კიდეების სიმძლავრე იწვევს კრიტიკულ შეტევას აქსესუარზე.

პროგრამები კატეგორიებში Bad-Joke და Hoax ("ჩვენ გაბრაზებული ვართ") არის პროგრამები, რომლებიც არ დააზიანებს კომპიუტერს რაიმე პირდაპირი გზით, მაგრამ მიაწვდიან ინფორმაციას მათ შესახებ, ვინც უკვე განიცადა ასეთი ზიანი, ან დაზიანდება რაიმე ფორმით. თორემ აუტანელ პრობლემაზე კორისტუვაჩს უსწრებენ. „მძიმე სიცხემდე“, მაგალითად, პროგრამები, რომლებიც აჩვენებს კოროზიულ შეტყობინებებს მყარი დისკის ფორმატირების შესახებ (თუმცა ფორმატირება რეალურად არ არის ნაჩვენები), აღმოაჩენს ვირუსებს არაინფიცირებულ ფაილებში, აჩვენებს ახალ ვირუსს და შეტყობინებებს და ა.შ.

პოლიმორფული გენერატორი არ არის ვირუსი ამ სიტყვის პირდაპირი გაგებით, რადგან მისი ალგორითმი არ შეიცავს გამრავლების ფუნქციას. ამ ტიპის პროგრამის მთავარი ფუნქციაა ვირუსის სხეულის დაშიფვრა და დამადასტურებელი დეშიფრატორის გენერირება.

პოლიმორფული გენერატორი შეიძლება გაფართოვდეს მისი ავტორების მიერ საარქივო ფაილის ხედვის შეზღუდვის გარეშე. ნებისმიერი გენერატორის არქივში მთავარი ფაილი არის ობიექტის მოდული, რომელიც შეიცავს ამ გენერატორს.

დაუცველი პროგრამების ფუნქციონირების სქემების ევოლუცია ერთი მოდულიდან რთულ მოდულებამდე და ერთმანეთთან ურთიერთქმედების პროექტებამდე დაიწყო ამ საუკუნის დასაწყისში. წამგებიანი პროგრამების ფუნქციონირების ახალი მოდელი არა მხოლოდ პასუხისმგებელია გახდეს ახალი წამგებიანი პროექტების მასის სტანდარტი, არამედ მისი შემდგომი განვითარების თავიდან აცილებაც.

ამ მოდელის ძირითადი მახასიათებლებია:

• ინფიცირებული კომპიუტერების რაოდენობის ერთი საკონტროლო ცენტრის არსებობა;
• აქტიური წინააღმდეგობა მესამე მხარის მეთვალყურეობისა და კონტროლის გადატვირთვის მიმართ;
• ფასდაკლების კოდების მყისიერი მასობრივი და მოკლე საათიანი ჩამოტვირთვა;
• სოციალური ინჟინერიის მახასიათებლების კომპეტენტური განხორციელება;
• გაფართოების სხვადასხვა მეთოდის შერჩევა და ინფორმაციის მიღება მათგან ყველაზე თვალსაჩინო (ელექტრონული ფოსტა);
• სხვადასხვა მოდულის შერჩევა სხვადასხვა ფუნქციების განსახორციელებლად (და არა ერთი უნივერსალური).

ცნობილი ტერმინის Web 2.0 ანალოგიით, ახალი თაობის წამგებიანი პროგრამები შეიძლება ეწოდოს MalWare 2.0.

სისტემაში ყოფნის მოპოვების ტექნიკა (rootkits) ჩართული იქნება არა მხოლოდ ტროას პროგრამებში, არამედ ფაილურ ვირუსებშიც. ამ გზით შესაძლებელი იქნება MS-DOS ოპერაციული სისტემის საათებში დაბრუნება, თუ არსებობს რეზიდენტი სტელსი ვირუსები. ეს არის ანტივირუსული პროგრამების საწინააღმდეგო მეთოდების ლოგიკური განვითარება. ცუდი პროგრამები ახლა შეიძლება გამორთოთ სისტემაში მათი აღმოჩენის შემდეგ.

კომპიუტერზე პროგრამების არსებობის კიდევ ერთი საშიში გზა არის დისკის კერძო სექტორის ინფიცირების ტექნოლოგია - ე.წ. ეს არის ძველი ტექნიკის სრული შებრუნება, რომელიც საშუალებას აძლევს თაღლითურ პროგრამებს მოიპოვონ კონტროლი ოპერაციული სისტემის (და ანტივირუსული პროგრამების) ძირითადი ნაწილის ჩართვამდეც კი. Bootkits არის rootkits ნებისმიერი მოწყობილობის კერძო სექტორის აღების ფუნქციით. მათი მინუსი მდგომარეობს იმაში, რომ საზიზღარი კოდი ამოღებულია კონტროლიდან ჯერ კიდევ OS-ის დაწყებამდე და, შესაბამისად, დაცულია ანტივირუსული პროგრამა.

ჩატვირთვის ტექნოლოგიის დანერგვის ერთ-ერთი ყველაზე ნათელი აპლიკაცია არის vbootkit. vbootkit მოქმედებების გამარტივებული თანმიმდევრობა ასე გამოიყურება. კომპიუტერის ჩართვისა და BIOS პროგრამის დაინსტალირების შემდეგ აქტიურდება Vbootkit კოდი (CD-დან ან სხვა მოწყობილობიდან). შემდეგ საწყისი ჩამოტვირთვის პროგრამა გამოდის MBR-დან და ჩამოტვირთავს Windows Vista OS-ს, რის შემდეგაც კონტროლი გადადის ოპერაციული სისტემის ბირთვზე.

ვინაიდან vbootkit უარს ამბობს კონტროლზე სისტემაზე, ის მოითხოვს BIOS 13-ის გადაკეთებას, შემდეგ ეძებს ხელმოწერებს Windows Vista-სთვის. ამ ხარვეზების აღმოჩენის შემდეგ, Windows Vista იწყებს მოდიფიკაციას, დაუყოვნებლივ იღებს საკუთარ თავს (მისი კოდის ნაწილებად განთავსება RAM-ის სხვადასხვა ზონაში). ეს ცვლილებები მოიცავს უსაფრთხოების ისეთი მახასიათებლების გვერდის ავლას, როგორიცაა ელექტრონული ციფრული ხელმოწერების გადამოწმება, ჰეშის მნიშვნელობების კონტროლი, ასევე შემდეგი ნაბიჯები სისტემაზე კონტროლის შესანარჩუნებლად პროცესის როგორც პირველ, ისე სხვა ფაზებზე. vantazhennya.

კიდევ ერთი ეტაპი მოიცავს ოპერაციული სისტემის ბირთვის გაფართოებას ისე, რომ vbootkit ინარჩუნებს მასზე კონტროლს, სანამ არ დაინსტალირდება. ამრიგად, koristuvach-ს ექნება vbootkit დაინსტალირებული Windows Vista-ს ბირთვში.

Bootkits ინახავს მხოლოდ იმ მინიმალურს, რაც საჭიროა კერძო სექტორში ძირითადი კოდის გასაშვებად. ეს მთავარი კოდი ინახება სხვა სექტორებში, ნაცვლად იმისა, რომ ჩატვირთვის ნაკრები შეიცავს, BIOS არაერთხელ წყდება სექტორის წასაკითხად.

სოციალური მედიის მომხმარებლები შესაძლოა იყვნენ ე.წ. ფიშინგის მთავარი სამიზნე. სხვადასხვა ქსელური სერვისების აბონენტების ღრუბლოვანი მონაცემები ექვემდებარება გაზრდილ მოთხოვნას ტრეფიკერების მხრიდან. ეს გახდება მავნე პროგრამების მავნე ვებსაიტებზე განთავსების მეთოდის მნიშვნელოვანი ალტერნატივა. „ტროას“ პროგრამებს შეუძლიათ გავრცელდნენ სოციალური მედიის ანგარიშების ღრუბელში, მათი ბლოგებისა და პროფილების მეშვეობით.

სოციალურ ზომებთან დაკავშირებული კიდევ ერთი პრობლემა შეიძლება იყოს XSSPHPSQL-aTaKH სტატიები. გარდა ფიშინგისა, რომელიც ეფუძნება, სხვა საკითხებთან ერთად, სოციალური ინჟინერიის ჰაკერების მეთოდებსა და მეთოდებს, ასევე vikory ჰაკერების თავდასხმებს და თავად Web 2.0 სერვისების დაუცველობას, ისინი შეიძლება იყოს სამიზნე ძალიან კომპეტენტური კორესპონდენტების მიერ. Istuvachiv. ქურდების მეთოდი და ამ შემთხვევაში კორისტუვაჩების პერსონალური მონაცემებია, რაც აუცილებელია აქტიური მონაცემთა ბაზებისა და სიების შესაქმნელად შემდგომი თავდასხმების „ტრადიციული“ გზებით განსახორციელებლად.

ძირითადი ფაქტორები, რომლებიც უზრუნველყოფენ ჰაკერების და ჰაკერების უშუალო ინტერესს Web 2.0 სერვისებით, არის:

• პერსონალური კომპიუტერებისთვის მონაცემთა დავალებების ინტერნეტში გადაცემა;
• ერთი ღრუბლოვანი ჩანაწერის ჩანაცვლება მრავალი სხვადასხვა სერვისისთვის;
• ტრეიდერების შესახებ დეტალური ინფორმაციის ხელმისაწვდომობა;
• ინფორმაციის ხელმისაწვდომობა კავშირების, კონტაქტებისა და ცნობილი კლიენტების შესახებ;
• მოცემული ადგილი ნებისმიერი ინფორმაციის გამოქვეყნებისთვის;
• დარწმუნდით, რომ დარწმუნდებით კონტაქტებს შორის კავშირებზე.

ეს პრობლემა ახლა სერიოზული ხდება და, ფახვიტების აზრით, ყველა შანსი აქვს გახდეს ინფორმაციული უსაფრთხოების მთავარი პრობლემა.

რაც შეეხება მობილურ მოწყობილობებს და განსაკუთრებით მობილურ ტელეფონებს, მათთვის საფრთხეები მერყეობს მარტივი ტროას პროგრამებიდან და სხვადასხვა დაუცველობით ოპერაციულ სისტემებში და სმარტფონების დანამატებიდან.

ეს მსგავსია პროგრამული უზრუნველყოფის სანიშნეების CS-ზე გადატანის მეთოდებთან და სანიშნეების სისტემაში მათი განთავსების შესაძლო ადგილი შეიძლება დაიყოს სხვადასხვა ჯგუფებად:

• BIOS-თან დაკავშირებული პროგრამული სანიშნეები;
• ვებ ბრაუზერებთან და ოპერაციული სისტემის აპებთან დაკავშირებული სანიშნეები;
• სანიშნეები, რომლებიც დაკავშირებულია ოპერაციული სისტემის დრაივერებთან და სისტემის სხვა მოდულებთან;
• სანიშნეები, რომლებიც დაკავშირებულია გამოყენებულ პროგრამულ უზრუნველყოფასთან სხვა მიზნებისთვის (მაგალითად, არქივები);
• პროგრამის ფაილები, რომლებიც ცვლის მხოლოდ სანიშნეების კოდს და გამოიყენება სერიის ბრძანების ფაილებთან ერთად;
• სანიშნეები, გადაცმული, როგორც გამოყენებული უსაფრთხოების პროგრამული უზრუნველყოფა ფარული მიზნებისთვის;
• სანიშნეები, ნიღბიანი თამაშის და განათების უსაფრთხოების პროგრამის ქვეშ (CS-ში მათი პირველადი გამოყენების გასაადვილებლად).

І პრევენცია - ფაილების ან ოპერაციული სისტემების ინფექციების (მოდიფიკაციების) თავიდან აცილება.

ვირუსებისგან დაცვის მეთოდები[ | ]

ვირუსებისგან თავის დასაცავად გამოიყენება მეთოდების სამი ჯგუფი:

1. მეთოდებზე დაფუძნებული ფაილების ნაცვლად ანალიზი(როგორც მონაცემთა ფაილები, ასევე ბრძანების ფაილები). ეს ჯგუფი მოიცავს ვირუსის ხელმოწერების სკანირებას, ასევე საეჭვო ბრძანებების მთლიანობის შემოწმებას და სკანირებას.
2. მეთოდებზე დაფუძნებული პროგრამის ქცევის განახლებამათ ვიკონიკაზე. ეს მეთოდები შედის ყველა მეთოდის პროტოკოლში, რომელიც საფრთხეს უქმნის სისტემის უსაფრთხოებას და ტესტირება ხდება როგორც რეალური ტესტირებისას, ასევე პროგრამული ემულაციის დროს.
3. მეთოდები სამუშაო პროცედურების რეგულირებაფაილებითა და პროგრამებით. ეს მეთოდები მიყვანილია უსაფრთხოების ადმინისტრაციულ დონეზე.

ხელმოწერის სკანირების მეთოდი(ხელმოწერის ანალიზი, ხელმოწერის მეთოდი) ფაილებში ძიების მიზეზები უნიკალური ბაიტის თანმიმდევრობით - ხელმოწერა, დამახასიათებელია მომღერალი ვირუსისთვის. კანზე ვირუსის აღმოჩენისას ანტივირუსული ლაბორატორია ატარებს ანალიზს, რომელზეც გამოსახულია მისი ხელმოწერა. ამოღებული ფრაგმენტი მოთავსებულია ანტივირუსული პროგრამის მიერ გამოყენებული ვირუსის ხელმოწერების სპეციალურ მონაცემთა ბაზაში. ამ მეთოდის უპირატესობა არის ინფექციის მოთხოვნის აშკარად დაბალი სიხშირე, ხოლო მთავარი ნაკლი არის სისტემაში ახალი ვირუსის გამოვლენის შეუძლებლობა, რაც არ უნდა იყოს ხელმოწერა ანტივირუსული პროგრამების მონაცემთა ბაზაში, ის მოითხოვს მონაცემთა ბაზების სათანადო განახლებას. და ხელმოწერის მონაცემები.

მთლიანობის კონტროლის მეთოდიგამომდინარე იქიდან, რომ დისკზე მონაცემების ნებისმიერი დაუსაბუთებელი და არაგონივრული ცვლილება, სავარაუდოდ, მოითხოვს ანტივირუსული სისტემის განსაკუთრებულ პატივისცემას. ვირუსი აუცილებლად შლის მტკიცებულებებს მისი არსებობის შესახებ (მონაცემების შეცვლა არსებულ (განსაკუთრებით სისტემურ ან შედგენილ) ფაილებზე, ახალი კომპილირებული ფაილების გამოჩენა და ა.შ.). მონაცემების შეცვლის ფაქტი - მთლიანობის დაკარგვა- ადვილია საკონტროლო ჯამის (დაიჯესტის) გათანაბრების ხერხის დადგენა, რომელიც შემდეგ უზრუნველყოფილია სატესტო პროდუქტის გამომავალი წისქვილისთვის და საკონტროლო ჯამი (დაიჯესტი) ტესტის პროდუქტის ნაკადის წისქვილისთვის. თუ სუნი არ არის თავიდან აცილებული, ეს ნიშნავს, რომ მთლიანობა განადგურებულია და არ არის საჭირო დამატებითი გადამოწმების ჩატარება, მაგალითად, ვირუსის ხელმოწერების სკანირება. მნიშვნელობის მეთოდი მსგავსია ხელმოწერების სკანირების მეთოდის, საკონტროლო ჯამის ფრაგმენტების ფრაგმენტები საჭიროებს ნაკლებ გამოთვლას, ფრაგმენტების ბაიტი-ბაიტის გასწორების ქვედა ოპერაცია, გარდა ამისა, ის საშუალებას გაძლევთ ამოიცნოთ აქტივობის კვალი, მათ შორის უცნობი ვირუსების რაოდენობა. რისთვისაც მონაცემთა ბაზაში ჯერ არ არის ხელმოწერები.

საეჭვო გუნდების სკანირების მეთოდი(ევრისტიკული სკანირება, ევრისტული მეთოდი) დაფუძნებულია დასკანირებულ ფაილში გამოვლენილი საეჭვო ბრძანებების გარკვეულ რაოდენობაზე და (ან) საეჭვო თანმიმდევრობის ნიშნებზე (მაგალითად, მყარი დისკის ფორმატირების ბრძანება ან ხატზე გადაცემის ფუნქცია). ces abo vikonuvaniy). ამიტომ, გთხოვთ, გაითვალისწინოთ ფაილის ცუდი შინაარსი და მიიღოთ დამატებითი ინფორმაცია თქვენი შესწორების საფუძველზე. ამ მეთოდს აქვს კოდის გაჟონვის მაღალი რისკი, მაგრამ ხშირად შეიძლება ვერ აღმოაჩინოს ახალი ვირუსები.

პროგრამის ქცევის გაზრდის მეთოდიპრინციპი განსხვავდება ადრე შექმნილი ფაილების ნაცვლად სკანირების მეთოდებში. ეს მეთოდი ეფუძნება გაშვებული პროგრამების ქცევის ანალიზს, რომელიც შეიძლება შევადაროთ ბოროტმოქმედის ხელჩაკიდებულ ბოროტმოქმედს. ამ ტიპის ანტივირუსული ხელსაწყოები ხშირად ეყრდნობა ინვესტორის აქტიურ ნაწილს, რომელსაც მოუწოდებენ მიიღონ გადაწყვეტილებები სისტემაში მიღწევების რაოდენობის მიხედვით, რომელთაგან ბევრი შეიძლება მოგვიანებით გამოჩნდეს სიგნალიზაციის სახით. პატიების მოთხოვნის სიხშირე (არანაგულისხმევი ფაილის ვირუსზე ეჭვი ან გონივრული ფაილის გამოტოვება), როდესაც ზღურბლის გადაჭარბება ხდება, ამ მეთოდს არაეფექტურს ხდის და კორესპონდენტმა შეიძლება შეწყვიტოს მიღწევებზე რეაგირება ან აირჩიოს ოპტიმისტური სტრატეგია (დაუშვას ყველაფერი და ყველაფერი. ისინი გაშვებულია პროგრამებით (ან ჩართეთ ეს ანტივირუსული ფუნქცია). ანტივირუსული სისტემების გამოყენებით, რომლებიც აანალიზებენ პროგრამების ქცევას, ყოველთვის არსებობს ვირუსის ბრძანებების და მავნე პროგრამული უზრუნველყოფის დარღვევის რისკი, რომელიც მოპარულია კომპიუტერიდან ან ქსელიდან. ასეთი შემდგომი პრობლემების აღმოსაფხვრელად, ემულაციის მეთოდი საშუალებას გაძლევთ გაუშვათ პროგრამა სატესტო პროგრამაში სპეციალურად დამზადებულ (ვირტუალურ) შუალედში, რომელსაც ხშირად უწოდებენ sandbox-ს, დაზიანების რისკის გარეშე. პროგრამის ქცევის ანალიზის სხვადასხვა მეთოდმა აჩვენა მათი მაღალი ეფექტურობა როგორც ცნობილი, ისე უცნობი კორუმპირებული პროგრამების იდენტიფიცირებისას.

ყალბი ანტივირუსი [ | ]

2009 წელს ყალბი ანტივირუსი უფრო აქტიური გახდა [ ] - პროგრამული უზრუნველყოფის უსაფრთხოება, რომელიც არ არის ანტივირუსული (ასე რომ მას არ გააჩნია რეალური ფუნქციონირება მავნე პროგრამების თავიდან ასაცილებლად), მაგრამ ითვლება ასეთად. სინამდვილეში, ყალბი ანტივირუსი შეიძლება იყოს ან ვაჭრების მოტყუების პროგრამები და მოგების მოპარვა „სისტემის ვირუსებისგან გაწმენდისთვის“ ან უკიდურესად წამგებიანი პროგრამული უზრუნველყოფისთვის.

სპეციალური ანტივირუსები[ | ]

2014 წლის ბოლოს, საერთაშორისო უფლებადამცველმა ორგანიზაცია Amnesty International-მა გამოუშვა ანტივირუსული პროგრამა Detect, რომელიც შექმნილია სამთავრობო უწყებების მავნე პროგრამული უზრუნველყოფის იდენტიფიცირებისთვის სამოქალაქო აქტივისტებისა და პოლიტიკური ოპონენტების მონიტორინგისთვის. ანტივირუსი, შემქმნელების თქმით, მოითხოვს მყარი დისკის უფრო საფუძვლიან სკანირებას, უფრო ნაკლებს, ვიდრე პირველადი ანტივირუსი.

ანტივირუსების ეფექტურობა[ | ]

ანალიტიკურმა კომპანიამ Imperva-მ, როგორც Hacker Intelligence Initiative-ის ნაწილმა, გამოაქვეყნა კვლევა, რომელიც აჩვენებს ანტივირუსების უმეტესობის დაბალ ეფექტურობას რეალურ გონებაში.

სხვადასხვა სინთეზური ანტივირუსული ტესტები აჩვენებს საშუალო ეფექტურობას დაახლოებით 97%, მიუხედავად იმისა, რომ ტესტები ტარდება ასობით ათასი ნიმუშის მონაცემთა ბაზებზე, რომელთა აბსოლუტური უმრავლესობა (შესაძლოა 97%) არ გამოიყენება შეტევების განსახორციელებლად. .

საქმე იმაშია, რამდენად ეფექტურია ანტივირუსები მიმდინარე საფრთხეების წინააღმდეგ. ბაზრის ინფორმირებისთვის, კომპანია Imperva-მ და თელ-ავივის უნივერსიტეტის სტუდენტებმა მიიღეს უახლესი მავნე პროგრამის 82 ვერსია რუსული მიწისქვეშა ფორუმებიდან - და გადაამოწმეს იგი VirusTotal მონაცემთა ბაზის გამოყენებით, ანუ 42 ანტივირუსული ძრავით. შედეგი დამღუპველი იყო.

1. ანტივირუსების ეფექტურობა მძიმედ შედგენილი მავნე პროგრამების წინააღმდეგ იყო 5%-ზე ნაკლები. ეს არის სრულიად ლოგიკური შედეგი; ვირუსების შემქმნელთა უმეტესობას მოეთხოვება მათი ტესტირება VirusTotal მონაცემთა ბაზის გამოყენებით.
2. როგორც კი ვირუსი გამოჩნდება, ანტივირუსების მიერ მის ამოცნობას ოთხი წელი სჭირდება. ეს მაჩვენებელი მიიღწევა „ელიტარული“ ანტივირუსებით, ხოლო სხვა ანტივირუსებს შეიძლება დასჭირდეს 9-12 თვემდე. მაგალითად, გამოძიების დაწყებისთანავე, 2012 წლის 9 თებერვალს, გადამოწმებული იქნა ყალბი Google Chrome ინსტალერის ახალი სურათი. 2012 წლის 17 ნოემბერს გამოკითხვის დასრულების შემდეგ 42 ანტივირუსიდან მხოლოდ 23 გამოვლინდა.
3. ანტივირუსებს, რომლებსაც აქვთ მავნე პროგრამების ყველაზე დიდი რაოდენობა, ასევე აქვთ რბილი აპლიკაციების ყველაზე მეტი რაოდენობა.
4. გამოძიებას მინდა ვუწოდო ობიექტური, რადგან მავნე პროგრამების შერჩევა მცირე იყო, მაგრამ შეგვიძლია ვივარაუდოთ, რომ ანტივირუსები აბსოლუტურად უსარგებლოა ახალი კიბერ საფრთხეების წინააღმდეგ.

ანტივირუსული პროგრამების კლასიფიკაცია[ | ]

ანტივირუსული პროგრამები კლასიფიცირდება ბლოკირებისთვის (დაბლოკვის ფუნქციები) შემდეგნაირად:

• პროგრამული უზრუნველყოფა;
• პროგრამული უზრუნველყოფა და აპარატურა.

RAM-ში მდებარეობის ნიშნის მიღმა ხედავთ:

• რეზიდენტი (იწყებენ მუშაობას ოპერაციული სისტემის დაწყებისას, მუდმივად ცხოვრობენ კომპიუტერის მეხსიერებაში და განახორციელებენ ფაილების ავტომატურ გადამოწმებას);
• არარეზიდენტი (გაშვებულია კლიენტის შეხედულებისამებრ ან მათთვის განსაზღვრული გრაფიკის მიხედვით).

დაცვის ტიპის (მეთოდის) მიხედვით, ვირუსები იყოფა:

ეს შეესაბამება რუსეთის FSTEC-ის მარეგულირებელ სამართლებრივ აქტს "Vombogi პროდუქციის ტექნიკური რეგულირების სფეროში, vikoristovanie ჩანაწერების დასაცავად, სახელმწიფო ციხეში გადაქცევის ან დაცულ ზონაში გადაყვანის მიზნით, მაგრამ სანამ კანონმდებლობა არ დაკმაყოფილდება. რუსეთის ფედერაცია, სხვა ინფორმაცია ექვემდებარება წვდომას (ექვემდებარება ანტივირუსულ დაცვას)" (რეპ. .რუსეთის FSTEC 2012 წლის 20 თებერვლის ნომერი 28 ბრძანებით) იხილეთ ანტივირუსული დაცვის მახასიათებლების მომავალი ტიპები:

• ტიპი "A" - ანტივირუსული დაცვის ფუნქციები (ანტივირუსული დაცვის მახასიათებლების კომპონენტები), განკუთვნილია საინფორმაციო სისტემის კომპონენტებზე დაინსტალირებული ანტივირუსული დაცვის ფუნქციების ცენტრალიზებული ადმინისტრირებისთვის (სერვერები, ავტომატური სამუშაო სადგურები);
• ტიპი "B" - ანტივირუსული დაცვის მახასიათებლები (ანტივირუსული დაცვის მახასიათებლების კომპონენტები), განკუთვნილი საინფორმაციო სისტემის სერვერებზე ინსტალაციისთვის;
• ტიპი "B" - ანტივირუსული დაცვის მახასიათებლები (ანტივირუსული დაცვის მახასიათებლების კომპონენტები), რომლებიც განკუთვნილია საინფორმაციო სისტემების ავტომატურ სამუშაო სადგურებზე ინსტალაციისთვის;
• ტიპი "G" - ანტივირუსული დაცვის მახასიათებლები (ანტივირუსული დაცვის მახასიათებლების კომპონენტები), რომლებიც განკუთვნილია ავტონომიურ ავტომატურ სამუშაო სადგურებზე ინსტალაციისთვის.

ანტივირუსული დაცვის ტიპის "A" მახასიათებლები დამოუკიდებლად არ შედის საინფორმაციო სისტემებში და განკუთვნილია მხოლოდ ანტივირუსული დაცვის ტიპების "B" და (ან) "C" მახასიათებლებთან ერთად გამოსაყენებლად.

აუცილებელია ვირუსებმა და კიბერ-ინტრაიდერებმა ვირუსის, მავნე პროგრამის ან ტროას პროგრამების შეტანა დაზარალებულ კომპიუტერში ან მობილურ ტელეფონში. იგი მიიღწევა სხვადასხვა გზით, რომლებიც იყოფა ორ ძირითად კატეგორიად:

• სოციალური ინჟინერია (ტერმინი "სოციალური ინჟინერია" ასევე გამოიყენება - თარგმანი ინგლისური "სოციალური ინჟინერიიდან");
• ტექნიკური ტექნიკა მომხმარებლის ცოდნის გარეშე სისტემის ინფიცირებაში მავნე კოდის დანერგვისთვის.

ხშირად არსებობს ღამის ვიკორიზირების გზები. ამ შემთხვევაში ხშირად გამოიყენება სპეციალური შესვლა ანტივირუსული პროგრამების წინააღმდეგ.

Სოციალური ინჟინერია

სოციალური ინჟინერიის მეთოდები არის ჰაკერების ცდუნების ერთ-ერთი სხვა გზა ინფიცირებული ფაილის გაშვებით ან ინფიცირებულ ვებსაიტზე გაგზავნილი შეტყობინების გახსნით. ამ მეთოდებს აფერხებს არა მხოლოდ საფოსტო მუშაკების რაოდენობა, არამედ სხვა სახის უსარგებლო პროგრამული უზრუნველყოფა.

ჰაკერების და ვირუსების პრევენცია - მომხმარებლის ყურადღება მიაქციეთ ინფიცირებულ ფაილს (ან HTTP შეტყობინებას ინფიცირებული ფაილისთვის), დააწკაპუნეთ მომხმარებელზე, აიძულეთ მას დააჭიროს ფაილს (ან გაგზავნოს შეტყობინება ფაილზე). "კლასიკური ჟანრი" არის საფოსტო ჭია LoveLetter, რომელიც ფართოდ იყო გავრცელებული 2000 წლის ბალახში და დღემდე ინარჩუნებს ლიდერობას მთლიანი ფინანსური ჭარბი მასშტაბის მიხედვით, Computer Economics-ის მონაცემებით. მესიჯი, როგორც ეკრანზე გამოსახული ჭია, თითქოს მოდიოდა:

"I LOVE YOU" სიმღერაზეც კი იყო მდიდარი გამოხმაურება და შედეგად, დიდი კომპანიების ფოსტის სერვერებმა ყურადღება არ დაკარგეს - ჭიამ თავისი ასლები გაუგზავნა მისამართების წიგნიდან ყველა კონტაქტს თანდართული VBS-ის კანით. ფაილი.

ფოსტის სერვერმა Mydoom-მა, რომელმაც 2004 წელს "აფეთქდა" ინტერნეტში, მოახდინა ვიკორიზირებული ტექსტები, რომლებსაც აქვთ ფოსტის სერვერის ტექნიკური ცოდნა.

ვარტომ ასევე გამოიცნო Swen worm, რომელიც მან დაინახა Microsoft-ის კომპანიის შესახებ ცოდნის გამო და იყო შენიღბული, როგორც პატჩი, რომელმაც შემოიტანა რამდენიმე ახალი განახლება Windows-ში (გასაკვირი არ არის, რომ ბევრი ჰაკერი დაემორჩილა მოთხოვნას დაეყენებინა worm's. პატჩი Microsoft-ისთვის”).

ასევე არის ინციდენტები, რომელთაგან ერთ-ერთი მოხდა 2005 წლის ფოთლის შემოდგომაზე. Sober-ის სიუჟეტის ერთ-ერთ ვერსიაში გავრცელდა ინფორმაცია, რომ გერმანიის კრიმინალური პოლიცია იძიებდა არალეგალური ვებსაიტების ტიპებს. ეს ფურცელი მოიხმარა ბავშვთა პორნოგრაფიის მოყვარულმა, რომელმაც ის ოფიციალურ ფურცელად შეცვალა და ჭორები დაკარგა კონტროლი.

განსაკუთრებით პოპულარული გახდა არა ფურცელზე დამატებული ფაილები, არამედ ინფიცირებულ საიტზე ატვირთულ ფაილებზე განთავსებული შეტყობინებები. პოტენციურ მსხვერპლს ეგზავნება შეტყობინებები - ფოსტით, ICQ ან სხვა პეიჯერით, ან თუნდაც IRC ინტერნეტ ჩეთებით (მობილური ვირუსების შემთხვევაში, მიწოდების ძირითადი მეთოდია SMS შეტყობინებები). გთხოვთ, განათავსოთ ნებისმიერი დამატებითი ტექსტი, რომელიც არაფერს გააფუჭებს და არ შეგეპაროთ ეჭვი, რომ მომხმარებელს დააწკაპუნოს შეტყობინებაზე. დაზარალებულ კომპიუტერებში შეღწევის ეს მეთოდი დღეს ყველაზე პოპულარული და ეფექტურია, რადგან ის საშუალებას გაძლევთ გვერდის ავლით ძლიერი ანტივირუსული ფილტრები ფოსტის სერვერებზე.

ასევე შესწავლილია ფაილების გაზიარების ქსელების (P2P ქსელები) შესაძლებლობები. ჭია ან ტროას პროგრამა მოთავსებულია P2P გარემოში სხვადასხვა „გემრიელ“ სახელწოდებით, მაგალითად:

• AIM & AOL პაროლი Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• play station emulator crack.exe

ახალი პროგრამების ძიებისას, P2P მომხმარებლები ხვდებიან ამ სახელებს, გადმოწერენ ფაილებს და გაუშვით Windows-ზე.

თქვენ ასევე შეგიძლიათ მიჰყვეთ პოპულარულ „თაღლითობას“, თუ მსხვერპლს შესთავაზებენ უფასო პროგრამას ან ინსტრუქციებს სხვადასხვა გადახდის სისტემების ბოროტების შესახებ. მაგალითად, შეგიძლიათ მიიღოთ უფასო წვდომა ინტერნეტზე ან მობილურ ოპერატორზე, ჩამოტვირთოთ საკრედიტო ბარათის ნომრების გენერატორი, გაზარდოთ ფულის ოდენობა თქვენს პირად ინტერნეტ კავშირში და ა.შ. ბუნებრივია, მათ, ვინც მსგავსი თაღლითები განიცადა, ნაკლებად სავარაუდოა, რომ სამართალდამცავი ორგანოები დაუკავშირდნენ (და, ფაქტობრივად, ისინი თავად ცდილობდნენ ფულის გამომუშავებას თაღლითური გზით) და ინტერნეტ ბოროტმოქმედებს სურდათ მათი გამოყენება.

2005-2006 წლებში რუსეთიდან უცნობი ბოროტმოქმედის ვიკორისტების „გაყრის“ უპრეცედენტო მეთოდი. ტროას პროგრამა გაიგზავნა ვებ-გვერდზე job.ru-ზე გამოვლენილ მისამართებზე, რომელიც სპეციალიზირებულია პერსონალის ტრენინგსა და ძიებაში. მათ, ვინც იქ გამოაქვეყნეს თავიანთი რეზიუმე, შექმნეს წინადადება სამუშაოს შესახებ ფურცელზე მიმაგრებული ფაილით, რომლის გახსნაც სურდათ და გაეცნოთ მისი ადგილმდებარეობის შესახებ. ფაილი, რა თქმა უნდა, ტროას პროგრამაა. ასევე მნიშვნელოვანია, რომ თავდასხმა განხორციელდა ძირითადად კორპორატიული ფოსტის მისამართებზე. როზრაჰუნოკმა, ალბათ, იცოდა, რომ კომპანიის უსაფრთხოების სპეციალისტები ნაკლებად სავარაუდოა, რომ აცნობებდნენ ინფექციის შესახებ. ასეც მოხდა - კასპერსკის ლაბორატორიის ყალბები ვეღარ უგულებელყოფდნენ სხვადასხვა ინფორმაციას ტროას პროგრამების კორპორატიული კლიენტების კომპიუტერებში შეღწევის მეთოდის შესახებ.

ასევე არის საკმაოდ ეგზოტიკური სიტუაციები, მაგალითად, ფურცელი თანდართული დოკუმენტით, რომელშიც კლიენტ ბანკს სთხოვენ დაადასტუროს (უფრო სწორად, აცნობოს) მისი წვდომის კოდები - გახსენით დოკუმენტი, შეავსეთ თანდართული ფორმა და გაგზავნეთ ფაქსი ფურცელზე მითითებულია ტელეფონის ნომერი.

ჯაშუშური პროგრამების სახლში მიწოდების კიდევ ერთი მოულოდნელი ეპიზოდი მოხდა იაპონიაში 2005 წლის გაზაფხულზე. ზოგიერთმა კრიმინალმა გაგზავნა ტროას ჯაშუშური პროგრამებით ინფიცირებული CD-ები ერთ-ერთი იაპონური ბანკის კლიენტების სახლის მისამართებზე (ქალაქი, ქუჩა, ჯიხური). ამ შემთხვევაში მოიპარეს ინფორმაცია თავად ბანკის ადრე მოპარული კლიენტების მონაცემთა ბაზიდან.

ტექნოლოგიის წინსვლა

ამ ტექნოლოგიებს კრიმინალები იყენებენ სისტემაში მავნე კოდის შესატანად ფარულად, კომპიუტერის მფლობელს ყურადღების მიქცევის გარეშე. ეს ხდება ოპერაციული სისტემებისა და პროგრამული უზრუნველყოფის უსაფრთხოების სისტემაში დაუცველობის გამო. დაღვრის არსებობა მავნე ჰაკერს ან ტროას პროგრამებს საშუალებას აძლევს შეაღწიონ მსხვერპლის კომპიუტერში და დამოუკიდებლად გაუშვან თავი კომპიუტერზე.

ეს, არსებითად, არის პრობლემა კოდში ან სხვადასხვა პროგრამის მუშაობის ლოგიკაში. დღევანდელ ოპერაციულ სისტემებსა და დანამატებს აქვთ რთული სტრუქტურა და დიდი ფუნქციონირება და მათი დიზაინისა და განვითარების დროს რაიმე ხარვეზის თავიდან აცილება უბრალოდ შეუძლებელია. სწორედ აქ ინანიებენ ვირუსების დამწერები და კომპიუტერის თაღლითები.

Nimda და Aliz ფოსტის ჭიები საზიანო აღმოჩნდა Outlook-ის ელ.ფოსტის კლიენტებში. ჰაკერული ფაილის გასაშვებად, ჯერ უნდა გახსნათ ინფიცირებული ფურცელი ან უბრალოდ გადაიტანოთ კურსორზე ფანჯარაში.

ასევე, ცუდი პროგრამები აქტიურად იყენებდნენ დაუცველობებს ოპერაციული სისტემების ზღვრულ კომპონენტებში. მათი შესაძლებლობების გასაფართოებლად, ჭიები CodeRed, Sasser, Slammer, Lovesan (Blaster) და მრავალი სხვა ჭია, რომლებიც მუშაობენ Windows OS-ით, გამოიყენეს ასეთი დესტრუქციული ჭიების შესაქმნელად. ასევე მოხვდა Linux სისტემები - Ramen და Slapper ჭიები შეაღწიეს კომპიუტერებში ოპერაციული სისტემის და მისი აქსესუარების დაუცველობის გამო.

ამჟამად, ინფექციის ერთ-ერთი ყველაზე პოპულარული მეთოდი იყო მავნე კოდის დანერგვა ვებ გვერდების საშუალებით. ამ შემთხვევაში, ინტერნეტ ბრაუზერების დაუცველობა ხშირად იკვლევს. ვებ გვერდზე განთავსებულია ინფიცირებული ფაილი და სკრიპტის პროგრამა, რომელიც ბრაუზერში ვირუსული ინფექციის როლს ასრულებს. როდესაც ჰაკერი შედის ინფიცირებულ საიტზე, სკრიპტის პროგრამა გამოიძახება, რომ ჩამოტვირთოს ინფიცირებული ფაილი კომპიუტერში და გაუშვას იგი კომპიუტერში. შედეგად, დიდი რაოდენობის კომპიუტერების დასაინფიცირებლად საჭიროა მეტი მომხმარებლის მოზიდვა ასეთ ვებსაიტზე. ეს მიიღწევა სხვადასხვა გზით, მაგალითად, სპამის მიწოდებით დანიშნულ ვებსაიტების მისამართებიდან, მსგავსი შეტყობინებების მიწოდებით ინტერნეტ პეიჯერებით და რისთვისაც გამოიყენება საძიებო სისტემები. ინფიცირებული გვერდი შეიცავს სხვადასხვა ტექსტს, რომელიც სწრაფად ამოიცნობს საძიებო სისტემებს - და ამ გვერდზე გაგზავნილი შეტყობინებები გამოჩნდება ძიების შედეგებში სხვა საიტების სიაში.

ჩვენ დავახარისხებთ ტროას პროგრამებს, რომლებიც გამოიყენება სხვა ტროას პროგრამების ჩამოსატვირთად და გასაშვებად. განვიხილოთ ეს ტროასები, რომლებიც მცირე ზომისაც კი არიან, ამა თუ იმ გზით (მაგალითად, ვიკორისტი და ჭიის ხვრელები სისტემაში) "მიწოდებული" დაზარალებულ კომპიუტერს, შემდეგ კი დამოუკიდებლად გადმოწერილი ინტერნეტიდან და დაინსტალირებული. არსებობს სხვა არასაჭირო კომპონენტები. სისტემა. ხშირად, ასეთი ტროას პროგრამები ცვლის ბრაუზერის პარამეტრებს უსაფრთხოდ, რათა „გაუადვილოს“ სხვა ტროიანებს.

დარღვევები, რომლებიც ცნობილია, რომ სწრაფად უნდა გამოსწორდეს პროგრამული კომპანიების მიერ და მუდმივად ქვეყნდება ინფორმაცია ახალი გამოშვებების შესახებ, რომლებიც დაუყოვნებლივ იწყებენ ექსპლუატაციას მრავალი ჰაკერებისა და ვირუსების დამწერების მიერ. ბევრი ტროას „ბოტი“ იყენებს ახალ შეტევებს მათი რიცხვის გასაზრდელად, ხოლო Microsoft Office-ში ახალი შეცდომები მყისიერად იწყებენ გაჭედვას, რათა კომპიუტერებში ჭიების მსგავსი ტროას პროგრამები შემოიტანონ. ამ შემთხვევაში, სამწუხაროდ, შეინიშნება ტენდენცია, რომ შემცირდეს საათობრივი ინტერვალი ეშმაკის დაავადების შესახებ ინფორმაციის გაჩენასა და მანკიერ კულტურებსა და ტროიანების შესახებ. შედეგად, მავნე პროგრამული უზრუნველყოფის გამყიდველები და ანტივირუსული პროგრამული უზრუნველყოფის გამყიდველები აღმოჩნდებიან დროის ზეწოლის ქვეშ. პირველებმა უნდა გამოასწორონ პრობლემა რაც შეიძლება სწრაფად, გააპროტესტონ შედეგი (ე.წ. "პატჩი", "პატჩი") და გაუგზავნონ ის კორუმპირებულებს, სხვებმა კი უსაფრთხოდ უნდა გაათავისუფლონ ობიექტების (ფაილები, კიდეების პაკეტები) აღმოჩენა და დაბლოკვა. ) რომლებიც არიან გამარჯვებული მრავალმხრივი.

ტექნოლოგიებისა და სოციალური ინჟინერიის მეთოდების ერთდროული განვითარება

Dosit ხშირად კომპიუტერული ბოროტმოქმედების vikoristavuyutsya დაუყოვნებლივ შეურაცხყოფა მეთოდები. სოციალური ინჟინერიის მეთოდი არის პოტენციური მსხვერპლის პატივისცემის მოპოვება, ხოლო ტექნიკური მეთოდი არის ინფიცირებული ობიექტის სისტემაში შეღწევის ალბათობის გაზრდა.

მაგალითად, საფოსტო ჭია Mimail გაფართოვდა ელექტრონული ფურცლის დანართის სახით. იმისათვის, რომ მომხმარებელმა ფურცელზე თავისი ნდობა დაამტკიცოს, მასში ჩასმული იყო სპეციალურად ფორმატირებული ტექსტი და ფაილის ასლის გასაშვებად ფურცელში ჩაშენებული ZIP არქივიდან, ის გაიხსნა Internet Explorer ბრაუზერში. შედეგად, როდესაც არქივიდან ფაილი იხსნება, ჭიამ შექმნა საკუთარი ასლი დისკზე და გაუშვა Windows-ზე ყოველგვარი სისტემის წინსვლის ან მომხმარებლის მხრიდან დამატებითი ქმედებების გარეშე. საუბრის წინ, ეს ჭია ერთ-ერთი პირველი მიზანია ელექტრონული ოქროს სისტემის ინტერნეტ მომხმარებლებისგან პირადი ინფორმაციის მოპარვის მიზნით.

კიდევ ერთი მაგალითია სპამის გაგზავნა სათაურით „გამარჯობა“ და ტექსტით „მაინტერესებს რას წერენ შენზე“. ტექსტს მოჰყვა შეტყობინება გამოგზავნილი ჩემს საიტზე. ანალიზის დროს დადგინდა, რომ ვებსაიტზე მასპინძლობს სკრიპტის პროგრამა, რომელიც Internet Explorer-ში მორიგი გაჟონვის გამო აინსტალირებს ტროას პროგრამა LdPinch-ს მსხვერპლის კომპიუტერზე, რომელიც გამოიყენება სხვა პაროლების მოსაპარად.

ანტივირუსული პროგრამების პრევენცია

მეტა-კომპიუტერის მავნე პროგრამის ნარჩენებს შეუძლიათ მავნე კოდის შეტანა დაზარალებულ კომპიუტერში, რისთვისაც მათ სჭირდებათ არა მხოლოდ აიძულონ მომხმარებელი გაუშვას ინფექციის ფაილი, არამედ შეაღწიონ სისტემაში რაიმე სახის დაღვრას, არამედ წარსულში გაპარვა. დაყენებული ანტივირუსული რუსული ფილტრი. გასაკვირი არ არის, რომ მავნე ადამიანები პირდაპირ ებრძვიან ანტივირუსულ პროგრამებს. მათ მიერ გამოყენებული ტექნიკური მეთოდები კი მრავალფეროვანია, მაგრამ ყველაზე გავრცელებულია შემდეგი:

შეფუთვა და კოდის დაშიფვრა.დღევანდელი კომპიუტერული ჭიებისა და ტროასების მნიშვნელოვანი ნაწილი (არა მეტი) შეფუთულია ან დაშიფრულია ამა თუ იმ გზით. უფრო მეტიც, შეფუთვისა და დაშიფვრის საშუალებები შექმნილია სპეციალურად ამ მიზნით კომპიუტერის მიწისქვეშა. მაგალითად, ინტერნეტში ნაპოვნი აბსოლუტურად ყველა ფაილი, დამუშავებული CryptExe, Exeref, PolyCrypt და სხვა კომუნალური საშუალებების მიერ, გაუმართავი აღმოჩნდა.

ასეთი ჭიების და სამი ანტივირუსული პროგრამის აღმოსაჩენად აუცილებელია ან შეფუთვისა და გაშიფვრის ახალი მეთოდების დამატება, ან მავნე პროგრამების კანზე ხელმოწერების დამატება, რაც ამცირებს გამოვლენის სიჩქარეს და არ ტოვებს შეცვლილი კოდის შესაძლო ნიშნებს. შეიძლება აღმოჩენილი იყოს ანტივირუსული კომპანიის ხელში.

კოდის მუტაცია.ტროას კოდის გაყრა "Smitty" ინსტრუქციებით. შედეგად, ტროას პროგრამის ფუნქციონირება შენარჩუნებულია, მაგრამ მისი "თანამედროვე გარეგნობა" მნიშვნელოვნად შეიცვალა. ეპიდემიები პერიოდულად აღმოიფხვრება, როდესაც კოდის მუტაცია ხდება რეალურ დროში - როდესაც კანი ინფიცირებულია ტროას პროგრამებით ინფიცირებული ვებსაიტიდან. სულ ეს არის, ვგულისხმობ, რომ გარკვეული უბედურება იხარჯება თქვენს კომპიუტერში ასეთ საიტზე, ტროას ნიშნები - ხოცვა-ჟლეტა. ამ ტექნოლოგიის კონდახია Warezov mail worm, რომელიც 2006 წლის მეორე ნახევრის ეპიდემიის ვერსიაა.

თქვენი ყოფნის მოზიდვა.ეგრეთ წოდებული "rootkit ტექნოლოგიები" (ინგლისური "Rootkit"-დან), მათ ჩვეულებრივ თავს ესხმიან ტროას პროგრამები. არსებობს სისტემის ფუნქციების შერევა და შეფერხება; თუმცა, ფაილების ინფექციები არ ჩანს არც სტანდარტული ოპერაციული სისტემით და არც ანტივირუსული პროგრამებით. ასევე არის რეესტრის საკონტროლო ველები, რომლებშიც რეგისტრირებულია ტროას და კომპიუტერის სხვა სისტემური არეების ასლი. ეს ტექნოლოგია აქტიურად იმარჯვებს, მაგალითად, Backdoor Trojan HacDef-ით.

ანტივირუსული და ანტივირუსული მონაცემთა ბაზების სისტემის განახლებების განახლება (განახლებები).ბევრი ტროას პროგრამა და ჭია ახორციელებს სპეციალურ მოქმედებებს ანტივირუსული პროგრამების წინააღმდეგ - მოძებნეთ ისინი აქტიური დანამატების სიაში და შეეცადეთ დაამაგროთ ისინი რობოტზე, დაათვალიეროთ ანტივირუსული მონაცემთა ბაზები, დაბლოკოთ განახლებების წაშლა და ა.შ. ანტივირუსული პროგრამები დაცული უნდა იყოს ადეკვატური გზებით - მონაცემთა ბაზების მთლიანობის მონიტორინგით, თქვენი პროცესების ტროიანებისგან წართმევით და ა.შ.

თქვენი კოდის დამატება ვებსაიტებზე.ტროას ფაილების შემცველი ვებსაიტების მისამართები მალე გახდება ხილული ანტივირუსული კომპანიებისთვის. ბუნებრივია, ასეთი საიტები ექვემდებარება ანტივირუსული ანალიტიკოსების უდიდეს პატივისცემას - საიტის პერიოდულად ჩამოტვირთვის ნაცვლად, ანტივირუსულ განახლებებში შედის ტროას პროგრამების ახალი ვერსიები. ამის თავიდან ასაცილებლად ვებსაიტი მოდიფიცირებულია სპეციალური გზით - თუ ის ითხოვს ანტივირუსული კომპანიის მისამართს, მაშინ ტროას ნაცვლად ჩამოიტვირთება არატროას ფაილი.

დარტყმის შეტევა.ტროას პროგრამების დიდი რაოდენობით ახალი ვერსიების შექმნა და გაფართოება ინტერნეტში მოკლე დროში. შედეგად, ანტივირუსული კომპანიები „დატბორილია“ ახალი ინფექციებით, რომელთა ანალიზს ერთი საათი სჭირდება, რაც მავნე კოდს კომპიუტერში წარმატებით შეღწევის დამატებით შანსს აძლევს.

ამ და სხვა მეთოდებს კომპიუტერი იყენებს მიწისქვეშა ანტივირუსულ პროგრამებს. იმის გათვალისწინებით, რომ კიბერ-მავნე პროგრამების აქტივობა მდინარე-კლდე იზრდება, ახლა შეგვიძლია ვისაუბროთ მიმდინარე „ტექნოლოგიურ რბოლაზე“, რომელიც გაჩაღდა ანტივირუსულ ინდუსტრიასა და ვირუსის ინდუსტრიას შორის. ამავდროულად, იზრდება ცალკეული ჰაკერების და მავნე ჯგუფების რაოდენობა და მათი პროფესიონალიზმი. ამავე დროს, მნიშვნელოვნად იზრდება სამუშაოს სირთულისა და სირთულის შესახებ, რომელიც საჭიროა ანტივირუსული კომპანიებისთვის საკმარისი დონის დაცვის შესაძლებლობების გასავითარებლად.