Какви са вируси, компютърни науки, програмиране

Защо те трябва да се страхуваме?

Вирусът може да бъде въведена в три вида файлове: командни файлове (файлове с разширение НДНТ), могат да се зареждат на водачите (файлове с SYS или бин включително IO.SYS MSDOS.SYS) и изпълними бинарни файлове (файлове с разширения EXE, COM). Евентуално въвеждане на вируса в файлове с данни, но тези случаи са в резултат на грешки или вируси, или проява на агресивните свойства на вируса. Разбира се, възможно съществуването на вируси, които инфектират файлове, които съдържат изходен код, библиотека или обектни модули, но подобни начини за разпространение на вируса е твърде екзотични.

Boot (чакъл) вируси заразяват багажника (BOOT) сектор дискета и BOOT-сектор или сектор Master-Boot (MBR) на твърдия диск. Когато вирусът инфектира диска в повечето случаи носи оригиналния Boot-сектора (или MBR) или във всеки друг сектор на диска (например, първата налична). Ако вирусът е по-дълга от дължината на сектор, секторът се поставя инфектира първата част на вируса, останалите части са поставени в други сектори (например, в първия свободен). Вирусът тогава копия системната информация, съхранена в оригиналния товарач в своя код и да ги пише на сектора за начално зареждане (MBR за тази информация е таблицата на дяловете на диска, Boot-сектора на дискета _ BIOS Parametr каре.)

Полиморфни вируси или virusy- "призраци". достатъчно твърд, за да открива вируси, които нямат постоянни подпис (маски), т.е. Тя не съдържа никакви постоянна част на кода. В повечето случаи, две проби от същия вирус призрак няма да имат никакви мачове.

Това се постига чрез криптиране на основното тяло на вируса и модификации на декодера.

Действия срещу вируса на заразения компютър.

Ако AVP съобщение, издадено по подозрение, че са заразени с вируси на обекта, направете следното:

копиране на подозрителни файлове на дискета по обичайния начин, ако съмнението се издава за всеки от файловете;

копирате сектора на система, съдържаща Boot сектор (сектора за начално зареждане), магистър Обувка Запис (магистър Boot Record), таблицата на дяловете (разделяне на таблици), с помощта на специални програми (като Norton Disk Edit), ако съмнението се издава на сектора на система;

по никакъв начин, да вземе съмнителни дистрибуторите обекти (дилъри), от когото сте закупили AVP, или директно на Kaspersky Lab.

Resident вирус, когато той заразява компютъра оставя част жител памет, която след това прихваща система призовава към заразените обекти (файлове и секторите за начално стартиране) и ги заразява. Резидентни вируси живеят в паметта и са активни до изключване или рестартиране на компютъра (в други някои вируси могат да "оцелеят" рестартиране). Чуждестранните вируси не заразяват паметта на компютъра и са активни за ограничен период от време. Някои вируси напускат малките памет резидентни програми, които не се разпространяват вируса. Тези вируси се считат за чуждестранно.

Следващата група вируси могат да бъдат разграничени от характеристиките на алгоритъма:

Вируси спътници - са вируси, които не променят файловете. Алгоритъмът на работа на тези вируси е, че те се създаде EXE файл, за да сателитни файлове със същото име, но с разширение COM. Вирусът е написан на файла COM, и не променя изпълнимия файл. Когато стартирате тази DOS подават първата да се открият и изпълни COM файл, който е вирусът, който след това стартира и EXE файл.

Паразитни - всички вируси, които, когато се разпространяват копия от себе си непременно да променят съдържанието на дискови сектори и файлове. Тази група включва всички вируси, които не са червеи или сателити.

Student - много примитивни, често чуждестранно и съдържащ голям брой грешки.

Stealth вируси (Stealth вируси), които са високо усъвършенствана програма, която прихваща DOS за заразени файлове или сектори и сам по себе си не заместители на замърсени терени информация.

Вируси дух (полиморфна) достатъчно лесно откриваеми вируси, които нямат постоянен подпис (маски), т.е. Тя не съдържа никакви постоянна част на кода. В повечето случаи, две проби от същия вирус призрак няма да имат никакви мачове. Това се постига чрез криптиране на основното тяло на вируса и модификации на декодера.

Тъй като не са известни случаи на заразяване с IBM-съвместими компютърни мрежи "червеи" и virusy- "сателити" обикновено са много прост алгоритъм, и е по-малко от 0,5% от познати вируси, само вируси, се считат за свързани с "паразитни".

Симптомите на вируса.

Основните симптоми на вирусна инфекция, са както следва:

Забавяне на някои програми.

Увеличаването на размера на файловете (особено работи).

Появата не съществуваше преди странните файлове.

Намаляването на количеството на наличната памет (в сравнение с конвенционален режим на работа).

Превенция и метод на лечение на вируси.

Ако компютърът ви не е заразен KakWorm'om (т.е. не сте отворите заразен съобщение) е да се отървете от червея, направете следното:

забраните временно AVP наблюдател;

стартирате програмата поща;

премахне заразените съобщения от всички папки (без да го отваряте);

компресиране на всички папки;

активирате AVP Монитор.

Ако компютърът ви е заразен вече KakWorm'om, което трябва да направите следното:

Отстранете от клон "HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run" ключ на системния регистър "cAg0u =" C: \ Windows \ SYSTEM \ (име) .hta ", където" (име) "- име на 8 характер ( например 68DAEF80.HTA).

Изтрийте следните файлове:

KAK.HTA на C: \ Windows

KAK.HTM на C: \ Windows \ System

(Име) .hta на C: \ Windows \ System, където (име) - име на 8 характер

KAK.HTA на C: \ Windows \ Start Menu \ Programs \ Startup

Премахване на подпис по подразбиране в програмата за електронна поща.

Изтриване на всички заразени съобщения от всички папки (както е описано по-горе).

При повторно монтиране на червея I-Worm.PrettyPark копирате заразен файл на системната директория на Windows под FILES32.VXD за името и да го регистрира в системния регистър, така че товари FILES32.VXD файлове при стартиране на всяка програма. За да направите това, червеят създава нов ключ на системния регистър, която е свързана с ключовата FILES32.VXD файл (копие на червея). Този файл има разширение на VXD, но това не е VxD-драйвер за Win95 / 98, но съвсем нормално програма Windows32.

За напълно да се отървете от PrettyPark направете следното:

преименуване regedit.exe в regedit.com;

тичам регентство и инсталиране

"HKEY_CLASSES_ROOT \ exefile \ черупка \ отворен \ команда" в ""% 1 "% *";

тичам AVP и лечение на компютъра;

преименуване регентство назад.

При инсталиране на системата, червеят създава в системната директория на Windows и Ska.exe SKA.DLL файловете и запазва WSOCK32.DLL файл с име WSOCK32.SKA и системата добавя код сегмент в WSOCK32.DLL файл.

Премахване на заразени файлове:

Трябва да премахнете и SKA.EXE SKA.DLL файлове от системната директория на Windows, за да замени заразен файл WSOCK32.DLL неинфектирани копие WSOCK32.SKA. Също така трябва да намерите и изтриете оригиналния EXE файл HAPPY99.EXE.

За допълнителна защита на вашия компютър от този червей е необходимо само да зададете атрибут "само за четене" в WSOCK32.DLL файл. Червеят не е в състояние да зарази системата в този случай, тъй като тя не се справя атрибутите на файла.

Ако сте фен на новите програми, играчки и водят активен начин на кореспонденция по електронна поща и използвайте със Словото, или просто искате да следвате горните правила, трябва да използвате антивирусен софтуер. Коя антивирусна е най-добрият? Всичко зависи от вашите вкусове и предпочитания, така че да реши за себе си. Има няколко параметри, които могат да се сравнят с различни антивирусни заедно. Съдейки от собствения си опит на тяхното използване и становища на експерти, антивирусен софтуер, приличен за използване, трябва да "знаят как":

създаване на аварийна дискета един;

сканиране на зареждащия сектор и да се създаде копие на оригиналния зареждане сектор;

сканиране на файлове, включително и архиви (ZIP, RAR .ARJ ..);

сканиране на паметта;

автоматично ще сканира диска за предварително определен график;

сканиране на файлове, тъй като те пристигнат на компютъра и при достъп до диск или мрежово устройство, тези устройства сканират в търсене на вируси;

при рестартирането на проверката, не остави в флопи диск, и предупреждава потребителя;

сканиране на диска във фонов режим;

откриване на макро вируси в Word документи и Excel;

Списъкът не е малка, но задължително. В противен случай, за доброто на такава програма няма да има. В допълнение към по-горе анти-вирус трябва да бъде надежден, бърз и лесен за употреба (без "задръжки" и други технически проблеми), качествено открива вируси всички масови нямам "неверни положителни резултати", имат способността да се излекува заразените обекти, от време на време (колкото повече, толкова по-добре ) се обновява (актуализира с нова вирусна база данни), за да бъде мулти-платформа (DOS, Windows, Windows 95, Windows NT, за Novell NetWare,, OS / 2, Алфа, Linux и т.н.) и да може да мрежово администриране.

Днес има няколко водещи антивирусни пакети: български Антивирусна Toolkit Pro Евгений Касперски Лаборатория (www.avp.ru) и д-р Web на "DialogueScience" (www.drweb.ru), както и Западна McAfee Total Virus отбраната от Network Associates (www.macafee.com), Norton AntiVirus от Symantec има (www.symantec.com) и някои други.

подбор Тема антивирусна изисква отделна дискусия, така че в следващия брой ще се съсредоточим в подробности за най-новите версии на тези продукти, ние трябва да разберем всички свои силни и слаби страни, и дори прекарват някои тестове. Ще се видим следващия месец. Защитете себе си и да не се разболяват!

Това означава, че той е далеч и да шампионка за дефект, а на победителите (на Code Red вирусът е струвал по света 2,6 милиарда Sircam струва около $ 1 милиард и Nimda. - .. 590 милиона щатски долара).

Но се отпуснете, разбира се, е невъзможно, тъй като авторите на вируси са нащрек и постоянно идват с нещо ново и сложни.

Броят на онлайн услуги Runet добавяне антивирусно приложение. AV-компания за онлайн портал и Informer.ru обяви старта на съвместен проект. Сега, интернет потребителите ще бъдат в състояние да инсталирате джаджа на своите интернет страници, чрез които може да бъде отдалечен файл сканира за вируси. Вижте, изглежда като ново приспособление, натиснете тук.

обслужване на алгоритъма е както следва: на файловете, за да настанят, като използват доносника натоварени на AV-онлайн сървър, където DrWeb пакет се извършва с помощта на тяхната проверка. В допълнение към процедурата за проверка, потребителите могат да получат достъп до статистиката на файлове удостоверени.

Собствена серия Informer поканен "Kaspersky Lab". Структурата на тази серия включва уиджети, съдържащ новини, новини проект VirusList.com. Оценка на топ10 вирус, както и списък на най-активния вируса на деня.

Български разработчик на антивирусен системи за защита компания "Kaspersky Lab" обяви откриването на нов интернет червей I-Worm.Updater. Тя вече е имало няколко инфекции с този вирус.

опции дизайн с писма Updater множествена вирус. Line "Тема" е разделен на четири части и произволно генериран от следния списък:

Част 1: "Имате ли", "Вие трябва да", "Само", "Защо не сте", "Как да", "Re:", ". Fwd", ""

Част 2: "Проверка", "Вижте", "Внимавай", "Open", "Виж"

Част 3: "това", "ми", "За това", "В"

Част 4: "Картина", "Програма", "Patch", "Голо тяло снимка", "Доклад", "Documment", "оферта", "транзакция", "банкова сметка", "WTC Трагедия", "Осама Vs Буш "," профил "," Private Pic "

Например: трябва да погледнете този Осама Vs Буш

тялото на писмото е както следва:

Това е файла, който поиска, Моля да го запишете на диск и да отвори този файл, това е много важно.

В прикачения файл носителя на червей може да бъде наречен "setup.exe", "Install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", "Писмо. doc.exe "," Picture.jpg.exe "

"Updater" има неприятни странични ефекти. Той създава зловреден скрипт, програма UPDATE.VBS, запазва го в директорията на Windows Startup и да го изпълнява. Тази програма търси файлове с разширение .EXE. DOC и .vbs и създава за тях другарите файлове, съдържащи копие на червея. Тези съпътстващи файлове имат същите имена като оригиналните файлове, както и "втори" разширение .vbs. Например: MPLAYER.EXE.vbs REPORT.DOC.vbs

Препоръки към потребителите не оригинал: Не отваряйте файлове (особено изпълними), прикрепени към подозрителни имейли.

Антивирусните компании разпространяват посланието за нов вирус-червей, наречен Gone (други имена: Pentagone и пътник). Въпреки факта, че този вирус не се различава сложен, той се разпространява много бързо. Британските MessageLabs компанията заявиха своята поща блокирани повече от 23 милиона копия от тези вируси. Според компанията, вчера следобед във Великобритания заразени съобщения идват в размер на 100 броя в минута.

Той идва по електронна поща в прикачен файл към писмото с името Gone.scr, това означава, че е маскиран като скрийнсейвър. В разходите за съобщения заглавни само една дума: "Здрасти". Текст на писмото в тялото на следното: "Как сте Когато видях този скрийнсейвър, аз веднага мисълта за теб аз съм в Хари, аз обещавам, че ще го обичам ..!" ( "Хей, когато видях този скрийнсейвър, аз веднага мисълта за теб. Аз нямам време сега, но обещавам, че ще ви хареса"). Вирусът се разпространява само чрез електронна поща Microsoft Outlook програма на компютри с Windows, останалата част от него не работи.

Отнесени от заразения компютър вирусът спира повечето антивирусни програми и сигурност и ще изтрие всички файлове в папките, които съдържат тези приложения. По-специално, на вируса открива и премахва AVP антивирус от "Лаборатория Касперски" и производството на софтуер за сигурност ZoneAlarm и Zone Labs Black Ice от Internet Security Systems.

След отстраняване на защитата от компютъра, вирусът се отваря диалогов прозорец с името си и имената на създателите Pentagone, а също така благодари на потребителите на Интернет. След това вирусът се инсталира програма на компютъра "задната врата", който може да бъде използван от хакери за нападения като "отказ на услуга" срещу IRC чат-сървъри.

Антивирусните компании препоръчват на потребителите да актуализират своя антивирусен софтуер и да не се отварят имейли, при спазване на горното описание.

Загубена червей се разпространява чрез електронната поща. Заразените съобщения имат следния вид:

на мнение: "Как си.

Когато видях този скрийнсейвър, аз веднага мисълта за теб

Аз съм в Хари, аз ви обещавам, че ще го обичам! "

В прикачения файл: GONE.SCR.

За да активирате потребителя "пътник" е да стартирате хост файла на червея (GONE.SCR), след което започва процедурата за въвеждане на зловреден код на компютъра на жертвата. За да направите това, "пътник", пише кода му в системната директория на Windows под едно и също име (GONE.SCR) и регистрира този файл в раздела на регистър стартиране на Windows. По този начин, червеят ще започне автоматично всеки път, когато рестартирате операционната система.

"Пътник" също се опитва да изпраща свои копия с помощта на месинджър ICQ. За това, той постоянно следи списъка с активни потребители (онлайн), както и периодично се опитва да им даде файл на червея. За да скриете своето присъствие в системата и неоторизирано използване с ICQ "пътник" непрекъснато сканира имената на новопоявил се прозорец се затваря и ICQ на прозореца услуга.

В допълнение към разпространението на Интернет червей също извършва атака срещу #pentagonex на IRC-канал, през twisted.ma.us.dal.net сървър. За да се постигне това, заразени компютъра тихо тече злонамерена програма, скрипт, който използва MIRC клиент редовно създава потребителски канал с произволни имена. В някои случаи това може да доведе до претоварване на услугата и, разбира се, дразни другите играчи IRC канали.

Информация за работата на "Какво е вирус?"

промени по такъв начин, че вече няма нищо общо с предишната си версия. Една част от вируса могат samomodifitsirovatsya и в рамките на един и същ компютър. Откриването на такива вируси е много сложно, въпреки че някои от антивирусната програма се опитва да ги намерите в секцията на кода, специфични за отправна страна. * - DIR - област в клетката за управление на ресурсите, обозначаващ посоката на RM-клетка.

замърсяване на текст (.txt) и файлове с изображения (.tif. GIF. BMP, и така нататък. р.), файлове с данни и файлове с данни. Случаи, в които можете да заразят компютъра ви се заразяват чрез компютърен вирус може само в много ограничен брой случаи. Те са: Стартиране на програма за компютърна изпълним заразен с вирус. Пуснете компютъра от дискета, съдържаща вируса. Връзка към системата.

«Boot-вирус", засягащи сектора на твърдия диск за зареждане вече е почти унищожени. Днес науката знае около 50 хиляди компютърни вируси - злонамерен малко programmok, следвайки в живота си само три заповеди - плодове, се крият и пристанища. И за да се справят с тях трябва да са различни, тъй като универсално средство за защита, уви, не съществува. Може да се покаже за класифициране на вируси.