Antivirüs antivirüs programları. Anti-virüs programlarına karşı yöntemler. Virüslere karşı savunma yöntemleri

Kötü amaçlı meta bilgisayar parçaları - kurbanın bilgisayarına karıştırılmış kod enjekte etmek için, bunun için yalnızca bulaşma dosyasını çalıştırmak için zmusit koristuvacha yapmak veya herhangi bir izinsiz giriş yoluyla sisteme girmek değil, aynı zamanda kurulu anti-virüs dosyası tra. Kötü niyetli kişilerin virüsten koruma programlarına karşı kasıtlı olarak mücadele etmelerinin nedeni budur. Vykoristovuvani onları tekhnіchnі priyomi ve hatta daha fazla raznomanіtnі, ancak çoğu zaman böyle kullanılırlar.

Paketleme ve şifreleme kodu. Modern bilgisayar solucanlarının ve Truva atlarının önemli bir kısmı (daha fazlası olmasa da) başka bir şekilde paketlenir veya şifrelenir. Bundan daha fazlası, hangi paketleme ve şifreleme yardımcı programlarının özel olarak oluşturulduğu. Bu tür programları-chrobag'leri ve truva atlarını, anti-virüs programlarını tespit etmek için, ya yeni paket açma ve şifre çözme yöntemleri ya da VP'nin dış görünümüne tespit oranını azaltacak, ancak hepsini değiştirmeyecek imzalar eklemek gerekir. olası sahte kod değiştiriciler bir anti-virüs şirketinin elindedir.

mutasyon kodu- "smіtєvimi" talimatlarıyla Truva kodunun geliştirilmesi. Sonuç olarak, Trojan programının işlevselliği kaydedilir ve "dış görünüş" önemli ölçüde değiştirilir. Periyodik olarak, kodun mutasyonu gerçek zamanlı olarak tespit edilirse - dış görünüm virüslü bir web sitesinden bir Truva atı programı tarafından çekildiğinde dalgalanmalar olur. Böyle bir sitenin maliyetinin tamamı veya bir kısmı bilgisayardaki srazy Trojan programlarından farklıdır.

Varlığınıza bağlılık- Lafta rootkit teknolojileri, Kural olarak, Truva atları galip gelir. Bu durumda, sistem işlevleri geçersiz kılınır ve zayıflar, bunun sonucunda dosyanın bulaşması ne standart işletim sistemi ne de anti-virüs programları tarafından görünmez. Bazı durumlarda, kayıt defteri dosyaları, Trojan programının kopyalarının ve bilgisayarın diğer sistem alanlarının kaydedildiği şekilde kaydedilir.

Zupinka robot ve anti-virüs yazılımı ve anti-virüs veritabanlarının güncellemelerinin yönetimi için sistemler. Pek çok Truva atı ve solucan, anti-virüs programlarına karşı çalışır: onları aktif eklentiler listesinde bulurlar ve robotlarını gözetlerler, anti-virüs veritabanlarını "itirler", güncellemeleri bloke ederler, vb. Anti-virüs programları çeşitli şekillerde korunabilir: veritabanlarının bütünlüğünü kontrol etme, süreçlerinde Truva atlarını "avlama" vb.

Kodunuzu web sitelerine ekleme. Trojan dosyalarının bulunduğu web sitelerinin adresleri er ya da geç anti-virüs şirketleri tarafından bilinir hale gelir. Doğal olarak, bu tür taraflar anti-virüs analistlerinin saygısını çarçur ediyor: taraf yerine, periyodik olarak indiriliyorlar, anti-virüs güncellemelerine Truva atlarının yeni sürümleri dahil ediliyor. Bunu önlemek için, web sitesi özel bir şekilde değiştirilir: anti-virüs şirketinin adresini sorarsa, Trojan'ın yerine bir tür Truva atı olmayan dosya indirir.

kіlkistyu saldırısı- Truva atı programlarının çok sayıda yeni sürümünün kısa sürede İnternette oluşturulması ve genişletilmesi. Sonuç olarak, anti-virüs şirketleri yenileriyle "bunalmış" görünüyor, onları analiz etmek bir saat sürüyor, bu da kodun bilgisayarda başarılı bir şekilde uygulanması için bir şans veriyor.

Bu ve diğer yöntemler, bilgisayar korsanları tarafından virüsten koruma programlarına karşı galip gelir. Rіk vіd roku'nun büyümesinin tüm faaliyetleriyle ve aynı zamanda anti-virüs ve virüs endüstrileri alevlendikçe “teknoloji habercilerinin” yardımından bahsetmek mümkün. Aynı zamanda, yalnızca bilgisayar korsanlarının-bireylerin ve kötü niyetli grupların sayısı değil, geri kalanların profesyonelliği de artıyor. Tüm bunlar, anti-virüs şirketlerinin yeterli düzeyde koruma için fon toplamak için gerekli olan daha fazla katlanabilirlik ve çalışma anlamına gelir.

"Bot" kelimesi, "robot" kelimesinin kısaltmasıdır. Bot, bu kodun yazarı olan yöneticisi için işlevsellik sağlamak üzere tasarlanmış kodun bir parçasıdır. bot ayakkabı (Bot) çeşitli shkіdlivih programlarıdır, pis koku binlerce bilgisayara kurulur. Botun kurulu olduğu bilgisayar, isim zombiler(Zombi). Bot, yöneticisinden komutları kaldırır ve bunları ortadan kaldırmak için bilgisayardaki virüsleri öldürür. Bu tür komutlar spam, virüs gönderebilir veya saldırılar gerçekleştirebilir. Kötülük yapan, daha iyi vikonuvaty uğruna, bu tür dії z vikoristannym botіv ve bilgisayarı değil, kırıklar, bu іdentifikatsії tezahürünü yok etmesine izin vermez.

Önyüklemelerin kurulu olduğu, saldırgan tarafından tehlikeye atılan zombi bilgisayarların koleksiyonuna denir. bot ağları (Bot ağı). Bilgisayar korsanları, bot ağları oluşturmak için binlerce sisteme girer, farklı yöntemler kullanmadan kalitesiz kodlarda dolaşırlar: ek yardım için elektronik postadaki depozitoya bakmak, güvenliği ihlal edilmiş web siteleri aracılığıyla, karışık sitelere posta göndermek, e-posta hesabına para yatırmak, vb. . vesaire. Bir koristuvach'ın bilgisayarına başarılı bir kurulum yapılması durumunda, bir shkidlivy kodu, kabadayı zlamman sisteminin ve artık böcekleri için muzaffer bir şekilde її yapabilen kötü tacirlerin kullanımına açık olanlar hakkında kötü amaçlı mesajlar gönderir. Örneğin, zahmetli bir görev için bot ölçüm kurulumunu haklı çıkarabilir veya spam gönderenlere kiralayabilirsiniz. Botmerezha'ya dahil olan daha fazla sayıda bilgisayar göz önüne alındığında, ev bilgisayarları hiçbir şeyden şüphelenmez.

Gospodar tsієї botnetі, ek protokol IRC (Internet Relay Chat) için kural olarak vіddaleno vіdlёno'yu yönetiyor.

Bot setlerinin oluşturulması ve seçilmesine ilişkin ana görevler aşağıda gösterilmiştir:

1. Bilgisayar korsanı, potansiyel kurbanlara kendi bot güvenlik yazılımlarında intikam alınabilecek bir kod göndermek için çeşitli yöntemler kullanır.
2. Kurbanın sistemine başarılı bir kurulumdan sonra, bot, görünüşe göre kodda belirtilene kadar, botnet'in anahtar sunucusuyla bağlantı kuracak ve onunla IRC veya özel bir web sunucusu aracılığıyla iletişim kuracaktır. Bundan sonra, ana sunucu yeni botun yönetimini devralır.
3. İstenmeyen e-posta gönderen, bilgisayar korsanına sistemleri şişeleme için ödeme yapar, bilgisayar korsanı bilgisayar korsanlığı sunucusuna geçerli komutlar gönderir ve bilgisayar korsanı sunucusu da sırayla tüm virüs bulaşmış sistemlere botnet'e girip spam gönderme komutunu verir.

İstenmeyen posta gönderenler, bu yöntemi, bu tür uyarıların birden fazla adrese gönderileceği gerçeğine kadar, efendilerinin erişimini önemli ölçüde artırması için kullanırlar. kara listelerden" ve hacklenen bilgisayarların vlasniklerinin anonim gerçek adreslerinden.

Bot ağlarının oluşturulması için, geleceğin ustası ya her şeyi kendisi yapar ya da bilgisayar korsanlarına, sanki bu botnet'in bir parçası oluyormuş gibi, sistemleri enfekte etmek için shkidlivih programlarının geliştirilmesi ve genişletilmesi için ödeme yapar. Ve sonra, Tanrı'ya kadar, botnet'ler size yeni ürünlerini anlatmak isteyenlerin yanı sıra rakiplere saldırmak, özel veriler veya coristuvachi ve zengin diğerlerinin şifrelerini almak isteyenlere ödeme yapacak ve ödeyecek.

Geleneksel anti-virüs yazılımı, kötü niyetli kodu tespit etmek için vicor imzalarını güvence altına alır. İmzalar - anti-virüs yazılım üreticisi tarafından oluşturulan shkidly kodunun "parmak izleri". İmza, virüsün kendisinden alınan kod parçalarıdır. Anti-virüs programı dosyaları tarar, elektronik postayı ve geçmesi gereken diğer verileri bildirir ve bunları kendi virüs imza veritabanıyla eşleştirir. Bir virüs algılandığında, virüsten koruma programı, virüslü dosyayı karantinaya göndererek, dosyayı "silmeye" çalışarak (virüsü silerek) bir uyarı görüntüleyerek yapılabilecek bir gecikme ayarlamada bir gecikme algılar. corystuvach ve / veya dosyanın kaydedilmesi.

İmzalara dayalı şifreli bir kodun ortaya çıkarılması - Özensiz yazılım güvenliğini tespit etmenin verimli bir yolu, ancak gerektiğinde, yeni tehditlere verilen yanıtın bir kısmında bazı takılmalar olabilir. Virüsün ilk tespitinden sonra, virüsün tespit edilmesinden, yeni imzaların geliştirilmesinden ve protesto edilmesinden, imza veritabanı güncellemesinin yayınlanmasından antivirüs üreticisi sorumludur ve güncellemenin maliyetinden tüm corystuvacs sorumludur. . Tıpkı gölgeli bir kod gibi, fotoğraflarınızı tüm arkadaşlarınıza gönderir, böyle bir blokaj kritik değildir. Ancak program Slammer chopper'a benzese de böyle bir hilede tıkanmak felaket olabilir.

NOT. Worm Slammer 2003 rotasyonunda yer aldı. Vіn vikoristovuvav vozlivіst, viklіkati vіdmova'yı hizmette yürütmenize izin veren DBMS Microsoft SQL Server 2000'de. Bazı tahminlere göre Slammer toplamda 1 milyar doların üzerinde para kazanmayı başardı.

Bugün yeni shkіdlіvі programlarının parçaları oluşturuluyor, bu, virüsten koruma yazılımı güvenliği üreticileri için önemlidir. Virüs imzalarını tespit etme teknolojisi, önceden tespit edilmiş ve imzası oluşturulmuş virüslerin tespit edilmesini mümkün kılar. Ali, bununla bağlantılı olarak, virüslerin yazarlarının daha muhtemel olması ve birçok virüsün kodlarını değiştirebilmesi önemlidir, bu nedenle anti-virüs yazılımı, kötü görüntülemenize izin veren birkaç başka mekanizma tarafından korunur. kod.

Tüm anti-virüs yazılım ürünlerinin üstesinden gelebilmek için kullanılabilecek bir diğer yöntem ise kötü amaçlı kodların tespit edilmesidir. buluşsal analiz (Sezgisel algılama). Bu yöntem, kodun genel yapısını analiz eder, talimat kodunu ve algoritmaları değerlendirir, kod tarafından kodlanan veri türlerini örer. Bu şekilde wine, kodun parçası hakkında çok fazla bilgi seçer ve şarabın shkidlivy karakterine sahip olduğu gerçeğinin değişmezliğini değerlendirir. Vіn vikoristovuє yakyis, bu dünyada zbіlshuєtsya olan “lichnik podozrіlosti”, yeni bir potansiyel olarak güvensiz (podzrіlі) otoritede bilmek için bir antivirüs programı gibi. Belirtilen sınır değerine ulaşılırsa, kod güvensiz kabul edilir ve anti-virüs programı savunma mekanizmalarını başlatır. Bu, virüsten koruma yazılımının bilinmeyen kötü amaçlı programları tanımasına ve yalnızca imzalara güvenmemesine olanak tanır.

Bir analojiye bakalım. Ivan, pis çocuklara inat ve onları kapatmak için bir polis, bir vin pratsyuє. Bu yüzden Ivan, sokaklarda ekim yapmak gibi ciltli insanlarla fotoğraf yığınları düzenleyerek imza yöntemini kazanmayı seçiyor. Zbіg'i kazanırsanız, çürümüş delikanlıyı hemen yakalayıp devriye arabanıza bindireceksiniz. Yakshcho vyzbiraetsya vikoristovuvaty euristichesky yöntemi, şüpheli eylemleri takip ediyor. Örneğin, banka girişinin önünde duran lizhnіy maskeli bir kişiyi içmek istiyorsanız, sadece donmuş bir delikanlı değil, bir soyguncu olduğunuzu takdir edeceksiniz. banka.

NOT. Disksiz iş istasyonları, bir sabit diske ve eksiksiz bir işletim sistemine sahip olmalarına bakılmaksızın virüsler için çok korkutucu. Pis kokuya virüs bulaşabilir, büyülenir ve hafızada yaşarlar. Bu tür sistemler, hafızayı temizlemek ve onu koç kampına dönüştürmek için uzaktan yeniden fethedilebilir (uzaktan değiştirilebilir), böylece virüs böyle bir sistemde kısa bir süre yaşar.

Aktif anti-virüs ürünleri, sanal makine veya sanal alan adı verilen bir orta parça oluşturur ve şüpheli kodun bir kısmının korumalı ortama girmesine izin verir. Bu, anti-virüs programına oyunda kodu çalıştırma yeteneği verir, bu da daha önemli olan bir karar vermek için çok daha fazla bilgi verir.

NOT. Sanal makine ya farklı bir şekilde adlandırılmış öykünme arabelleği(Öykünme arabelleği). Aynısı, hafıza segmentinin çalınması, böylece kodun etkili bir şekilde shkidlivim görünmesi için, sistem yine de emniyette kaybolacaktır.

Adı verilen kodun bölümleri hakkındaki bilgilerin analizi statik analiz , Kodun bir kısmı sanal bir makinede nasıl çalıştırılır, buna denir dinamik analiz . Obidva qi yöntemlerine, yaklaşan tezahür yöntemlerine saygı duyulur.

aşılama Anti-virüs programlarının yardımcıları tarafından galip gelen ikinci pidkhid'in adı aşılama(Aşılama). Ürünler işlevsellik adına diskin dosya ve alanlarında değişiklikler yaptı, böylece pis koku zaten bulaşmış gibi görünüyordu. Bu virüs durumunda, dosyaya (disk) zaten virüs bulaşmış olabilir ve herhangi bir ek değişiklik yapmamanız, bir sonraki dosyaya geçmeniz mümkündür.

Aşılama programı, kural olarak, belirli bir virüsü hedefler, onlardan farklı bir şekilde cilt taramaları, enfeksiyon gerçeğini kontrol eder ve farklı verilerle (imzalar) dosyaya (diskte) bakar. Bununla birlikte, o küçük yazılım güvenliğinin virüs sayısı sürekli artıyor, büyüyor ve korunmak için gerekli olduğu için dosya sayısı, bu nedenle bu saatte böyle bir virüs pratikte daha fazla durumda durmayacak ve daha fazla antivirüs e yoga vikoristovuyut değildir.

Bu saatte, tüm bu katlanabilir ve etkili yaklaşımları geliştirmek için, anti-virüs programlarının etkinliğinin standart bir garantisi yoktur, virüs yazarları daha kurnazdır. Tse postiyna gra, üç gün gibi bağırsak ayılarında. Anti-virüs endüstrisi, shkidlivy programlarını tespit etmenin yeni bir yolunu biliyor ve gelecekte virüs yazarları bu yeni yolu nasıl atlatacaklarını biliyorlar. Tse zmushu vyrobniki antivirüs zabіv stіyno zbіshuvati іntelektualіnіnі їїh produktіv ve koristuvаchіm brіvіdnі schorichno їх їх yeni sürümler.

Anti-virüs yazılımının evriminin yaklaşan aşamasına denir davranış engelleyiciler (Davranış engelleyici). Davranış temelinde engelleme yapan vikonu gibi anti-virüs yazılımı, aslında, şüpheli kodun korumasız bir işletim sisteminde vikonuvaetsya'ya izin verir ve şüphelenilen diy'ye saygı duyarak yoga'nın işletim sistemiyle birlikte çalışabilirliğini takip eder. Zokrema, saldırgan aktivite türlerini izlemek için virüsten koruma yazılımı:

• Dosyalardaki giriş, sistem başlatıldığında veya sistem kayıt defterindeki otomatik çalıştırma dağıtımında otomatik olarak girilir.
• Vіdkrittya, dosyaları silin veya değiştirin
• Kodu düzeltmek için e-posta bildirimlerine komut dosyalarının dahil edilmesi
• Paylaşılan kaynaklara veya genel klasörlere bağlanma
• Bozuk kodun mantığını değiştirme
• Makroların ve betiklerin oluşturulması veya değiştirilmesi
• Bir sabit diski biçimlendirmek veya kârlı bir sektöre yazmak

Anti-virüs programı, güvenli olmayabilecek bu eylemlerden hareketler tespit ederse, böyle bir programı sonlandırabilir ve bu tür durumlar hakkında uyarıda bulunabilirsiniz. Yeni nesil davranışsal engelleyiciler, aslında bu tür vakaların sırasını analiz eder, her şeyden önce, sisteme bulaştığı b). Modern anti-virüs yazılımı, kodun güvenli olmayan kısımlarını geçersiz kılabilir ve bunların çalışan diğer işlemlerle etkileşime girmesine izin vermeyebilir. Böylece kokular çıkabilir. Deyakі z bu tür anti-virüs programları, vykonat "vydkat" sisteminin enfeksiyondan önce yakomu Bula'da tüm değişiklikleri "silme", ​​vykonani shkіdlivim kodu olmasına izin verir.

Eskiden engelleyicilerin davranışları, kötü bir kodun neden olduğu tüm sorunları çözebilirdi, ancak küçük bir miktara sahipler, bu da kötü bir kodun gerçek zamanlı olarak bu şekilde izlenmesinin üstesinden gelmeye yardımcı olur, farklı bir durumda, sistem yine de enfekte olursun. O zamana kadar, izleme sonrası çok sayıda sistem kaynağına yardımcı olacaktır ...

NOT. Sezgisel analiz ve davranışa dayalı engelleme, proaktif yöntemlerle desteklenir, bazen "sıfır gün" saldırıları olarak adlandırılan yeni kötü programları ortaya çıkarabilir. İmzalara dayalı olarak ortaya çıkan bozuk kod, yeni bozuk programlar tarafından algılanamaz.

Mümkün olduğunca az maksimum koruma sağlamak için tüm bu teknolojileri kullanarak galip gelen daha fazla anti-virüs programı. Özensiz yazılımlarla başa çıkmak için çözümler Şekil 9-20'de gösterilmektedir.

Bebek 9-20. Virüsten koruma yazılımı satıcıları, kötü amaçlı kodu algılamak için farklı yöntemler kullanır

Hepimiz uygunsuz bir şey almamızı söylercesine elektronik postayı hatırlatmaktan çoktan yorulmuştuk. Bu yapraklara denir istenmeyen e-posta (Spam) - e-posta bildirimlerine gerek yok. İstenmeyen e-postalar, yalnızca zihinleri kendi haklarıyla boğmakla kalmaz, aynı zamanda binanın bant genişliğinden tasarruf sağlar ve program sayısını artırmak için de kullanılabilir. Bazı şirketler muzaffer bir şekilde posta sunucularında spam filtreleri kurar ve corystants, posta istemcilerinde spam filtreleme kuralları kurabilir. Ancak spam gönderenler, virüs yazarları gibi, spam filtrelerini atlamak için sürekli olarak yeni akıllı yollar geliştiriyorlar.

İstenmeyen e-postayı etkili bir şekilde tanımak iyi bir bilim haline geldi. Kazanan yöntemlerden biri denir Bayes filtreleme (Bayes filtreleme). Thomas Bayes (matematikçi) adına, imovirnosti'yi aktarmanın etkili bir yolunu geliştirmiş olması, matematiğe yardım etmenin mümkün olup olmadığı, zengin bir kaderdir. Bayes teoremi, yalnızca yanlış olabilecek dolaylı kanıtların (verilerin) varlığıyla bir podia haline gelen şeyin taşınmazlığını belirlememize izin verir. Kavramsal olarak anlamak o kadar da önemli değil. Sanki kafanızı taş duvara çarpmış ve bir kez deriniz düşmüş gibi bıyık yapabilirsiniz, bunu deneyerek aynı acı verici sonuçları getirebilirsiniz. Daha büyük cicavo, eğer mantık zastosovuetsya diy'e, değişiklikten daha zengin scho intikamı. Örneğin, bir spam filtresi nasıl çalışır, sizi Viagra satın alma önerisiyle içeri almaz, ancak bu ilaçla tedavi edilebilecek arkadaşınıza posta teslimini değiştirmezseniz ve size bu konuda bilgi yazarsanız güç ve bedeni etkilemek? Bayesian filtre zastosovuyu istatistiksel modelleme altına, hangi elektronik posta eklenir. Matematiksel formüller, yeni dünyada bire bir anlamaya izin veren bu kelimelerin üzerinde geziniyor. Bayes filtresi dış görünüm kelimesinin sıklık analizini hesaplar ve ardından istenmeyen posta olup olmadığını belirlemek için sonuç olarak uyarıları değerlendirir.

Böyle bir filtre sadece "Viagra", "seks" vb. kelimeleri aramakla kalmaz, aynı zamanda spam olan, sık sık ve belirli bir sırada yüklenen kelimelere hayret eder. Yazık, spam gönderenler bu tür filtrelerle nasıl çalışacaklarını biliyorlar ve istenmeyen posta filtresini kandırmaya çalışmak için bu tür filtrelerle arka arkaya kelimeleri ve sayfadaki metinleri manipüle ediyorlar. Bu amaçla, aflarla veya harflerin yerine sembollerin kullanıldığı kelimelerle spam mesajlarından kaçınabilirsiniz. Spam gönderenler, onların farkındalıklarını aldığınız gerçeğine, kokunun kime büyük kuruşlar kazandırdığına zaten bağımlıdır.

Farklı shkіdlivih programlarının büyük listesindeki şirketin savunucusu, sadece anti-virüs yazılımından daha önemlidir. Diğer bileşenlerde olduğu gibi, ilave idari, fiziki ve teknik destek, gelip yardım faaliyetlerinin yürütülmesi ve iyileştirilmesi gerekmektedir.

İyi bir anti-virüs politikasına sahip olmak şirketin hatasıdır, aksi takdirde anti-virüs savunması halkın korunmasından sorumludur. Şirkette çalışmak için gerekli olan ayrıntılardan bazıları, virüsten koruma ve casus yazılımdan koruma yazılımlarının yanı sıra bunların yapılandırmasının ana parametrelerini içerir.

Vіrusnі saldırıları hakkında Vіdomostі, vikoristovuvanih zabakh antivirüs zakhistu ve ayrıca ochіkuvani vіd koristuvаchіvіvіvіnіnіnі nіnіnіnі nі ama dаdbacheniі hakkında programі. Kozhen koristuvach, bilgisayarınızda bir virüs tespit edileceği için işten ve nereye gideceğinden suçlu olan soyluların suçudur. Suçluluk standardında, bir koristuvach'a layık olan, shkidlivy koduyla bağlanan tüm yiyeceklere bakılır, koristuvach'ın ne yapması gerektiği ve onu korumak için ne gibi işler atanabilir. Zokrema, standart beslenme saldırısının intikamını suçluyor:

• Cilt çalışma istasyonunda, sunucuda, iletişim cihazında, akıllı telefonda anti-virüs yazılımı kurulabilir.
• Cilt uygulamaları için, anti-virüs imzalarının otomatik olarak güncellenmesi yönteminin uygulanması, cilt uygulamasındaki kapanımlar ve yamalar için suçlanacak olan şeydir.
• Anti-virüs yazılımını açabilmek koristuvach'ın hatası değildir.
• Virüsleri kaldırma işlemi suçludur, ancak bir shkidlivy kodu olması durumunda bir irtibat kişisi belirlemek ve tanımak mümkündür.
• Mevcut tüm diskler (USB depolama cihazları vb.) otomatik olarak taranır.
• Yedekleme dosyalarını yeniden tarayın.
• Anti-virüs politikalarının ve prosedürlerinin kapsamlı bir şekilde gözden geçirilmesi suçlanacak.
• Hangi muzaffer anti-virüs yazılımı istilacı virüslere karşı koruma sağlayabilir?
• Anti-virüs taraması, ağ geçidinde ve cilt kreminde bağımsız olarak taranabilir.
• Anti-virüs taraması yayılma için otomatik olarak yapılır. Manuel olarak tarama yapacak olanlar için ödeme yapılmasına gerek yoktur.
• Kritik sistemler, üzerlerine shkidlivy yazılımının yerel kurulumunun mümkün olmayacağı şekilde fiziksel korumadan suçludur.

Büyük yazılım güvenliğinin parçaları çok sayıda hataya neden olabilir (işletme maliyetleri, atık üretkenliği açısından), birçok şirket önlemin tüm giriş noktalarında anti-virüs çözümleri kurar. Anti-virüs tarayıcı, posta sunucusu güvenlik yazılımına entegre edilebilir veya. Böyle bir anti-virüs tarayıcı, gelen tüm trafiği yeni bir karıştırma kodunda olup olmadığını kontrol eder, böylece siz onu dahili iş parçacığında harcamadan önce bile arkadan çok iyi bir şekilde rezonansa girebilir ve ortaya çıkabilir. Bu işlevi uygulayan ürünler, SMTP, HTTP, FTP trafiğini ve muhtemelen diğer protokolleri de tarayabilir. Ancak böyle bir ürünün trafiğe giren herkes için değil, yalnızca bir veya iki protokol için kullanılabileceğini anlamak önemlidir. Bir nedenden dolayı dış görünüm sunucusunda ve iş istasyonunda virüsten korunma yazılımı da yüklü olabilir.

Rusya Federasyonu Ceza Kanunu'nun 273. Maddesi shkidlivami programları EOM için rozumіyutsya programları veya ana programlardaki değişiklik, "yetkisiz hasara, bilgilerin engellenmesine, değiştirilmesine veya kopyalanmasına, EOM'nin çalışmasına, EOM sistemine veya їx merezhi'ye yol açabilir".

Microsoft Corporation, kötü amaçlı yazılım terimini şu şekilde ifade ederek durdurdu: "kötü amaçlı yazılım, kötü amaçlı yazılımın kısa bir sürümüdür, bir bilgisayarı, sunucuyu kontrol etmek için özel olarak oluşturulmuş her türlü yazılımın tanımı için çılgınca kabul edilen bir terim gibi geliyor. , abo comp 'Güney sınırları bundan bağımsızdır, virüs, casus programı vb.

Yazılım güvenliğine benzer şekilde uygulanan Skoda, şu şekilde dövülebilir:

• yazılım ve donanım güvenliği bir bilgisayar yok edicisi (merezhі) tarafından saldırıya uğrar;
• danimi koristuvach bilgisayarı;
• en temel bilgisayar (ortada);
• koristuvacham diğer bilgisayarlar (ortada).

Saldırıda belirli shkodi koristuvacham ve (veya) bilgisayar sistemleri ve merezh ustaları kullanılabilir:

• değerli bilgileri (finansal bilgiler dahil) çevirin ve (veya) harcayın;
• sistemde yüklü olan yazılımın rastgele davranışı;
• gelen ve (veya) giden trafikte keskin bir artış;
• upovіlnennі аbo vіdmovu vіdmova roboti kom'yuternoї ї merezhі;
• spіvrobіtnikі'nin çalışma saatini organizasyonda geçirmek;
• kesicinin kurumsal bilgisayar sisteminin kaynaklarına erişimi;
• rizik shahraystvo'nun kurbanı oldu.

Shkidlivih programlarının işaretinden önce, öne çıkabilirsiniz:

• kişinin varlığını bir bilgisayar sistemine bağlamak;
• kendi kendini çoğaltmanın uygulanması, kodunuzun diğer programlarla ilişkilendirilmesi, kodunuzun bilgisayar belleği alanında taşınabilirliği;
• bilgisayarın çalışma belleğindeki diğer programların kodunu yapmak;
• bilgisayar belleğinin diğer alanlarındaki diğer işlemlerin operasyonel belleğinden veri kaydetme;
• oluşturma, engelleme, pіdminu zberіgayutsya veya veri aktarma, diğer programların çalışması sonucunda veya zaten bilgisayarın eski belleğinde otrimanih;
• diї, nіbito vikonuvanih programı hakkında nevirne іnformuvannya koristuvach.

Shkidliva programı, dirilen daha fazla işaret veya їх kombinasyonundan yalnızca biri olabilir. Açıkçası, gezinme listesi seçilemez.

Maddi faydaların varlığı için, yazılım güvenliği (SW) aşağıdakilere ayrılabilir:

• kalitesiz bir programı genişleten (yükleyen) (holiganlık, "yakma", dini, milliyetçi, siyasi gerekçeler, kendini inkar etme ve uygulama dahil olmak üzere vandalizm güdüleriyle ayrıştırılmış) onaylayanlara doğrudan maddi fayda sağlamamak için nitelikleriniz);
• banka-müşteri sistemlerine erişimin durdurulması, kredi kartlarının PIN kodlarının ve katipin diğer kişisel verilerinin durdurulması dahil olmak üzere gizli bilgilerin ifşa edilmesi nedeniyle hırsıza doğrudan maddi çıkar sağlamak ve ayrıca "enfeksiyon" bilgisayarların (bilgisayarlar-zombiler) sayısından her yerde bulunan güller aracılığıyla uzak bilgisayar sistemleri üzerinde kontrol.

Genişletme uğruna, programlar ayrılabilir:

• Yazılım, bir avuç gibi, bilgi yöneticisine ve (veya) EOM yöneticisine (merezhi EOM) tabi olma yöntemiyle, EOM'de kayıtlı bilgilere yetkisiz erişimin kaldırılması için özel olarak geliştirildi;
• İlki gibi yazılım, EOM'de kayıtlı bilgilere yetkisiz erişimin kaldırılması için özel olarak geliştirilmemiştir ve en başından beri bilgi yöneticisinin ve (veya) başkanın hesabına atanmamıştır. EOM'nin (merezhi EOM).

Saatin geri kalanında, endüstrinin kriminalize edilmesi, saldırıda kendini gösteren shkidlivih programlarının oluşturulmasına karşı korunuyor:

• çalınan gizli bilgiler (ticari sırlar, kişisel veriler);
• spam yaymak, hizmetlerde tıklamaya yönelik arama saldırılarını yaymak (DDoS saldırıları), Trojan proxy sunucularını dağıtmak için kullanılan bir zombi birleştirme ("botnet") kurmak;
• daha fazla şantaj ve gasp ile koristuvachiv'in şifreli bilgileri;
• antivirüs ürünlerine yönelik saldırılar;
• sözde Yıkama (Kalıcı Hizmet Reddi - PDoS).

Danimarka saatinde vikoristovuyutsya hizmetinde viklikom vіdmovi ile yapılan saldırılar, kurbanlardan para koparmak için bir araç gibi değil, zasib siyasi ve rekabetçi mücadele gibi. Daha önceki DoS saldırıları, bilgisayar korsanlarının ve vimagach'ların veya holiganların elindeyken, şimdi kötü kokular, spam hızlandırıcılar veya shkidlivih programlarının tanıtımı için yaratılanlar gibi aynı meta haline geldi. DoS saldırılarının hizmetlerinin reklamı çok büyük bir fenomen haline geldi ve fiyatlar şimdiden bir spam posta listesi düzenlemenin fiyatına eşit olabilir.

Bilgisayar gücü ve ağ güvenliğinde uzmanlaşan şirketler, hizmet sonrası görevli (Rooba) olarak adlandırılan yeni bir tür tehdide karşı saygı kazanıyor. Yeni bir saldırı türü elendi ve başka bir isim de kızarma (pIa5Ing). Potansiyel olarak, bina sistem yöneticisinin hatası shkodi'den daha zengindir, daha düşük olan başka bir tür eskrim faaliyetidir, bilgisayarın kontrolünün görünümüne yönlendiren parçalar. Rooba saldırıları daha etkili ve daha ucuzdur, daha az geleneksel saldırılardır, bu durumda bir bilgisayar korsanı kurbanın sistemine kötü bir yazılım yüklemeye çalışabilir. Flushing ile saldırı yöntemleri, VYUB'nin flash belleğindeki ve eklerin sürücülerindeki programlar olup, bozulduklarında eklerin çalışmasını bozar ve potansiyel olarak onları fiziksel olarak devre dışı bırakır.

Gizli bilgileri çalmayı amaçlayan saldırıların bir başka çeşidi, hırsızların şirketin bilgi sistemine kötü amaçlı bir program sokarak sistemin robotunu bloke etmelerine dayanmaktadır. Bir sonraki aşamada, şirket, işletmenin bilgisayar sisteminin kilidinin açılmasına izin verecek bir şifre için bir kuruş için kötü niyetli eylemlerin bir listesi ile saldırıya uğrayacak. Bir tüccarda yasa dışı yoldan para kazanmanın bir başka benzer yolu da verileri şifreleyen bir bilgisayara Truva atı programları başlatmaktır. Şifre çözme anahtarı da kötülük tarafından bir kuruşluk şarap kasabası için zorlanır.

Kişisel veri hırsızı çalmadan önce, bilgisayar aşağıdakiler tarafından saldırıya uğrar:

• bilgisayarın belleğine hangi belgeler ve diğer veriler kaydedilir;
• kamu kayıtlarının adları ve çeşitli daha az kaynaklara erişim için şifreler (elektronik kuruş ve ödeme sistemleri, İnternet müzayedeleri, İnternet çağrı cihazları, elektronik posta, İnternet siteleri ve forumlar, çevrimiçi Igor);
• diğer muhabirlerin e-posta adresleri, bölgedeki diğer bilgisayarların 1P adresleri.

İnternetin ve özellikle sosyal ağların yaygın şekilde genişlemesinin sağladığı yeni olanaklarla başlayarak, giderek daha fazla insan düzenli olarak İnternet kaynaklarına yöneliyor ve koristuvachіv, yani ve "zombuvannya" gizliliğini çalma yöntemi olan giderek daha ince saldırıların kurbanı oluyor " їх comp' yuteriv, kısır vikoristannya їkh resursіv porushniks yöntemiyle.

"Zombi"-merezhі'nin etkili çalışması, zihinsel olarak katlandığı üç depo olarak kabul edilir:

• program-zavantazhuvachem, zavdannya є є ana kodun uzantısı ve program botunun kodu, yaka vykonuє ana robot;
• gizli bilgilerin seçimini ve iletimini, istenmeyen e-postaları yaymayı, EEOB saldırısına katılmayı ve bir ihlalci tarafından üzerine yüklenen diğer eylemleri ortadan kaldıran bir bot programı;
• program botlarından bilgi toplayan ve onları yeniden yükleyen ve gerekirse yeni yapılandırma dosyalarını, program botlarını “yeniden yönlendiren” botnet için bir anahtar modül.

Coristuvach anti-virüs yazılımına yüklenen Buttstock anti-virüs yazılımı:

• robotik bir anti-virüs tarayıcısının veya monitörünün primus dişi;
• programın uygulanmasını ve işleyişini kolaylaştırmak için sistem yükseltmesinin değiştirilmesi;
• bir atlama programının algılanmasıyla ilgili kısa bir bildirimin bildiriminden sonra "Atla" düğmesine otomatik olarak basılması;
• sistemdeki varlığını eklemek ("rootkits" olarak adlandırılır);
• Kodun ek ek modifikasyonu (şifreleme, aldatma veya karartma, polimorfizm, paketleme) için anti-virüs analizinde zorluk.

Robotun son yıllarına kadar, virüsten koruma programları yalnızca incelenmekte olan tüm nesnenin analizine dayanıyordu. Virüsleri tespit etmenin en erken imza yöntemiyle (sözde tarama), en önemlisi, shkidlivo programının ikili kodunda gizlenmiş olan nesnenin koçanındaki ilk yer için bayt dizilerini sabitleyerek. . Bu arada, buluşsal analiz, gözden geçirilmekte olan nesneyi de devretti, ancak potansiyel olarak ölçeklenebilir bir programın karakteristiği olan daha büyük, daha esnek, bayt dizilerinin tuhaflığına dönüştü bile. Shkіdliva programının böyle bir zahist'e kolayca uyduğu açıktır, tıpkı bir cilt kopyası yeni bir bayt kümesini temsil edecek gibi.

Polimorfizm ve metamorfizmanın görevi ve ihlali, bu alanların özü, kendi siyah kopyanızı oluşturduğunuzda, programın eklendiği bir dizi bayt ile eşit olarak değişmesidir. Bu durumda, işlevsellik değişmeden kalır.

Şifreleme ve şaşırtma (kodu aldatma) her şeyden önce program kodunun analiz edilmesini zorlaştırmayı amaçlar, ancak bir şarkı tarafından uygulanan farklı polimorfizm türleridir (örneğin, bir cilt kopyasının şifrelenmesi) benzersiz bir anahtara sahip virüs). Gizleme kendi içinde yalnızca analizi zorlaştırır, ancak kabarık programın dış görünüm kopyasında anti-virüs taramasını yeniden karıştırarak yeni bir şekilde hacklendi.

Yalnızca dosyalara bulaşan virüsler çağında dikkate alınan çok çeşitli polimorfizmler vardır. Polimorfik bir kod yazmanın katlanabilir ve becerikli olması ve yalnızca program yavaşsa ve kendi kendine yayılıyorsa yalnızca sessiz durumlarda doğru olması gereken bir görev olduğu neden açıklanıyor: herhangi bir dış görünümde, yeni bir kopya daha büyük veya daha küçüktür. benzersiz set ip baytları. Daha modern shkіdlivih programları için, kendi kendini yeniden üretme işlevini düşünemiyorsanız, bu alakalı değildir. Dolayısıyla bu saatte shkidlivih programlarında polimorfizm yaygın değildir.

Navpacki, gizleme, tıpkı kodu değiştirmenin diğer yolları gibi, sezgisel analizin zorluğunun üstesinden gelmenin daha büyük dünyası ve taramayı karmaşıklaştırma görevi değil, bu durumun sorunları ilgilerini kaybetmez.

Bir dosyanın boyutunu bir shkidlivy programıyla değiştirmek için, bir dosyayı bir arşivleyici ilkesine göre işleyen özel programlar olan paketleyiciler (paketleyiciler) vardır. Yan etkiler ve düzeltmeler (anti-virüs programlarının bakış açısından), muzaffer paketlemenin sahada anti-virüs taramasının sıkıcı bir dönüşündeki etkisi.

Bu, yazarın, utangaç programın yeni bir modifikasyonunu geliştirirken, bazı kemikleri bloke ederek birkaç satırlık kodu değiştirmeye çağırdığı gerçeğiyle açıklanmaktadır. Aynı dosya üzerinde baytlar değiştirildiğinde kod değiştirilirse ve anti-virüs programı zaten kazanmışsa, imza aynı virüsün kendisini değiştirmediyse, program en kısa sürede görünecektir. Programı bir paketleyici ile işlemek sorunu ortadan kaldırır, çalıştırılabilir çıktı kodundaki bir bayt değiştirmenin parçaları, paketlenmiş dosyadaki yeni bir bayt kümesine getirilir.

Dosyanın sıkıştırılmasıyla kıpkırmızı olan birçok güncel paket, dosyanın paketinden çıkarılmasını ve sahibinden yardım almak için analiz edilmesini zorlaştırmayı amaçlayan, ona kendini savunma için ek işlevler sağlar.

Shkіdlivim programlarına (ve ayrıca diyoruz yazılım enjeksiyonları ile dolaşım) Kabul edilen bilgisayar virüsleri ve yazılım yer imleri. ilk dönem bilgisayar virüsü 1984'te F. Cohen, ABD'de fahivetlerin geliştirilmesinde, "klasik" bir bilgisayar virüsünü, güçle üçe katlanabildiği için özerk işleyen bir program olarak adlandırdı:

• kodunuzu diğer nesnelerin gövdesine (bilgisayar belleğinin dosyaları ve sistem alanları) eklemeden önce zdatnistyu;
• uzak bir bağımsız vikonannya;
• bilgisayar sistemlerinde bağımsız rozpovsyuzhennya.

Bilgisayar virüsleri, ağdaki diğer bilgisayarlara sızmak için ağ hizmetlerini hacklemez. Virüsün bir kopyası uzak bilgisayarda yalnızca bu durumda kullanılır, çünkü bir nesneye bir tür ölü olmayan virüs nedenlerinden bulaşma başka bir bilgisayarda etkinleştirilmiş gibi görünür, örneğin:

• koristuvach tarafından erişilebilen birleştirme disklerinin bulaşması durumunda, virüs dosyalara nüfuz ederek bu birleştirme kaynaklarına yayılmıştır;
• virüsün farklı bir burunda kendisine kopyalanması veya yeni bir burunda dosyalara bulaşması;
• koristuvach vidislav virüs bulaşmış eklerden bir elektronik sayfa.

Durumun şu olması önemlidir, virüsler bir bilgisayarın ötesine yayılmak için kendi çabalarını göstermezler. Yalnızca virüslü bir veri taşıyıcısı (disket, flash sürücü) varsa veya virüsün kendisi virüs bulaşma dosyasını en kısa sürede başka bir bilgisayara aktarırsa olabilir.

heyecan verici virüsler sabit diskin kafa yakalama sektörüne (Ana Önyükleme kaydı - MBR) veya sabit disk bölümünün yakalama sektörüne, sistem disketine veya yakalama CD'sine (Önyükleme Kaydı - BR) bulaşarak, yakalama ve yakalama yerine programları değiştirin. içlerindeki işletim sistemi ym kodu. Çoğu zaman bu sektörler diskin boş sektörlerinden birine veya direkt olarak virüsün içine alınır.

Sabit diskin sıfır silindir kafasının ilk sektörü olan MBR'ye bulaştığında, POST prosedürü, BIOS Kurulum programı (mavi viklikana coristuvachem'den çıktığı gibi) tamamlandıktan sonra virüs kontrolü ele alacaktır. BIOS prosedürleri ve uzantısı. Otrimavshi yönetimi, zavantazhuvalny virüsü vykonuє ilerleyen diї:

• 1) kodunuzu bilgisayarın çalışma belleğinin sonuna kopyalamak, її boş kısmın boyutunu kendiniz değiştirmek;
• 2) BIOS'u değiştirmek için "kendi başına" yeniden atama, esas olarak disklerin hacmiyle ilgili;
• 3) gerçek bir cob yakalama programı ile bilgisayarın RAM'ine, sabit diskin bölüm tablolarını gözden geçirmeyi, aktif bölümü belirlemeyi, programın kontrolünü yakalamayı ve aktifin yakalama işletim sistemine aktarmayı içeren işlevlere yakalama bölme;
• 4) gerçek koçan tohumlama programının kontrolünün devri.

İşletim sistemini ele geçirme programının yerini alan VYa'da virüsten yararlanmak için benzer bir sıralama kullanılıyor. Bir bilgisayara kaybolan bir virüs bulaşmasının en yaygın biçimi, bu tür virüs enfeksiyonlarının zavantazhuvalny sektörü olan sistem dışı bir disketten (veya bir CO-diskten) zavantazhennya'nın vipadkovy örneğidir. Bu durumun sorumlusu, diskete virüs bulaşmışsa, işletim sistemi yeniden yüklendiğinde sürücüde kalmasıdır. Sabit diskin baş zavantazhuvalny sektörünün bulaşmasından sonra, virüs ilk saldırı sırasında bulaşmamış bir disket haline gelene kadar genişler.

İstilacı virüsler, kural olarak, yerleşik virüsler grubuna dahil edilir. Avant-garde virüsler geçen yüzyılın 90'larında genişletildi, ancak pratikte, bilgi alışverişinin ana yöntemi olarak 32 bit işletim sistemine ve disketlerin dul bir versiyonuna geçişle tanındılar. Teorik olarak, SP diskleri ve flash diskleri etkileyen kaybolan virüslerin ortaya çıkması mümkündür, ancak şu ana kadar böyle bir virüs tespit edilmemiştir.

dosya virüsleri farklı türdeki dosyalara bulaşmak:

• program dosyaları, ekler için sürücü dosyaları ve işletim sisteminin diğer modülleri;
• kendi makrolarına yerleştirilebilen belge dosyaları;
• Kendi betiklerinize (komut dosyalarınıza) veya okrem betik dosyalarınıza ve içine yerleştirilebilen belge dosyaları.

Bir dosyaya bulaştığında virüs kodunu koçana, dosyanın ortasına veya sonuna veya çaçanın ortasına yazar. Çıktı dosyası, kontrol dosyası açıldıktan sonra yanlış bir şekilde virüs koduna aktarılacak şekilde değiştirilir. Virüs koduna uyulduktan sonra aşağıdaki sıra gelecektir:

• 1) diğer dosyalara (birleşik virüsler) ve disk belleğinin sistem alanlarına bulaşma;
• 2) ana bilgisayar yerleşik modüllerinin (yerleşik virüsler) işletim belleğine kurulum;
• 3) vykonannya іnshih dіy, scho virüs algoritmasının uygulanmasında yalan söyler;
• 4) bir dosyayı açmak için olağanüstü prosedürün devamı (örneğin, kontrolün virüslü bir programın çıkış koduna aktarılması).

Program dosyalarındaki virüsler, virüs bulaştıklarında başlıklarını, program işletim belleğine yakalandıktan sonra kontrol virüs koduna aktarılacak şekilde değiştirir. Örneğin, bir Windows ve OS / 2 (Portable Executable - PE) işletim sistemi dosyası için standart format şu şekilde yapılandırılabilir:

• 1) MS-DOS işletim sistemi biçiminde başlık;
• 2) MS-DOS işletim sisteminde Windows eklentisini başlatmaya çalışırken kontrolü ele alan işlemcinin gerçek modu için programın kodu;
• 3) PE dosya başlığı;
• 4) PE dosyası için ek (isteğe bağlı) başlık;
• 5) ekin tüm bölümlerinin başlıkları ve başlıkları (program kodu, veri programı tarafından dışa aktarılan statik veriler, veri programı tarafından içe aktarılan statik veriler, özel bilgiler ve bilgiler).

PE dosyasının isteğe bağlı başlığının intikamını almak için bölümlenmiş, ek giriş noktası adresinin intikamını almak için bir alan içerir. Program kodu segmentindeki giriş noktasının hemen önüne, içe aktarılan işlevlerin adresini içeren bir tablo (Import Address Table - IAT) yerleştirilir, böylece adres alanına kodun girildiği saat için gerçek adreslerle doldurulur. sürecin.

Bir program dosyasına virüs bulaştığında, zeyilnamenin giriş noktasının adresi, koçanın üzerindeki virüs kodunu yönlendirecek ve program dosyasına girildiğinde otomatik olarak kontrolden çıkarılmasını sağlayacak şekilde değiştirilir. Diğer dosyalara bulaşmak için diğer sistem işlevlerine (örneğin CreateProcess, CreateFile, ReadFile, WriteFile, CloseHandle) yapılan çağrıları geçersiz kılmak için işletim sisteminin çekirdek modüllerini (örneğin kernel32.dll) değiştirmek de mümkündür.

Farklı türde dosya virüsleri, virüs bulaşmış bir mantıksal disk veya disketteki kümelerdeki virüslerdir. Virüs bulaştığında, virüs kodu dosyanın kalan kümesi olarak Dosya Ayırma Tablosunda (FAT) belirtilen diskin daha büyük kümelerinden birine kopyalanır. Ardından, katalogdaki program dosyalarının açıklaması değiştirilir - kodu virüse süpürmek için kümenin ilk görülen dosyasının numarası değiştirilir, küme numarası yerleştirilir. Böyleyse, etkilenen dosyanın ilk kümesinin gerçek sayısı şifrelenir ve örneğin katalogdaki dosya açıklamasının yazılmamış kısmına kaydedilir.

Virüs bulaşmış bir kontrol dosyasını başlatırken, şu virüs kodunu kaldıracağım:

• 1) gelecekte virüslü diske yapılan tüm indirmeleri geçersiz kılacak olan işletim belleğine kendi yerleşik modülünüzü kurun;
• 2) çıktı program dosyasını yakalayın ve kontrole aktarın.

Virüs bulaşmış dosyalar içeren bir dizine saldırırken, virüsün yerleşik kısmı işletim sistemine virüs bulaşmış dosyaları gören ilk kümelerin sayılarının gerçek değerlerini iletir.

Örneğin, Microsoft Office paketinin programları tarafından oluşturulan belge dosyalarındaki virüsler, içlerine ek makro eklemeleri için genişletilir (Visual Basic for Applications - VBA'daki prosedürler). Bu nedenle, virüslere bazen makrolarda virüs denir veya basitçe makrovirüsler.

Film makroları, özellikle VBA, nesne yönelimli programlama teknolojisini destekleyen, geniş bir standart makro kitaplığına sahip olabilen ve karmaşık prosedürler oluşturmanıza izin veren evrensel hareketlerdir. Ek olarak, şarkılara (örneğin, belgeyi açmak için) veya koristuvach şarkılarına (örneğin, belgeyi dosyadan kaydetme komutunu çağırırken) bağlanan makrolar otomatik olarak eklenir.

Uçlar, Microsoft Word'ü işleyen belgenin şarkılarına bağlı makrolarla otomatik olarak işaretlenir, є:

• AutoExec (normal.dot şablon dosyasında veya Microsoft Office klasörünün Başlangıç ​​klasörü dosyasında bulunabileceği için Microsoft Word metin işlemcisi başladığında otomatik olarak yürütülür);
• AutoNew (yeni bir belge oluştururken yönetimi otomatik olarak iptal eder);
• Otomatik Aç (bir belgeyi açarken otomatik olarak kontrol edilir);
• AutoClose (belge kapatıldığında otomatik olarak kapanır);
• Otomatik Çıkış (Microsoft Word sözcük işleme tamamlandığında kontrolü otomatik olarak geri çeker).

Elektronik tablo işlemcisi Microsoft Excel, otomatik olarak seçilen makroların yalnızca bir kısmına sahiptir ve bu makroların adları biraz değişmiştir - Otomatik_aç ve Otomatik_kapat.

Microsoft Word metin işlemcisinde ayrıca standart komutlardan biri çağrıldığında kontrolü otomatik olarak kaldıran kendisine atanmış makrolar vardır - Dosya Kaydet (Dosya | Kaydet), FileSaveAs (Dosya | Yak Kaydet), Araçlar-Makro (Hizmet | Makro | Makro ), ToolsCustomize ( hizmet | | Nalashtuvannya) vb.

Bir Microsoft Office belgesi ayrıca makroları kaldırabilir, klavyedeki kısa bir tuş kombinasyonuna basıldığında kontrolü otomatik olarak kaldırabilir veya saatin doğru anına (tarih, bitiş saati) ulaşabilir.

Belirli bir belgeden makro olun (otomatik olarak muzaffer olanlar dahil), normal.dot'ta (ve benzeri) bir şablon dosyasına yazılabilir ve böylece herhangi bir Microsoft Word belgesini düzenlerken kullanılabilir hale gelir. normal.dot dosyasına bir makro kaydetmek, standart MacroCopy (WordBasic) makrosu, Uygulama nesnesinin OrganizerCopy yöntemi veya Organizer (Microsoft Word) ve Sheets (Microsoft Excel) standart nesneleri kullanılarak oluşturulabilir.

Bilgisayarın harici belleğinde bulunan dosyaları değiştirmek için, makrolar standart makroları içerebilir. Get (kapalı bir dosyadan veri okuma), Put (kapalı bir dosyaya veri yazma), Seek (bir kaydın akış konumunu değiştirme veya bir dosyadan okuma), Kapat (bir dosyaya yakın), Kill (bir dosya açmak için) dosya), RmDir (bir klasör açmak için), MkDir (yeni bir klasör açmak için), ChDir (akış klasörünü değiştir) ve in.

Standart Kabuk makrosu, bilgisayarda yüklü programların veya sistem komutlarının üzerine yazmanıza olanak tanır.

Bu şekilde, bir bütün olarak dil VBA programlaması, daha da güvenli olmayan kod oluşturmak için makro virüslerinin yazarları tarafından hacklenebilir. Bir Microsoft Word belgesindeki en basit makro virüsü, diğer belge dosyalarına aşağıdaki sırayla bulaşır:

• 1) virüs bulaşmış bir belge açıldığında, kontrol virüs kodu ile yeni bir makroya silinecektir;
• 2) virüs normal.dot şablon dosyasına ve diğer makrolara kendi koduyla (örneğin, FileOpen, FileSaveAs ve FileSave) yerleştirilir;
• 3) virüs, Windows kayıt defterine ve (veya) Microsoft Word'ün başlatma dosyalarına yüklenir, enfeksiyonun yok edilmesi hakkında geçerli bir uyarı;
• 4) Microsoft Word'ü başlatırken, ilk dosya aslında normal.dot şablon dosyasına bulaşır, bu da virüs kodunun otomatik olarak kontrolü ele geçirmesine olanak tanır ve standart Microsoft Word komutlarının yardımıyla diğer belge dosyalarına bulaşma gerçekleştirilebilir.

Microsoft Office paketi ile mevcut çalışma zamanında, kodlarının bir kısmı bilgisayarın RAM'inde kalıcı olarak bulunduğundan, makro virüslerinin büyük çoğunluğunun yerleşik virüsler grubuna dahil olduğu söylenebilir.

Bir Microsoft Office belgesinin ortasındaki makro virüs kodunun konumu şematik olarak gösterilebilir, çünkü belgelerdeki dosyaların formatı katlanabilir ve bu farklı formatların birbiriyle birleştirilebilen blok dizisini önlemek için çok sayıda servis verisinin yardımı için. Özellikle makro virüsler, sadece IBM PC'lerde değil, farklı platformlardaki bilgisayarlarda da belge dosyalarına bulaşabilen virüslerdir. Office programları bilgisayara yükleneceğinden, daha sık olarak Microsoft Office paketindeki programlarla enfeksiyon mümkün olacaktır.

Belgelerin dosyalarını depolarına kaydederken, kaydedilen verileri belgeden göründükleri gibi içerirler ve göz önünde tutulurlar, ancak belgeyi düzenlerken günün sonuna kadar değil, operasyonel bellek blokları dahil. Bu nedenle, belgeye yeni veriler eklerken, rozmіr, değişiklik de dahil olmak üzere aktarılmamış bir sıralama ile değiştirilebilir. Bulaşmadan sonra değişmeyeceğinden, belge dosyasına makro virüs bulaşması hakkında hüküm vermenize izin vermiyoruz. Yasal olarak erişilebilir bir belgenin bir dosyasıyla bir vipadkovo zberezhenoї zamanında bilgilerin görünebileceği ve gizli kalabileceği de önemlidir.

Makro virüslerin çoğu kendi kodlarını yalnızca makrolarda bulabilir. Ancak virüs kodunun sadece makrolarda saklanmadığı belge dosyalarının makrolarında da farklı virüsleri tespit etmek mümkündür. Virüs sayısı, Microsoft Office'teki makro düzenleyiciyi çağıran ana virüs kodunu yakalamak amacıyla küçük bir makro içerir, varlığının izlerini eklemek için virüs kodu, viconu yogo, poїv tsyogo ile yeni bir makro oluşturur. hedef makro Bu durumda virüsün ana kodu, satır dizisi görünümünde, makro arama başlığında veya virüslü belge alanında bulunur.

Normal.dot şablon dosyasına bulaşmak, makro virüslerini ana bilgisayarın bilgisayarına yaymanın tek yolu değildir. Microsoft Office klasörünün ortasındaki Başlangıç ​​klasöründe bulunan ek şablonların dosyalarına da virüs bulaşmış olabilir. Belge dosyalarına makro virüsleri bulaştırmanın başka bir yolu da, bunları Microsoft Office klasörünün Eklentiler klasöründe bulunan Microsoft Word genel gider dosyalarına sızdırmaktır. Kodlarını normal.dot şablonuna yerleştirmeyen makrovirüsler, yerleşik olmayan bir virüs grubuna dahil edilebilir. Cі diğer dosyalara bulaşmak veya VBA dosyalarının dosya ve klasörleriyle çalışmak için standart makrolar yerleştirmek veya Microsoft Word programının ve diğer programların “Dosya” klasörüne yerleştirilebilecek, düzenlenen dosyaların geri kalanını listelemek için makrovirüsler Cі Microsoft Office paketi.

Elektronik tablo işlemcisi Microsoft Excel normal.dot şablon dosyasına sahip değildir, bu nedenle Başlangıç ​​klasöründeki dosyalar belgelerdeki diğer dosyalara bulaşmak için kullanılır. Özellikle Excel elektronik tablo dosyalarına bulaşan makro virüsleri, onlar için yalnızca VBA programlama dilinde değil, Microsoft Excel makro komutlarının desteği güvenli olan “eski” sürümlerinde ve daha yeni sürümlerinde hangi tablo işlemcisinin yazılabileceği olanlardır. .

Hatalı veri tabanı (örneğin, veri tabanı girişi) durumunda otomatik kontrol kaldırma için veri tabanı yönetim sistemi Microsoft Access'te, daha az olası olabilecek özel bir mov betiğinde yazılmış makrolar tanınır. Ayrıca otomatik olarak adlandırılan bu script makrolarında (örneğin Microsoft Access başlatıldığında otomatik olarak kontrol edilen AutoExec makrosunda), VBA dilinde yazılmış tam makrolar çağrılabilir. Bu nedenle, Microsoft Access veritabanına bulaşmak için virüsün makro komut dosyasını otomatik olarak oluşturması veya değiştirmesi ve virüs kodunun ana kısmına bulaşmak için makro içeren modülü veritabanına kopyalaması gerekir.

Hem Microsoft Access veritabanlarına hem de Microsoft Word belgelerine bulaşabilen kombinasyon virüsleri. Bu virüs, "kendi" türündeki (.doc veya .mdb) belge dosyalarıyla cilde bulaşan iki ana bölümden oluşur. Böyle bir virüsün bir parçası tarafından rahatsız olan ale, kodunuzu bir Microsoft Office programı ile diğerine aktarabilirsiniz. Kod, Başlangıç ​​klasöründeki Microsoft Access'ten bir virüse aktarıldığında, ek şablonlardan oluşan bir dosya (.dot-file) etkilenir ve kod Microsoft Word'den bir virüse aktarıldığında, bir Access veritabanı dosyası etkilenir, Microsoft Access eklentisi ( msaccess.exe) ile virüs kodu tarafından başlatılacak bir parametre olarak aktarılır.

Antivirüs firmaları virüslerin yayılmasındaki yeni trend hakkında bilgi veriyor. Posta virüslerinin ve senaryolardaki virüslerin patlak vermesinden sonra, şimdi depolama programlarını genişletmenin en popüler yollarından biri, USB yardımıyla bilgisayara bağlı flash sürücüleri kullanmaktır. Windows işletim sisteminin zayıflıklarının üstesinden gelmek mümkün hale geldi, çünkü onu kilitlemek otomatik olarak yedek depolama aygıtından autorun.inf dosyasını başlatır.

Bazı uzmanlara göre, Windows işletim sistemindeki INF / Autorun hizmeti, bilgisayar sistemlerinin güvenliğinde büyük bir ihlal olabilir. Herhangi bir şekilde e-posta yoluyla virüslü programların yeniden bulaşmasını kontrol etmek için, okuma yazma bilen bir koristuvach pratik olarak enfeksiyonu kurtaramaz, bunu yapsanız bile, virüslü ekleri USB yuvalarına takmanız yeterlidir ve işlem geri alınamaz hale gelir. Microsoft şirketinin güvenlik uzmanlarıyla çalışması önerilen otomatik çalıştırmaya tek bir önleme dahil edilebilir.

İnternet henüz uykuya geçmediyse, bir anlamda USB sürücülerdeki virüslerin yayılmasının virüs yaratma turlarına dönüştürülebileceği söylenebilir. Bu virüsler, ek disketler için bilgisayardan bilgisayara yayılır.

yazılım sekmesi Bir bilgisayar sistemi programına saldırmadan önce dahili sistemin adını adıyla çağırın, sisteme adıyla tek tek zarar veren işlevler:

• COP bölümlerindeki genişleme yöntemi ile uygulama ve bilgi güvenliğine yönelik diğer tehditler (bilgisayarlar veya bilgisayar virüsleri gibi solucanlar, kodunuzu gövdeye dahil etmek yetkililerin anasının hatası değildir) ve dosyalarımız);
• zdіysnennya rіznіh onaylanmamış koristuvach dіy (gizli bilgilerin seçimi ve kesiciye її iletim, koristuvacha bilgilerinin yok edilmesi veya navmisnu değiştirilmesi, bilgisayarın uygulama verilerine zarar verilmesi, bilgisayarın vikoristan nya kaynakları müstehcen amaçlarla ("Truva atları") programlar veya basitçe "Truva atları");
• COP'un yazılım güvenliğinin işleyişinde değişiklik yapılması veya düşürülmesi, verilen verilerde yapılan değişikliklerin günün gününden sonra azaltılması veya değiştirilmesi veya COP çağrısının duyurulduğu günün kaldırılması (“mantıksal bombalama”) );
• CS'yi korumak için alt sistemin diğer işlevlerini yönetmek veya CS'deki güvenlik bilgilerine yönelik tehditlerin uygulanması için içinde "tarama delikleri" oluşturmak (örneğin, CS ödemeli donanım şifresinde kurulu robotun öykünme yolunu şifreleme yeteneğini taklit etmek) banyo);
• ilk girişten önce talebin ek taklidi için coristuvachіv KS şifrelerinin yeniden kopyalanması veya tüm coristuvachiv girişinin klavyeden yeniden kopyalanması;
• dağıtılmış CS'nin nesneleri arasında iletilen bilgi akışına müdahale etme (izleme);
• yasal virobnikler tarafından kırılan, ancak muzaffer olabilecek potansiyel olarak güvenli olmayan işlevlerin intikamını almak için zihinsel olarak güvensiz programlar.

Kural olarak, solucanın çalışmaya başlaması için e-posta ile gönderilen bir dosyayı başlatması (veya aldığınız e-postayı geçmek için e-posta adresine gitmesi) gerekir. Ali, aktivasyonu insanların girişini etkilemeyen solucanlar da var:

• solucan, sayfanın metninde gizlidir ve coristuvach sadece bir hatırlatıcı gösterirse başlar (aksi takdirde, posta istemcisinin penceresindeki ileri inceleme panelinde görünür) (bu durumda sayfa, metni temsil eder) senaryonun intikamını chrobak koduyla alacak olan filmde);
• hrobak vikoristovu "dirka" (kırma, yumuşacık) işletim sistemlerinin ve diğer programların (örneğin posta) güvenlik sistemlerinde.

Bir dosyaya kendiliğinden e-posta göndermeye başlamak için, vikoristovuyutlar daha ileri teknolojiler, toplum mühendisliği düzeyinde. Örneğin, büyük bir kuruş ödülle kazanılan bir nibito'nun geri çekilmesi için bir form ile teklif kağıdına doldurulmalıdır. Abo maskeleme, vіdomoї kompanіії-virbіnії yazılım güvenliği ile ilgili olarak pіd іnіtsіynu rozsilku (asaletleri takip edin, tsі nії n_koli zapis koristuvacha nіyaki dosyaları olmadan rozsilat değil), vb.

Başlatıldıktan sonra solucan, posta programının "adres defterini" kullanarak kendi kodunu e-posta ile gönderir. Bir bilgisayar virüslü bilgisayarı tanırsa, virüs bulaşır.

Klasik virüsler arasında solucan solucanlarının ana özelliği, ölçek boyunca kendi kendine yayılma olasılığının yanı sıra, virüslü bilgisayardaki diğer yerel nesnelere bulaşma zorunluluğudur.

Solucanlar, ağı genişletmek için çeşitli bilgisayar ve mobil ağları kullanır: e-posta, iletişim alışverişi sistemleri, dosya alışverişi (P2P) ve IRC birleştirmeleri, yerel numaralandırma ağları (LAN), mini danimi mizh mobil ek binalar (telefonlar, bağırsak bilgisayarları) ve t. D.

Dosyaları görünce daha fazla solucan genişliyor: elektronik bir listeye gömme, bir dosyayı ICQ ve IRC mesajlarındaki bir web veya FTP-pecypce'ye gönderme, bir P2P değişim dizinindeki bir dosya, vb. "dosyasız" veya "paket" solucanlar olarak adlandırılır), bilgisayarın belleğine kesintisiz olarak girerek ve kodlarını etkinleştirerek ağ paketleri şeklinde genişler.

Deyaki solucanları ayrıca diğer farklı türden shkidlivy yazılımlarının gücüyle yönlendirilir. Örneğin, bazı solucanlar, virüslü bir bilgisayarın gizli bilgilerini toplama ve iletme işlevine veya virüslü bir bilgisayarın yerel diskindeki dosyalara, yani Truva atı programının ve (veya) bilgisayar eutherian virüsünün gücüne bulaşarak misilleme yapabilir. .

Şek. 4.1 2008'de bilgisayar virüslerinin (virüs) ve diğer solucan kategorilerinin yayılmasını gösteren verilerin tanıtılması (Kaspersky Lab'den alınan verilere göre).

Mal. 4.1.

Diğer Truva atı kategorileri, virüs bulaşmış bir bilgisayardan gelen kötü amaçlı yazılımlara saldırmadan uzak bilgisayarlardan ve ağlardan gelen kötü amaçlı yazılımlara saldırır (örneğin, bir ağın uzak kaynaklarına DDoS saldırıları için yayılan Truva atları).

Truva atları solucanları ve virüsleri görüntülerken başka dosyalar göndermez ve genişleme için ıslak kediler yapmaz. Koristuvach virüslü bilgisayar diї için shkidlivy yazmak gibi, örneğin İnternet erişimi için şifreyi değiştirmek gibi sadece bir program.

Şu anda, "Truva Atı" programları sınıfının ortasında, Kaspersky Lab'in kopyaları üç ana neden grubu görüyor:

• Arka kapı (virüslü bilgisayarın uzak yöneticisine önerilir), Trojan-Downloader (diğer kalitesiz programların bilgisayara teslimi), Trojan-PSW (şifre kırma), Trojan (diğer "Trojan" programları), en yaygın "Truva atları" programlar;
• Trojan-Spy (casus yazılım), Trojan-Dropper (diğer casus yazılım yükleyicileri);
• Trojan-Proxy ("Trojan" proxy sunucuları), Trojan-Clicker (İnternet tıklayıcıları), Rootkit (bilgisayar sistemindeki varlığınızı alın), Trojan-DDoS (hizmet istemiyle rozpodіlenih saldırılarına katılmak için yazılım), Truva- SMS ("mobil Truva atları", mobil cihazlar için en önemli tehdit).

Deyakі programları eğlenceli olabilir, yakі shkodi zdorov'yu koristuvachka'yı yalnızca birkaç akılla zavdat edebilir. Ayrıca, benzer programlar yasal olarak satılabilir ve günlük robotlarda, örneğin sistem yöneticilerinde muzaffer olabilir. Bununla birlikte, bir alçağın elinde, bu tür programlar, yardımıyla sağlıklı bir koristuvach kurabileceğiniz bir araca dönüşebilir. Fahіvtsі Kaspersky Laboratories, benzer programları zihinsel olarak güvenli olmayan aynı program grubunda görüyor (bunları açık bir şekilde ne güvenli ne de güvenli olarak sınıflandırmak mümkün değil).

Bu tür programlar, isteğe bağlı olarak geniş bir anti-virüs veritabanı seti seçimine bağlı olarak anti-virüs programları tarafından gösterilmektedir. Sonuç olarak, programın tabanlarını genişlettiğinizde, programların pis kokudan% 100 daha iyi olduğunu bilirsiniz (örneğin, koristuvach, işlevleri ve galibi bilerek bu programı kendisi eklemiştir) їх yasal amaçlarla ), daha sonra koristuvach ya uzaktaki genişletilmiş anti-virüs veritabanları seçimine bakabilir ya da benzer programları "suçlama" listesine ekleyebilir (daha ileride gösterilecek programlar dahil edilecektir).

Potansiyel olarak güvenli olmayan programlar, RiskWare (yasal olarak teşvik edilen potansiyel olarak güvenli olmayan programlar), Porn Ware (pornografik nitelikteki bilgileri görüntülemek için programlar) ve AdWare (reklam yazılımı güvenliği) olarak sınıflandırılır.

RiskWare programları sınıfına, inşaat müteahhidinin ve sağlık çalışanının elinde olduğu için yasal programlar vardır (serbestçe satılırlar ve yasal amaçlar için yaygın olarak kullanılırlar). Bu tür programlar, uzaktan yönetim için yasal yardımcı programları, IRC istemci programlarını, otomatik arama programlarını (“Dailer”, çevirici), indirme programlarını (“yes unloader”, indirici), izleme etkinliğini (monitör), parolalarla çalışmak için yardımcı programları görüntüleyebilir. , ayrıca FTP, Web, Proxy ve Telnet hizmetleri için bir dizi İnternet sunucusu.

Tüm bu programlar kendi başlarına shkidlivimi değildir, prote volodyyut fırsatları, yak shkodi koristuvachs'ı kazanmak için aceleye getirilebilir. Örneğin, uzaktan yönetim programı, uzak bir bilgisayarın arayüzüne erişimi kaldırmanıza ve onu uzaktaki bir makineyi yönetmek ve izlemek için kullanmanıza olanak tanır. Benzer bir program tamamen yasal olabilir, serbestçe kullanılabilir ve robotik sistem yöneticileri veya diğer teknik tesislerde gerekli olabilir. Ancak gerillaların elinde koristuvachların sağlığı ve bu nedenle başkasının bilgisayarına erişim için böyle bir program oluşturulmuştur.

Başka bir örnek olarak, IRC-birleştirme istemcisi olan bir yardımcı programa bakalım: böyle bir yardımcı programın genişletilmiş işlevsel yetenekleri, hırsızları hızlandırabilir ve onlarla birlikte, böyle bir istemcinin işlevlerini alt edecek Truva at programlarını (zocrema, Backdoor) genişletebilir. kendi robotunda. Böylece, "Trojan" programı, bilgisayar korsanının bilgisi olmadan güçlü betiklerin IRC-istemcisinin yapılandırma dosyasına eklenebilir ve virüs bulaşmış bilgisayardaki yıkıcı işlevlerini bir truva atı ile başarıyla devre dışı bırakabilir.

Çoğu shkidlivy programı, kendi amaçları doğrultusunda biraz daha yoga yapmak için bağımsız olarak koristuvach'ın bilgisayarına bir IRC istemcisi kurar. Bu şekilde yerleştirme yeri olarak, kural olarak, Windows klasörü ve alt klasörleri görünür. Bu klasörlerde bir IRC istemcisinin görünümü, bilgisayara bir tür karıştırılmış program bulaştığı gerçeği konusunda neredeyse kesindir.

Reklam yazılımları (Reklam Yazılımları, Reklam Yazılımları, Casus Yazılımlar, Tarayıcı Korsanları), reklam istemlerini görüntülemek (çoğunlukla grafik banner'lara bakmak için) ve tıklama isteklerini reklam Web sitelerine yönlendirmek için tanınır. Reklam göstermek adına benzer programlar kural olarak sistemde varlıklarını göstermezler. Adware programlarını kaldırma prosedürü yok.

• reklam bileşenlerini maliyetsiz ve akıllı maliyetsiz bir yazılımda (ücretsiz yazılım, paylaşılan yazılım) tanıtmanın bir yolu;
• "virüslü" Web taraflarının ortaya çıkması durumunda reklam bileşenlerinin izinsiz olarak yüklenmesinin bir yolu.

Ücretsiz yazılım ve paylaşılan yazılım kategorilerindeki çoğu program, satın alma ve/veya kayıt işlemlerinden sonra reklamları kabul eder. Bu tür programlar genellikle üçüncü taraf satıcıların Adware yardımcı programlarına girer. Bazı durumlarda, Adware yardımcı programları, coristuvacha'nın bilgisayarındaki kurulumlar tarafından ve sisteme çok fazla pis koku saçtıkları programların kaydedilmesinden sonra engellenir. Eğer öyleyse, Adware bileşeninin kaldırılması, yine de reklamları görüntülemek için herhangi bir programdan vikoristovuetsya, robotik programlarda arızalara yol açabilir.

Bu tür Reklam Yazılımlarının temel olarak tanınması, doğru reklam bilgilerinin görüntülenmesi için ücretlendirilen yazılım için zımni bir ödeme şeklidir (reklamverenler, reklamlarını bir reklam ajansına, reklam ajansları - Reklam Yazılımı satıcısına göstermek için ödeme yapar). Reklam yazılımı, hem yazılım güvenliği perakendecilerinin (Adware'den elde edilen gelir onları yeni ve kapsamlı programlar yazmaya teşvik eder) hem de geliştiricilerin hızını artırmaya yardımcı olur.

Reklam bileşenlerinin yüklendiği zamanlarda, "virüslü" Web tarafları algılandığında, bilgisayar korsanı teknolojileri (web tarayıcısının güvenlik sistemindeki bir ihlal yoluyla bir bilgisayara sızma ve dilbilgisi güvenliği kurulumu için tanınan Truva atlarını kullanma) . Tam da bunu yapan reklam yazılımı programlarına genellikle "Tarayıcı Korsanları" denir.

Reklam dağıtımı için birçok reklam programı, bilgisayar ve ana bilgisayar hakkında gizli bilgiler de toplar (IP adresi, işletim sistemi sürümü ve web tarayıcısı, en sık kullanılan İnternet kaynaklarının listesi, arama sorguları ve diğer bilgiler, yak reklam için kullanılabilir) amaçlar).

Bu nedenle, Adware programlarına genellikle Casus Yazılım da denir (Casus Yazılım kategorisindeki reklam yazılımlarını Trojan-Casus casus yazılımlarla karıştırmayın). Reklam yazılımı kategorisindeki programlar, yalnızca zaman kaybıyla değil, aynı zamanda bir dizi gizli veriye yönelik gerçek bir tehditle de bağlantılı olan Skoda'yı getirir.

RiskWare ve PornWare programlarının dağılımı nedense bir pasta grafikte gösterilebilir (Şekil 4.2, Kaspersky Lab'in izniyle).

AdTool - AdWare'e getirilemeyen her türlü reklam modülü, pis kokular gerekli yasal niteliklere sahip olabilir: güvenli lisanslar, bilgisayardaki varlıklarını gösterir ve koristuvach'ı işleri hakkında bilgilendirir.

Mal. 4.2.

Porn-Dialers bağımsız olarak (koristuvach'ı bilgilendirmeden) premium numaralarla telefon görüşmeleri yapar, bu da genellikle aboneler ve telefon şirketleri arasında adli incelemeye yol açar.

Monitör kategorisindeki programlar, resmi olarak viroblyayutsya olan ve satılan yasal olarak "keylogger" (tuşlara basma programları) olarak kabul edilir, ancak sistemdeki varlıklarını ekleme işlevine sahiplerse, bu tür programlar vikoristaniyak tam Truva atları-casuslukları olabilir.

PSW-Tool kategorisindeki programlar, unutulan parolaları kurtarmakla tanınırlar, ancak bilgisayar korsanı olarak ve kurbandan şüphelenmeden bu parolaları bilgisayarın belleğinden kurtarmak için kolayca kullanılabilirler. İndirici kategorisindeki programlar, hırsızlar tarafından kurbanın bilgisayarındaki kötü amaçlı içeriği yakalamak için kullanılabilir.

Diğer shkidlivim programlarından önce, bilgisayarı kesintisiz olarak tehdit etmemek, hangisine saldırılabileceği, ancak diğer shkidlivih programlarının oluşturulması için genişletmek, uzak sunuculara DDoS saldırıları düzenlemek, diğer kötü niyetli bilgisayarlar , vb.

Bu tür programlar arasında virüs gizemcileri (Hoax) ve bağışlayıcı anti-virüs programları (FraudTool), "kötü" uzak bilgisayarlar için "hacker" programları (Exploit, HackTool), kötü amaçlı programların oluşturucuları ve paketleyicileri (Constructor, VirTool, Packed), spam uzantıları ve “smite” saldırıları (SpamTool, IM-Flooder, Flooder), koristuvach'ı Umman'a tanıtmak için programlar (BadJoke).

FraudTool'un ana varyantı sözde haydut antivirüs - kendinizi tam bir anti-virüs koruyucusu olarak gördüğünüz programlar. Bilgisayarınıza yükledikten sonra, bir şekilde bir tür virüsü "tanıyacak", kesinlikle "temiz" bir bilgisayar sistemine koyacak ve sizden "heyecan" için ücretli sürümünüzü satın almanızı isteyeceksiniz. Koristuvachiv'in doğrudan aldatma suçu, bu programlar kendilerinden ve AdWare işlevinden intikam alacaktır. Aslında bu, shkіdlivi programlarından önce koristuvachiv korkusu üzerine kurulan shakhrayism'in hakkıdır.

Exploit ve HackTool kategorilerindeki bilgisayar korsanı yardımcı programları, uzaktan kontrol etme yöntemiyle (“arka kapı” tipi Truva atı programlarının bilgisayar korsanlığı yöntemleri) uzak bilgisayarlara girmek veya bir bilgisayar korsanından diğer kötü amaçlı programlardan oluşan bir sisteme sızmak için tasarlanmıştır. Saldırıya uğrayan bilgisayarda yüklü olan işletim sistemlerinde veya eklentilerde muzaffer bazı tartışmaların olduğu "istismar" türü bilgisayar korsanı yardımcı programları.

Yeni bilgisayar virüslerinin ve "Truva atlarının" hazırlanmasıyla tanınan virüslerin ve "Trojan" yazılım yardımcı programlarının kurucuları. DOS, Windows ve makro virüsleri için virüs yapıcıları. Harici virüs metinleri, nesne modülleri ve (veya) rastgele virüs bulaşmış dosyalar oluşturmanıza olanak tanırlar.

Kuruculara standart bir grafik arabirim sağlanır, böylece ek bir menü sistemi için nesnelerin saldırdığı virüs türünü, şifrelemenin varlığını veya varlığını, sürücüye karşı korumayı, dahili metin satırlarını ve efektleri seçebilirsiniz. bu destek virüslerin işini rahatlatır vb.yapıcılar arayüzle uğraşmazlar ve kendi yapılandırma dosyalarında yaratılan virüs türü ile ilgili bilgileri okurlar.

Nuker kategorisindeki yardımcı programlar, bir grup halinde bilgisayarların saldırıya uğradığı ve bunun sonucunda sistemin robot tarafından saldırıya uğradığı özel olarak tasarlanmış uygulamaları yönetir. Eskrim hizmetleri ve işletim sistemlerinin yazılım güvenliğinde galip gelen programlar, bu saçaklamanın bir sonucu olarak, özel bir eskrim türü, zeyilname saldırısında kritik bir af çağrısı yapar.

Bad-Joke ve Hoax ("kötü sıcak") kategorisindeki programlardan önce, doğrudan bir shkodi olsun, bilgisayarı kurmayan programlar var, böyle bir shkoda'nın zaten zapodiya olduğu kişiler hakkında prote vidomlennya, aksi takdirde herhangi bir akılla yapılacaktır, aksi takdirde, kaçınılmaz sorun konusunda koristuvach'ın önündedirler. "Kötü sıcak" dan önce, örneğin, bir sabit diskin biçimlendirilmesi hakkında corystuvachevsky bilgilerini gösteren programlar (gerçekten hiçbir biçimlendirme verilmemiş olsa bile), virüs bulaşmamış dosyalarda virüsler gösterir, virüs benzeri garip uyarılar gösterir. vb.

Polimorfik üreteç kelimenin tam anlamıyla virüs değildir, algoritmadaki parçalar çoğaltma işlevine dahil değildir. Benzer türden bir programın ana işlevi, vücudun virüse şifrelenmesi ve şifreli bir şifre çözme makinesinin oluşturulmasıdır.

Yazarları tarafından genişletilen polimorfik üreteci, arşiv dosyasının görünümünde sınırsız ses. Herhangi bir jeneratörün arşivindeki ana dosya, bu jeneratörün intikamını almak için kullanılabilecek bir nesne modülüdür.

Küçük programların işleyiş planının tek modüllerden katlanabilir ve karşılıklı olarak birbirine bağlı projelere evrimi bu yüzyılın başlarında başladı. Shkidlivih programlarının işleyişine yönelik yeni model, yalnızca birçok yeni shkidlivih projesi için standart haline gelmekle kalmayıp, aynı zamanda onun daha da geliştirilmesini de hesaba katmak içindir.

Model ve ayaklar için ana pirinçler:

• çok sayıda virüslü bilgisayarı yönetmek için tek bir merkezin varlığı;
• üçüncü taraf takip ve kontrol gözetimine karşı aktif;
• skid kodunun bir saatlik kütlesi ve kısa saatlik uzantıları;
• yetkin bir şekilde zastosuvannya zasobіv sosyal mühendislik;
• çeşitli genişletme yöntemlerini kullanma ve bunlardan en önemlileri için adım adım talimatlar (e-posta);
• farklı işlevler oluşturmak için farklı modüllerin seçimi (yalnızca tek bir evrensel değil).

Tanıdık Web 2.0 terimine benzetilerek, yeni nesil shkidlivih programları MalWare 2.0 olarak adlandırılabilir.

Sistemdeki varlığı (rootkit'ler) ekleme tekniği, yalnızca Truva atı programlarında değil, aynı zamanda dosya virüslerinde de durgunlaşacaktır. Bu şekilde, yerleşik gizli virüsler kullanılmışsa, MS-DOS işletim sisteminin saatine iki dönüş gibi görünecektir. Bu, anti-virüs programlarına karşı mantıklı bir yöntem geliştirmesidir. Shkіdlіvі programları artık görünüşünüzden sonra sistemde "canlı" pragvat.

Bilgisayardaki programların varlığını ele geçirmenin bir başka güvenli olmayan yolu, diskin kazançlı sektörüne - sözde "bootkit" - bulaşma teknolojisi olacaktır. Bu, shkidlivy programlarının işletim sisteminin (ve anti-virüs programlarının) ana bölümünün kontrolünü ele geçirmesine izin veren eski tekniğin bir bükülmesidir. Butkіti - herhangi bir ek binanın zavantazhuvalnyh sektörlerinden zavantazhennia'nın işlevi ile tse rutkіti. Sorun, shkidlivy kodunun işletim sistemi başlamadan önce kontrolden çıkarılması ve bu nedenle anti-virüs yazılımının güvenli olmasıdır.

Bootkit teknolojisinin uygulanması için en büyük uygulamalardan biri vbootkit'tir. Vbootkit'in sıralaması basitleştirilmiş, bu şekilde görünüyor. Bilgisayar açıldığında ve BIOS programı açıldığında, Vbootkit kodu etkinleştirilir (CD'den veya başka bir eklentiden). Ardından MBR yakalama programı başlar ve Windows Vista yakalar, ardından kontrol işletim sisteminin çekirdeğine aktarılır.

Tıpkı vbootkit'in sistemin kontrolünü ele geçirmesi gibi, BIOS 13'ün sıfırlanmasını gerektirir, ardından Windows Vista için imzaları arar. Hataların bu tezahürlerinden sonra, Windows Vista'yı değiştirmeye başlarsınız, anında kendinizi düzeltirsiniz (kodunuzu küçük parçalar halinde işletim belleğinin çeşitli alanlarına yerleştirerek). Bu değişiklikler, elektronik dijital imzaların yeniden doğrulanması, hash değerlerinin kontrolü ve sistem üzerindeki kontrolünüzü ilk kez korumak için tek sayıların viconnance gibi güvenlik önlemlerinin atlanmasını ve sürecin başka bir aşamasını içerir. dolaşma.

Başka bir aşama, işletim sisteminin çekirdeğini genişletirken vbootkit kontrolünü yeniden ele geçirilene kadar onun üzerinde tutmayı içerir. Bu sırada koristuvach, Windows Vista'nın çekirdeğinde vbootkit, zavantazheniya'ya sahip olacak.

Bootkit'ler, heyecan verici sektörde yalnızca ana kodu çalıştırmak için gereken minimum düzeyde kaydedilir. Bu ana kod diğer sektörlere kaydedilir, herhangi bir bootkit yerine BIOS'u sektörü okuyacak şekilde değiştirmek mümkündür.

Sosyal ağların Koristuvach'ları, sözde kimlik avının ana hedefi haline gelebilir. Çeşitli birleştirme hizmetlerindeki abonelerin halka açık verileri, yüklenicilerin içicileri tarafından tanıtılacaktır. Kötü amaçlı Web sitelerine shkidlivy programları yerleştirme yöntemine önemli bir alternatif olun. "Trojan" programları, sosyal ağların kayıtlarının görünümü, blogları ve profilleri aracılığıyla kendilerini genişletebilir.

Sosyal önlemlerle bağlantılı bir sorun daha XSSPHPSQL-aTaKH olabilir. Yalnızca Shakhrai yöntemlerine ve toplum mühendisliği yöntemlerine dayanan kimlik avı temelinde, Web 2.0 hizmetlerinin vikoristovuyut aflarına ve çekişmelerine saldırır ve bunlar çok okuryazar koristuvachiv'lere dönüşebilir. Metoyu porushniki ve aynı şekilde є "geleneksel" yöntemlerle uzak saldırılar gerçekleştirmek için deyaky üsleri ve listelerinin oluşturulması için gerekli olan coristuvachiv'in kişisel verileri.

Bilgisayar korsanlarının ve bilgisayar korsanlarının Web 2.0 hizmetlerine bir saatlik ilgisini güvence altına alan ana faktörler şunlardır:

• coristuvacha verileri için tanımanın kişisel bir bilgisayardan internete aktarılması;
• bir dizi farklı hizmet için bir oblikovogo rekoru kazanmak;
• koristuvachiv hakkında ayrıntılı bilgilerin mevcudiyeti;
• bağlantılar, kişiler ve tanıdıklar hakkında bilgilerin mevcudiyeti;
• herhangi bir bilginin yayınlanması için verilen alan;
• dovirchі vіdnosini mizh kişileri.

Verilen sorun şu anda ciddi ve fahivtsiv'e göre bilgi güvenliğinin ana sorunu olma şansı var.

Birçok mobil cihaz olduğu için ve cep telefonlarının ilk ayında bunlara yönelik tehditler, ilkel Trojan programları ile akıllı telefonlar için işletim sistemleri ve eklentilerdeki farklı programlar arasında yayılmaktadır.

COP'ta yazılım yer imlerini uygulama yöntemleri için uygun ve yer imi sistemine yerleştirilmelerinin olası yerleri aşağıdaki gruplara ayrılabilir:

• BIOS ile ilişkili program yer imleri;
• koçan yakalama ve işletim sisteminin yakalanması programlarıyla ilişkili yer imleri;
• işletim sistemi sürücüleri ve diğer sistem modülleriyle ilişkili yer imleri;
• küresel tanımanın uygulamalı yazılım güvenliğiyle ilişkili yer imleri (örneğin, arşivleyiciler tarafından);
• yalnızca yer imi kodunu kaydedebilen ve onu ek toplu komut dosyaları için kullanabilen program dosyaları;
• rezil tanıma güvenliği için uygulama programı altında gizlenen yer imleri;
• oyunda maskelenen ve yazılım güvenliğini aydınlatan yer imleri (COP'ta birincil uygulamalarını kolaylaştırmak için).

І profilaksi - dosyaların veya işletim sisteminin bulaşmasını (değiştirilmesini) önleme

Virüslere karşı savunma yöntemleri[ | ]

Virüslere karşı korunmak için üç yöntem grubu vardır:

1. dayalı yöntemler dosyaları birlikte analiz edin(Veriler için dosyalar gibi, komut içeren dosyalar için de öyle). Virüs imzalarının taranması, bütünlüğün yeniden kontrol edilmesi ve şüpheli komutların taranması gruba dahil edilmelidir.
2. dayalı yöntemler program davranışı onların vikonanna'ları altında. Bu yöntemler, sanki sistemin güvenliğini tehdit ediyormuş gibi gerçek durumda değişen veya yazılım öykünmesi durumunda değişen tüm yaklaşımların protokolünde kullanılmaktadır.
3. yöntemler iş sırasının düzenlenmesi dosyalar ve programlar ile. Bu yöntemler, güvenliğe yapılan idari ziyaretlerden önce görülebilir.

İmza tarama yöntemi(İmza analizi, imza yöntemi) benzersiz bir bayt dizisine sahip dosyalarda aramaların tespiti - imza, Song virüsünün özelliği. Bir virüs tarafından antiviral laboratuvar kolaylaştırıcıları tarafından tespit edilen bir cilt enfeksiyonu için bir analiz yapılır ve buna göre bir imza belirlenir. Kaldırılan parça, virüsten koruma programı tarafından kullanılan özel bir virüs imza veritabanına yerleştirilir. Bu yöntemin avantajı, oldukça düşük bir af sıklığıdır ve ana dezavantaj, bir anti-virüs programının veritabanında bir imza bulunan sistemde yeni bir virüs tespit etmenin imkansızlığı ilkesidir, gereklidir. bu imzaların veri tabanını güncellemek için .

Bütünlüğü kontrol etme yöntemi diskte herhangi bir sebep ve makul olmayan veri değişikliği olmadığı gerçeğine dayanarak, anti-virüs sisteminin özel dikkat gerektireceğinden şüpheleniyoruz. Obov'yazkovo virüsü, yeniden başlatmanın kanıtını bırakır (mevcut (özellikle sistem veya hack) dosyalarındaki verilerin değiştirilmesi, yeni hack dosyalarının görünümü, vb.). Verileri değiştirme gerçeği - bütünlüğe zarar- test edilen a'nın giden değirmeni için kontrol toplamı (özet), birikmiş bakım listesi ve test edilen a'nın sıralı değirmeninin kontrol toplamı (özet) ile eşleştirilmesi yoluyla kurulumu kolaydır. Koku kaçmazsa, bütünlüğün bozulduğu anlamına gelir ve bunun ve ek yeniden doğrulama için, örneğin virüs imzalarını tarayarak yapılması gerekir. Atama yöntemi, imza tarama yönteminden daha etkilidir, sağlama toplamlarının parçaları daha az hesaplanır, parçalarının bayt bayt sıralanmasında daha düşük işlemler yapılır, ayrıca, dahil olsun ya da olmasın aşağıdaki etkinliğin gösterilmesine izin verirler. rusіv, veritabanındakiler için henüz imza yok.

Şüpheli komutları tarama yöntemi(Sezgisel tarama, buluşsal yöntem) taranan dosyada görüntülenen şüpheli komutların sayısına ve (veya) şüpheli dizilerin bir işaretine (örneğin, bir sabit diski biçimlendirme komutu veya işleme dönüştürme veya kurtarma işlevi) dayalıdır ). Dosyanın shkidlivy özünden uzaklaşmak ve yogo çevirisine ek olarak kıvranmak istiyorsanız. Bu yöntem garniy swidkodієyu olabilir, ancak genellikle yeni virüsleri ortaya çıkarmak için inşa etmeyen şarabı dosit.

Program Davranışını Kurtarma Yöntemi prensip olarak, daha önce oluşturulan dosyalar yerine tarama yöntemlerine bağlıdır. Temellerin tüm yöntemi, yaramazlık konusunda "el ile" zatrimannyam ile karşılaştırılabilecek, çalışan programların davranışının analizine dayanmaktadır. Bu tür anti-virüs saldırıları, genellikle sistemin sayısal ilerleyişine karar vermesi için çağrılan bir koristuvach'ın aktif katılımını içerir ve bunların önemli bir kısmı af alarmlarının bir sonucu olarak ortaya çıkabilir. Eşik aşıldığında af uyarılarının sıklığı (kritik olmayan bir dosya için virüs teşhisi veya hatalı bir dosyanın atlanması), bu yöntem etkisizdir ve parite ilerlemek için tepki vermeyi durdurabilir veya iyimser bir strateji seçebilir (tümüne izin ver) ї Hepsi programlar tarafından başlatılır veya anti-virüs işlevini açar). Vikoristannye anti-virüs sistemleri, programların davranışını analiz etmek için virüs komutlarının virüs algılamasını başlattığında, bina yöneticileri bilgisayarı veya merezhi'yi korur. Test edilen programı, gelişmiş bilgi işlemeye ihtiyaç duymadan, genellikle korumalı alan olarak adlandırılan parça oluşturulmuş (sanal) bir ortamda çalıştırmanıza izin veren öykünme yöntemini (taklit) parçalamak için böyle bir yöntemin kullanılması için nya . Programların davranışını analiz etmek için yöntemlerin seçimi, hem bilinen hem de bilinmeyen programları tespit etmede yüksek verimliliklerini gösterdi.

sahte antivirüs [ | ]

2009'da, sahte antivirüsün aktif bir genişlemesi vardı [ ] - anti-virüs olmadığı için yazılım güvenliği (bu nedenle kötü amaçlı yazılımdan koruma programları için gerçek bir işlevsellik yoktur), ancak bunun için kendinizi görebilirsiniz. Aslında, sahte bir antivirüs, yolsuzluğu aldatmak ve "sistemin virüslere karşı tasfiyesi" için yapılan ödemelerden elde edilen karı çalmak ve böylece en güçlü yazılım güvenliği için bir program olarak kullanılabilir.

özel antivirüsler[ | ]

2014 sonbaharında, uluslararası kolluk kuruluşu Uluslararası Af Örgütü, sivil aktivistlerin ve siyasi muhaliflerin korunmasına yönelik devlet kurumları tarafından kalitesiz yazılım güvenliğinin tespit edilmesiyle tanınan Anti-virüs programı Detect'i yayınladı. Antivirüs, içerik oluşturucuların isteği üzerine sabit diski daha derinlemesine tarar, antivirüslerin boyutunu düşürür.

antivirüslerin etkinliği[ | ]

Analitik şirket Imperva, Hacker Intelligence Initiative projesi çerçevesinde, daha büyük antivirüslerin gerçek zihinlerdeki küçük etkinliğini gösteren araştırmadan bir alıntı yayınladı.

Çeşitli sentetik antivirüs testlerinden oluşan bir alt çanta için, ortalama %97 civarında bir verimlilik gösterirken, testler yüzbinlerce site bazında gerçekleştirilirken, bunların mutlak çoğunluğu (belki %97'ye yakın) artık uygun değildir. saldırılar.

Gıda, en güncel tehditlere karşı en etkili antivirüslerdir. Imperva şirketi ve Tel Aviv Üniversitesi öğrencileri, Rus forumlarında en gelişmiş yazılımların 82 örneğini buldular ve 42 anti-virüs motoruna karşı VirusTotal temelinde yogayı yanlış yorumladılar. Sonuç içler acısı.

1. Antivirüslerin kötü amaçlarla derlenmiş kötü amaçlı yazılımlara karşı etkinliği %5'ten azdı. Bu tamamen mantıklı bir sonuçtur, ancak virüs virüslerinin yaratıcıları bunları VirusTotal veri tabanına göre test etmektedir.
2. Virüs ortaya çıktıktan sonra, antivirüsler tarafından koçanı tanınmadan önce, dört gün kadar sürer. Böyle bir göstergeye "seçkin" antivirüsler ulaşabilir ve diğer antivirüslerde bu süre 9-12 aya kadar ulaşabilir. Örneğin, 9 Şubat 2012'nin başında sahte Google Chrome yükleyicisinin yeni bir kopyası yanlış sunuldu. 17 yaprak sonbahar 2012'nin sona ermesinden sonra, yoga yılına 42 antivirüsten sadece 23'ü atandı.
3. En yüksek sayıda kötü amaçlı yazılıma sahip antivirüslerin ayrıca yüksek sayıda affı vardır.
4. Bunu objektif olarak adlandırmak güzel olsa da, kötü amaçlı yazılım seçimi düşük olduğu için, antivirüslerin yeni siber tehditlere karşı kesinlikle uygun olmadığı da varsayılabilir.

Antivirüs programlarının sınıflandırılması[ | ]

Anti-virüs programları, anti-virüs (koruma engelleme) için abone oluyor:

• yazılım;
• yazılım ve donanım.

Operasyonel hafızadaki yerleşim işaretinin arkasında görülür:

• yerleşik (işletim sistemi başlatıldığında robotunuzu başlatın, bilgisayarın belleğinde kalıcı olarak bulunun ve dosyaların otomatik olarak yeniden doğrulanmasını başlatın);
• ikamet etmeyenler (bir koristuvach temelinde başlatılırlar veya düzen tarafından onlar için belirlenen zamana kadar açıktırlar).

Virüslere karşı koruma türüne (yöntemine) göre ayırt edilirler:

Rusya FSTEC'in normatif yasal düzenlemesine Vіdpovіdno "Teknik düzenleme alanında üretime yönelik Vimogy, vіdomosti'yi korumak için muzaffer, egemen bir tаєmnitsyu kurmak veya Rusya Federasyonu mevzuatına kadar vіdpovіdno korumasından önce görülmek Ara Erişime Sahip Diğer Bilgiler Federasyonu (anti-virüs korumasının korunmasına yardımcı olmanın yanı sıra)" (zatv. enfeksiyonlar:

• "A" tipi - bilgi sistemlerinin bileşenlerine (sunucular, otomatikleştirilmiş çalışma alanları) yüklenen virüsten koruma koruması tarafından merkezi yönetim için tanınan virüsten koruma koruması (virüsten koruma bileşenleri);
• "B" yazın - bilgi sistemlerinin sunucularına kurulum için belirlenmiş bir anti-virüs bulaşma uygulaması (anti-virüs bulaşma uygulamasının bileşenleri);
• "B" tipi - bilgi sistemlerinin otomatik çalışma alanlarında uygulama için belirlenmiş anti-virüs enfeksiyon kontrolü (anti-virüs enfeksiyon kontrolünün bileşenleri);
• tip "G" - anti-virüs enfeksiyon kontrolü (anti-virüs enfeksiyon kontrolünün bileşenleri), otonom otomatik iş istasyonlarında uygulama için onaylanmıştır.

"A" tipi anti-virüs koruma programları, bilgi sistemlerinde bağımsız olarak görünmez ve vikoristannya için yalnızca "B" ve (veya) "C" tipi anti-virüs koruma yöntemlerinden ortaklaşa tanınır.

Virüsler ve siber-kötü amaçlı ajanların bir bilgisayar kurbanına veya bir cep telefonuna virüs, trojan veya Trojan sokması için gereklidir. İki ana kategoriye ayrılabilen farklı şekillerde ulaşılabilir:

• sosyal mühendislik ("sosyal mühendislik" terimi de kullanılıyor - İngiliz "sosyal mühendislik" ten aydınger kağıdı);
• koristuvach bilgisi olmadan sisteme bulaşmada technіchnі priyomi vprovadzhennya shkіdlіvnoj kodu.

Genellikle qi yolları bir saat vikoristovuyutsya. Bu olduğunda, genellikle virüsten koruma programlarına özel ziyaretler yapılır.

Sosyal mühendislik

Başka bir şekilde, sosyal mühendislik yöntemleri, virüs bulaşan bir dosyayı başlatarak veya virüs bulaşan bir web sitesine mesaj göndererek bir bilgisayar korsanını bulaştırmak için kullanılabilir. Bu yöntemler yalnızca sayısal posta kutuları tarafından değil, diğer shkidlivy yazılım türleri tarafından da kullanılır.

Bilgisayar korsanlarının ve virüslerin görevi - bilgisayar korsanının dikkatini virüslü dosyaya çevirin (veya dosyaya bulaşmak için HTTP-gönder), bilgisayar korsanını devre dışı bırakın, dosyaya tıklayın (aksi takdirde, dosyayı dosyaya göndermek için). "Türün klasiği" - 2000'lerin başlarında zengin bir rock posta solucanı olan LoveLetter, mali tartışma ölçeğinde hâlâ liderliği elinde tutuyor, Bilgisayar Ekonomisine bir övgüdür. Ekrandaki bir solucan gibi bir hatırlatma, saldırgan bir rütbeye benziyordu:

"SENİ SEVİYORUM" un tanınması üzerine çok yoğun tepki verdiler ve sonuç olarak, büyük şirketlerin posta sunucuları vaadi göstermedi - solucan, kopyasını adres defterindeki tüm kişilere cilt tonuyla yaydı. ekli VBS dosyası.

Mydoom'un posta kutusu, Eylül 2004'te İnternette bir posta sunucusunun teknik ayrıntılarını taklit eden metinler yazarak "patladı".

Varto ayrıca, kendisini Microsoft şirketini hatırlatmak için gören ve bir yama altında kendini maskeleyen solucan Swen'in Windows'ta bir dizi yeni tutarsızlığa sahip olduğunu tahmin ediyor (birçok koristuvachiv'in yükleme çağrısına yanıt vermesi şaşırtıcı değil) “Microsoft solucan yaması”).

Biri 2005 sonbaharında meydana gelen olaylar var. Sober hack'inin bir versiyonunda, Alman kriminal polisinin yasadışı web sitelerine yapılan saldırıları soruşturduğundan bahsediliyordu. Bu yaprağı bir çocuk pornografisi aşığı için tüketmiş, yogayı resmi bir yaprak sanmış, - ve yetkilileri duymuş.

Bir saatin geri kalanında, listede yer alan dosyalar değil, virüslü sitede yayınlanan dosyalara gönderilen mesajlar özel bir popülerlik kazandı. Potansiyel kurban - posta yoluyla, ICQ veya başka bir çağrı cihazı veya daha fazlasıyla - IRC İnternet sohbeti aracılığıyla bilgilendirilebilir (mobil virüsler söz konusu olduğunda, SMS bildirimi tercih edilen dağıtım yöntemidir). Hoş bir metin olup olmadığını intikam almak için bir hatırlatma, hiçbir şeyden şüphelenmemek için mesaja tıklayın. Danimarka'nın bilgisayar kurbanına girme yöntemi bugün en popüler ve yıkıcı olanıdır; kırıklar, posta sunucularındaki anti-virüs filtrelerini atlamaya izin verir.

Ayrıca dosya paylaşımı imkanı da vardır (P2P-merezhі). P2P-merezh'te çeşitli "lezzetli" adlar altında bir solucan veya bir Trojan programı görünür, örneğin:

• AIM & AOL Şifre Hacker.exe
• Microsoft CD Key Generator.exe
• PornStar3D.exe
• play station emülatörü crack.exe

Yeni programlar ararken, P2P-merezh isimler bulur, dosyalar indirir ve bunları viconannya'da başlatır.

Kurbanlara ücretsiz bir yardımcı program veya kötü farklı ödeme sistemleri için talimatlar verilirse, popüler "rozvodka" da dosit. Örneğin, internete veya bir telefon operatörüne ücretsiz erişim elde etmeye çalışın, bir kredi kartı numarası oluşturucu indirin, kişisel İnternet kumarınızda bir kuruş tasarruf edin, vb. Doğal olarak, bu tür shahraiizmden muzdarip olanların sağcı organlarda tecavüze uğraması pek olası değildir (aslında kendileri shahrai yoluyla para kazanmaya çalışsalar bile) ve internette yaramazlık yapanlar bu konuda telaşlıydılar.

Galipleri 2005-2006'da Rusya'dan bilinmeyen bir kötü adama "çizmenin" alışılmadık bir yolu. Truva atı, üretim ve personel sorma konusunda uzmanlaşmış job.ru web sitesinde görüntülenen adreslere gönderildi. Deyakі z sessiz, özgeçmişini orada yayınlamak için, sayfaya vіdkriti'ye yenik düşen ve bunun farkına varan bir dosya ekleme işi hakkında otrimuto önerisi. Dosya doğal olarak bir Truva Atı. Saldırının ağırlıklı olarak kurumsal posta adreslerine yapıldığı da belirtiliyor. Rozrahunok, şirketin spivrobitniklerinin size enfeksiyondan bahsetmesinin pek mümkün olmadığı gerçeğinden yola çıkarak olabilir. Ve böylece ortaya çıktı - "Kaspersky Lab" kopyaları, Trojan programının koristuvachiv'lerin bilgisayarına girme yöntemi hakkındaki çeşitli bilgileri artık alamıyordu.

Ekli bir belge içeren bir sayfa gibi egzotik talepler satın alın ve dosyalayın, hangi müşteri bankasının erişim kodunuzu onaylayacağını (doğrulayın - onaylayın) sorun - belgeyi yeniden düzenleyin, ekteki formu doldurun ve ardından talimatlar için faksla düzeltin. telefon sayfası numarası.

Bir casus yazılım programının "eve" teslim edilmesiyle ilgili en olağandışı durum, 2005 sonbaharında Japonya'da yaşandı. Bazı suçlular, bir Truva atı casus yazılımı bulaşmış CD'leri Japon bankalarından birinin ev adreslerine (şehir, sokak, budinok) gönderdi. Aynı zamanda, çalınan müşterinin bankanın kendi tabanından bilgi edinildi.

tanıtım teknolojileri

Tsі tekhnologii ї vikoristovuyutsya zlovmysnikami sistemdeki provodzhennya için shkіdlivogo kodu taєmno, privertayuchi değil vlasnik computer'yutera'ya saygı duyar. İşletim sistemlerinin güvenlik sistemindeki ve yazılım güvenliğindeki tuhaflıklar aracılığıyla çalışır. Tutarsızlıkların varlığı, bir davetsiz misafir veya bir Truva atı programı tarafından hazırlanan bir dimi hack'in kurbanın bilgisayarına girip onu kendi başına başlatmasına izin verir.

Entrika aslında farklı programların robotlarının kodunda veya mantığında bulunan aflardır. Modern işletim sistemleri ve eklentiler, katlanabilir bir yapıya ve mükemmel işlevselliğe sahip olabilir ve bunların tasarımı sırasında affı kaçırmak imkansızdır. Bu, virüs yazarları ve bilgisayara izinsiz girenler için geçerlidir.

Posta solucanları Nimda ve Aliz, Outlook posta istemcilerinde bulundu. Chroback dosyasını çalıştırmak için virüslü sayfa aramasını bitirin veya ön görünümde yeni imlecin üzerine gelin.

Ayrıca, shkіdlіvі programları, işletim sistemlerinin telkari bileşenlerinde aktif olarak vikoristovuvaly tuhaflıkları. CodeRed, Sasser, Slammer, Lovesan (Blaster) solucanları ve Windows işletim sistemi altında çalışan diğer birçok solucan, genişliklerine göre çok zekiydi. Linux sistemleri de darbe aldı - Ramen ve Slapper solucanları, işletim ortamındaki tuhaflıklar ve bunun için eklentiler yoluyla bilgisayarlara sızdı.

Son yıllarda en popüler bulaşma yöntemlerinden biri, kötü amaçlı kodların web siteleri aracılığıyla iletilmesi olmuştur. Bununla birlikte, İnternet tarayıcılarında genellikle tuhaflıklar ortaya çıkar. Web tarafında, bulaşma dosyası ve komut dosyası programı, tarayıcıdaki bir numara gibi yerleştirilir. Enfekte tarafa gittiğinizde, spratsovuє komut dosyası programı, sanki bulaşma yoluyla, dosyayı bilgisayara indirin ve orada vikonannya'da yoga yapın. Sonuç olarak, çok sayıda bilgisayara bulaşmak için daha fazla sayıda bilgisayar korsanını böyle bir web sitesine çekmek mümkündür. Buna çeşitli şekillerde erişilebilir, örneğin, tarafın atanan adresinden istenmeyen e-posta göndererek, benzer bildirimleri İnternet çağrı cihazları aracılığıyla göndererek ve bazen bu galip için bir arama makinesi göndererek erişilebilir. Virüslü tarafa, arama makineleri tarafından daha erken işlenen farklı bir metin yerleştirilir ve sağ taraftaki mesaj, arama sonuçlarında diğer taraflar listesinde görünür.

Diğer Truva atlarını indirmek ve başlatmak için tanınan Truva atlarını sınıflandıralım. Bu Truva atlarını, zaten küçük bir rozmіr olabilecekleri ve daha sonra farklı bir sıralamada (örneğin, sistemde vikoristovuyuchi lanet razlivіvіnі) bilgisayar kurbanında “pіdsuvayutsya” ve ardından zaten bağımsız olarak İnternetten indirin ve yükleyin sistemde shkіdlivі bileşenlerinde. Çoğu zaman, bu Truva atları, diğer Truva atları için "yolu kolaylaştırmak" amacıyla tarayıcı ayarlarını en güvenli ayarlara değiştirir.

Tutarsızlıklar, yaks hakkında erir, perakende şirketleri tarafından derhal düzeltilir, protely yeni tutarsızlıklar hakkında bilgi yayınlar, yakі hemen vikoristovuvatisya sayısal bilgisayar korsanları ve virüs yazarları başlar. Pek çok Truva "botu", sayılarını artırmak için yeni numaralar kazanıyor ve bilgisayarda şeytani Truva atı programlarının uygulanması için Microsoft Office'teki yeni aflar hemen durmaya başlıyor. Bu durumda maalesef kara gözlü çekişme hakkında bilgilerin ortaya çıkması ile koçanı її vikoristannya hrobakami ve truva atları arasındaki saatlik boşluğu kısaltma eğilimi olabilir. Sonuç olarak, sinsi yazılım güvenliği üreten şirketler ve anti-virüs programı perakendecileri zaman baskısı durumundadır. İlk olarak, affı olabildiğince düzeltmek, sonucu protesto etmek ("yama", "yama" başlıklarını seslendirin) ve koristuvachlara ve diğerlerine göndermek - tespitini ve engellenmesini göz ardı etmek gerekir. çekişmeyi kazanacak nesneler (dosyalar, ajur paketleri).

Sosyal mühendisliğin tanıtımında ve yöntemlerinde teknolojilerin bir saatlik tartışması

Bilgisayar zlovmysnikov vikoristovuyutsya vіdrazu kızgınlık yöntemlerini sık sık bitirmek için. Sosyal mühendisliğin yöntemi, potansiyel bir kurbanın saygısını artırmaktır ve teknik yöntem, virüslü nesnenin sisteme girme yeteneğini geliştirmektir.

Örneğin, posta solucanı Mimail, bir elektronik sayfanın eki gibi şişti. Sayfadaki dosyanın bir kopyasını oluşturmak, yenisine özel olarak tasarlanmış bir metin eklemek ve sayfaya eklenen ZIP arşivinden chrobak'ın bir kopyasını başlatmak için, tarayıcının Internet Explorer'a yüklenmesi gerekir. Sonuç olarak, arşivden bir dosyayı açarken, solucan diskte kendi kopyasını oluşturdu ve herhangi bir sistemik ilerleme veya ek işlem yapmadan viconnanny'de başlattı. Bu arada, bu solucan, e-altın İnternet kumarbazlarında kişisel bilgilerin çalınmasıyla tanınan ilk solucanlardan biriydi.

İkinci popo, "Merhaba" konulu spam yaymak ve "Senin hakkında yazdıklarına dikkat et" metni. Metnin ardından web sayfasına gönderilen bir mesaj geldi. Analiz sırasında, Internet Explorer'daki bir başkası gibi bir betik programının intikamını almak için bir web sitesine verildiği, bir bilgisayardaki LdPinch Trojan programını çaldığı, farklı şifreleri çaldığı tespit edildi.

Antivirüs antivirüs programları

Kötü amaçlı meta bilgisayar parçaları - kurbanın bilgisayarına karıştırılmış kod enjekte etmek için, bunun için yalnızca bulaşma dosyasını çalıştırmak için zmusit koristuvacha yapmak veya herhangi bir izinsiz giriş yoluyla sisteme girmek değil, aynı zamanda kurulu anti-virüs dosyası tra. Saldırganların kasıtlı olarak virüsten koruma programlarına karşı mücadele etmesi şaşırtıcı değil. Vykoristovuvani onları tekhnіchnі priyomi ve hatta daha fazla raznomanіtnі, ancak çoğu zaman şu şekilde kullanılırlar:

Paketleme ve şifreleme kodu. Modern bilgisayar solucanlarının ve Truva atlarının önemli bir kısmı (daha fazlası olmasa da) başka bir şekilde paketlenir veya şifrelenir. Ayrıca, yeraltındaki bilgisayar, özellikle paketleme ve şifreleme yardımcı programları amacıyla oluşturulmuştur. Örneğin, CryptExe, Exeref, PolyCrypt ve diğerleri yardımcı programları tarafından işlenen kesinlikle tüm dosyalar İnternette göründü.

Bu tür solucanları ve Troy anti-virüs programlarını tespit etmek için, ya yeni paket açma ve şifre çözme yöntemleri ekleyin ya da algılama oranını azaltan akıllı bir programla dış görünüm üzerine imzalar ekleyin, mümkün olan tüm değişiklikleri başlatmayın Değiştirilen kodun parçaları görünür. bir anti-virüs şirketinin elinde.

Mutasyon kodu. Truva kodunu "smіtєvimi" talimatlarıyla oluşturma. Sonuç olarak, Trojan programının işlevselliği kaydedilir ve "dış görünüş" önemli ölçüde değiştirilir. Periyodik olarak, kodun mutasyonu gerçek zamanlı olarak tespit edilirse - dış görünüm virüslü bir web sitesinden bir Truva atı programı tarafından çekildiğinde dalgalanmalar olur. Tobto'nun tamamı veya bir kısmı bilgisayarda böyle bir sitede harcanan çılgın truva atları - farklı. Zastosuvannya tsієї tekhnologiiї є є shtovy worm'yak Warezov'un poposu, bunun kіlka versiyonları 2006'nın diğer yarısında önemli salgınlar olarak adlandırıldı

Varlığınıza bağlılık. Sözde "rootkit teknolojileri" (İngilizce "Rootkit" ten), kural olarak, Truva atı programları galip gelir. Enfeksiyon gibi sistem işlevlerinde bir değişiklik ve yönetim var, dosya normal işletim sistemi veya anti-virüs programları tarafından görülemez. Bazı durumlarda, Trojan'ın bir kopyasının kayıtlı olduğu kayıt defteri anahtarları ve bilgisayarın diğer sistem alanları vardır. Bu teknolojilere, örneğin arka kapı Truva atı HacDef tarafından aktif olarak meydan okunmaktadır.

Zupinka anti-virüs robotu ve anti-virüs veritabanlarını (güncellemeler) güncellemek için sistem.Özel anti-virüs programlarını gözetlemek için çok sayıda Truva atı ve solucan - onları aktif eklentiler listesinde gözetlemek ve robotlarını gözetlemek, anti-virüs veritabanlarını zorlamak, güncellemeleri engellemek, vb. Anti-virüs programları yeterli araçlarla korunabilir - veritabanlarının bütünlüğünü izleyin, kendi işlemlerinizi Truva atlarından koruyun, vb.

Kodunuzu web sitelerine ekleme. Trojan dosyalarının bulunduğu web sitelerinin adresleri er ya da geç anti-virüs şirketleri tarafından bilinir hale gelir. Doğal olarak, benzer taraflar anti-virüs analistlerinden yararlanır - taraf yerine, bunlar periyodik olarak indirilir, anti-virüs güncellemelerine Truva atlarının yeni sürümleri dahil edilir. Bunu önlemek için, web sitesi özel bir prosedürle değiştirilir - anti-virüs şirketinin adresini sorarsa, Trojan'ın yerine Trojan olmayan bir dosya indirir.

Kilkistin saldırısı. Kısa sürede çok sayıda yeni Truva atı sürümünün internette üretilmesi ve genişletilmesi. Sonuç olarak, anti-virüs şirketleri yenileriyle "bunalmış" görünüyor, onları analiz etmek bir saat sürüyor, bu da kodun bilgisayarda başarılı bir şekilde uygulanması için ek bir şans veriyor.

Bu ve diğer yöntemler, anti-virüs programları için yeraltındaki bilgisayar tarafından galip gelir. Siber kötü amaçlı yazılımın tüm faaliyetleri art arda kayaların büyümesiyle ve bir anda, anti-virüs endüstrisi ve virüs endüstrisi alevlenirken "teknoloji habercilerinin" yardımından bahsedebiliriz. Bilgisayar korsanı-bireylerin ve kötü niyetli grupların sayısının ve profesyonelliklerinin bir gecede artması. Aynı zamanda, anti-virüs şirketlerinin yeterli düzeyde savunma için fon toplaması için gerekli olan daha fazla esneklik ve çalışma anlamına gelir.