Вируси
от UniBG Wiki
Съдържание |
[редактиране] Няколко думи за вирусите
Вирусологът Уинфрид Глейснър дава следното определение: “Под компютърен вирус… се разбира последователност от команди, чието изпълнение предизвиква репродуциране на копие или мутация от своя код, който се намира в определена област от паметта, и което не съдържа тази последователност. Този процес се нарича инфекция. Поредицата от команди може освен това минимално изискване за самовъзпроизводимост да активира и произволни други функции.”
Има безброй начини за стартирането на нежелани приложения от уеб сайтове, използвайки ActiveX Control позволяващ изпълнението на даден код от темпоралната Ви папка, също така "заблудата" че даден файл е графичен може да доведе до заразяване. snimka.jpg може да е само с такова разширение на файла, а дефакто да представлява .js или .vbs, който при опит за визуализация от браузера ви да изпълни кода, който е заложен във файла.
Особено актуални напоследък са downloader agentite използващи открития през края на декември 2005 година бъг в WMF (Windos Meta File).Въпросният "агент" от своя страна може да свали на пс-то Ви безброй viruses/spam и т.н. malware.
Vbs скриптовете също използват ActiveX Control, описвайки се в системните за Windows директории
Win 98/System, Winxp/System32, също така и в системния регистър, за да се стартират при следващото пускане заедно с компютъра Ви. Често създават файлове help.vbs, Winhelp.vbs, Winhlp.vbs в системната папка. Проверя се за наличието на mIRC директория, респективно mirc.exe, mirc.ini script.ini. Вируса създава свои копия (mlrc.ini, mirc32.ini и т.н.), които дописва към mirc.ini
Един от най - опасните vbs вируси е I love you/Love Letter, създаден в Манила през 2000-та година.
Вируса пристига като прикачен файл към писмо, при отварянето на което се заразява компютъра.
Самоизпраща се през Outlook до всички от адресната книга, да модифицира win.ini explorer.exe internet explorer.exe *.jpg, *.jpe, *.bmp, *.gif, *.mpeg, *.mpg. *.mp3, *.hmt, *.html, *.hta *.hlp файлове, правейки ги неизползваеми за в бъдеще, което води до неминуема преинсталация на Windows.
Лошото е , че може да се опише на всички позволяващи утройства, като по този начин ще загубите Вашите мултимедиини файлове (mp3/movies)
Изключително популярни в днешно време са mIRC базираните viruses/backdoors. Пакета обикновено е модифицирано mIRC.exe, dll "криещ" стартираното приложение и няколко скрипта към него съдържащи съотвените команди, чрез които да бъде контролиран заразения.
"Скритото" miRC.exe ( може да носи много имена, често използвано е svchost.exe дублиращо като име оригиналния хост файл, с цел да не буди подозрение) се свързва към определен irc server/ channel от където trojan controllera командва заразените).
Въпреки трудната ( по някога) откриваемост, самото премахване е лесно. Изтрива се в safemode изпълнимия файл (mirc.exe svchost.exe* и т.н.) от директорията, в която се намира и се коригира регистъра където е описан.
*svchost.exe да не се бърка с оригиналния хост файл намиращ се в C:\Windows\System32
Редовна практика в UniBG мрежата е нищо неподозиращите потребители да бъдат подканвани от заразни такива или от самите вирусописачи да отворят конкретни сайтове, често съдържащи "безплатен" порнографски материал или пиратски мултимедиини файлове и програми.
Когато потребителя отвори такъв сайт се заразява и става поредния разпространител на спам.
Особено популярни в UniBG мрежата са irc scripts, чиито автори (скриптопреписвачи) усложливо са добавили към шарениите и backdoors, чрез които придобиват контрол над наивниците.
Заразените irc потребители обикновено са вкарани в "скрити" канали /window -h от където "хакера" ги командва. Обикновено става дума за CTCP команда, използвана за гавра със заразения:( /ctcp nicka_na_zarazenia /msg nyakoi_admisnitrator ..... ). Това е лекият вариант, тъй като има реална възможност да бъдат форматирани дяловете на хард диска на заразения и той да загуби информацията от компютъра си.
Един от най - често срещаните вируси в UniBG мрежата е SexEb.
Няма антивирусна програма даваща 100 % сигурност, основно самите потребители са виновни за заразяването си.
Все пак е препоръчително за сърфиране в интернет да не се използва Интернет Експлорър а някоя от алтернаривите му - Opera/Firefox.
Firefox е изключително стабилен и надежден, особено ако се инсталират NoScript/Adblock разширенията за него, спиращи изпълнението на какъвто е скрипт, както и възможността за блокиране на нежалани станици.
В днешно време е задължително използването на Antivirus+AntiSpyware+Firewall.
Без въпросните програми престоя Ви в мрежата може да се окаже фатален за данните на компютъра Ви,
също така да бъдете заразен, и Вие без да знаете и искате да се превърнете в спамер.
Какво е вирус
Едва ли има човек който да не знае какво е вирус, но какво е вирус в една компютърна система? Вирусът е малка единица ( програма ) която обаче за разлика от другите видове софтуер които могат да ви бъдат полезни тук нещата стоят по друг начин. Вирусите най-често са малки програми написани с цел разпространение и поразяване на компютърни системи. Вирусите най-често прикрепят код към други файлове и по този начин ги заразяват, правят си копия и по този начин се репродуцират. Вирусите най-често поразяват изпълними файлове. С каква цел се създават вирусите? Има доста митове, че всъщност вирусите се правят от антивирусните компании, дали това е така не е доказано още, но определено целите на вирусите са много. Има такива които заключват файловете ви срещу откуп, трият, преименуват, местят и какво ли още не. Определено в днешни дни вирусите са неразделна част от сърфирането на всеки един от нас в интернет и повечето трябва да съумеят да се пазят от тях, защото един вирус може да навлече големи бели.
Видове вируси 1. Полиморфните вируси – това са вируси които се засичат изключително трудно, тъй като те сменят своят код непрекъснато. Известно е, че няма два еднакви по код полиморфни вируси. Един такъв вирус можете да направи хиляди свои модификации за да се предпази ото антивирусният софтуер. Всяко ново копие на тези вируси се кодира различно. 2. Макро вируси – това са едни от най-разпространените вируси. Това е така защото тяхното създаване е изключително лесно. Разпространението им се подпомага и от това, че те най-често се разпространяват с програми които са инсталирани на всеки компютър а именно Microsoft Office. 3. Stealth вируси – това са най-опасните вируси защото са направени така, че тяхното откриване да е наистина трудно. - част от тези вируси заразяват компютърната система а по-късно се разпространяват за да заразят нови системи. - почти винаги кода на stealth вирусите е алгоритмично заключен, като шифърът се променя при всяка мултипликация на вирусния код. Повечето резидентни вируси имат защитна техника чрез която да се предпазят. - Тези вируси са изключително трудни за почистване и засичане в много от случаите принуждават антивирусните програми след сканиране да докладват, че няма засечена вирусна инфекция. Те не показват разлика в размера на файловете и маркират самите сектори в паметта като механично повредени и по този начин тяхното сканиране се прескача. 4. Резидентни вируси – когато един такъв вирус се зареди в системата остава р3езидентен до изключването на компютъра. Това става чрез функциите на операционната система или на BIOS-a. Тези вируси са много разпространени и заразяват изключително много системи.. 5. Файлови вируси - тази вируси заразяват изпълними файлове или файлове с някаква информация като стремежът е да се заредят заедно с самият файл и по този начин да получат достъп до ресурсите на заразената система. 6. Boot sector вируси - този вид вируси се активират след когато системния loader прочете boot сектора от външната памет и го изпълни. При опит за конвенционален достъп до boot сектора често се прилагат stealth техники и операцията бива пренасочена към предварително запазения оригинален boot record. Към boot спадат и вирусите от тип Partition table (MBR) вирусите. Разпространяват се само по твърдите дискове. Вирусоподобни програми: 1.Worm (червей) - за разлика от вирусите, компютърните червеи са злонамерени програми, които сами се копират от една система в друга, вместо да заразяват файловете, разположени в компютъра. - mass mailing email worm – тези червеи сами се разпращат на всички мейл адреси които открият на заразената система. - интернет червеите, познати като "email червеи"са най-разпространените и известни съвременни червеи заради метода си на разпространение – чрез прикачени файлове. 2. Trojan (троянски кон) – троянският кон е вирус който най-често се е вирус който е маскиран като обикновена програма за някаква дейност като да слушате музика или да гледате мултимедиен файл, а самият вирус е скрит вътре. По този начин потребителите трудно разбират, че са заразени с вируси.
Информация от avgbulgaria.com
Вирус (Virus) Компютърният вирус е програма, която е създадена с възможност да се размножава сама като заразява други файлове. Когато става дума за буут сектор (boot sector) вируси, тогава е заразен сектора за първоначално зареждане на операционната система на флопи или твурдия диск. Въпреки, че основната функция, която определя вирусите е това, че се размножават, повечето от тях са опасни, тъй като съдържат код, който поврежда информацията в компютъра. Първият компютърен вирус е бил открит през 1986 г. и от тогава до сега в света са регистрирани няколко десетки хиляди вируса. В повечето случаи само малка част от тях са активни и опасни, тъй като съвремените антивирусни програми до голяма степен предпазват потребителите от новите компютърни вируси, като предлагат комбинирана защита от Интернет червеи, вируси и троянски коне.
Червей (Worm) За разлика от вирусите, компютърните червеи са злонамерени програми, които сами се копират от една система в друга, вместо да заразяват файловете, разположени в компютъра. Например червей, който се разпоространява масово по пощата (mass-mailing email worm) изпраща копия до всички адреси за електронна поща, които може да открие записани в заразения компютър. Мрежовият червей се копира и разпространява по мрежата, Интернет червея се разпространява чрез Интернет и т.н.
Интернет Червей (Internet Worm) За разлика от вирусите, червеите не заразяват други файлове. Вместо това, те се копират и разпространяват докато изтощят напълно системните ресурси на компютъра Ви. Най-разпространените и известни съвременни червеи са Интернет червеите, познати като "email червеи", заради метода си на разпространение - чрез прикачени файлове към писма изпратени до адреси, взети от адресните книги на Outlook или Outlook Express. За да се предпазите от този вид вируси е необходимо никога да не отваряте прикачени файлове, които получавате неочаквано.
Троянски Кон, Троянец (Trojan) Троянският кон е програма, която се инсталира да върши нещо напълно нормално (напр. да изпълнява mp3 музика), но всъщност прави нещо злонамерено (напр. изпраща номерата на въведените кредитни карти нададен email адрес). Троянците, често са използвани, за да се получи таен достъп до системата, на която са инсталирани т.е. някой отдалечено да контролира компютъра Ви. Троянските коне не се размножават като вирусите и не се разпространяват като червеите.
Макро Вирус (Macro Virus) Макро вирусите са написани на езици за програмиране (например VisualBasic), които се поддържат от някои продукти като Microsoft Excel и Microsoft Word. Макросите са малки програмки, които са включени в даден документ, за да извършват автоматично някои действия за потребителя (например бързо пресмятане на дадена формула по зададени стойности). Макро вирусите са често срещана форма на вирусна зараза, която е надмината само от Интернет червеите, поради по-лесното им разпространение. Както при всеки друг вирус, и при макро вирусите има голяма опасност от загуба на данни. Въпреки, че досега Microsoft са въвели няколко форми на защита срещу нежелано изпълнение на макроси, тази форма на вируси е масово разпространена. Най-често макро вирусите заразяват така наречения "глобален шаблон" (global template - например Normal.dot в Word), за да се разпространят във всички други документи в компютъра.
Малуер (Malware) Злонамереният код, като вирусите, червеите или троянските коне, се нарича понякога "малуер".
Полиморфни Вируси (Polymorphic Virus) Полиморфните вируси променят кода си, за да се избегне откриването им от антивирусните програми. Полиморфният вирус се прекодира или променя всеки път, когато се записва. Това прави възможността за възникване на вариации много голяма.
Буут Сектор Вирус (Boot Sector Virus) Boot sector вирусите се разпространяват чрез заразени флопи-дискове. Това обикновено се случва, когато потребителя остави дискета във флопи-дисковото устройство. Когато системата се стартира следващия път, компютърът се опитва първо да зареди от флопито. Ако дискетата е заразена с boot sector вирус, то той ще се запише в boot sector-а на твърдия диск. За да предпазите компютъра си от boot sector вируси, е добре да промените настройките в CMOS така, че да позволяват зареждане на операционната система само от твърдия диск - C:\, но не и от флопито - A:\.
Стелт (Stealth) Стелт вирусите се опитват да се скрият и да не могат да бъдат открити. Един от методите за това е пренасочването на повикванията направени към заразения файл. Например, вирусът може да стои в паметта, и само когато бъде направена заявка за писане върху дискета, той да се активира.
Файлови Вируси (File Viruses) Файловите вируси заразяват изпълними файлове, чрез вмъкване на код в някои части на оригиналния файл така, че този код да може да се изпълнява, когато някой се обърне към оригиналния файл. В някои случаи файловите вируси могат да надпишат цял файл или да изтрият оригинала и да създадат вирусно копие със същото име. Файловите вируси винаги имат за своя цел операционната система (Windows, UNIX, Macintosh, DOS и др.). Надписването на цели файлове води до пълна и невъзвратима загуба на оригиналните данни.
Антивирус (Antivirus, Anti virus, Anti-virus) Антивирус или антивирусен софтуер се нарича продукт, който се използва за откриване на злонамерен софтуерен код, предпазва компютърната система от заразяване и премахва такъв код, ако е заразил системата. Антивирусният софтуер обикновено е включен, от самите производители, в независими тестове, които сертифицират качеството му и способностите му да открива и премахва вирусите.
Дезинфекция (Disinfection) Почистването, изтриването или премахването на даден вирус се нарича дезинфекция. В някои случай дезинфекцията може да се осъществи само чрез изтриване на заразения (инфектирания) файл. Например, един троянски кон винаги би трябвало да се изтрие, тъй като той няма полезна и добронамерена цел. От друга страна, документ, който е заразен с макро вирус би трябвало да бъде само почистен, за да не се загубят данните на потребителя и полезните макроси. Въпреки, че в повечето случаи дезинфекцията може да бъде извършена без загуба на ценни данни, няма гаранция, че всеки файл може да бъде възстановен до предишното си състояние. По тази причина, антивирусните експерти препоръчват възстановяване на данните от чисто архивирано копие. На антивирусните програми трябва да се разчита само за откриване на вирусите. Ако все пак нямате съхранено актуално копие можете да възстановите даден файл, чрез антивирусната програма.
Евристика (Heuristics) Евристичните методи на сканиране варират според техния производител. Някои фирми твърдят, че разрешават извършване на определени действия от вирусите в защитена и изолирана среда. Други сканират всеки отварян или обработван файл за части от опасен код. Евристичните методи са разработени, за да откриват, непознати преди вируси, така че ако вирусите са от скоро написани и разпространени, потребителя все пак да бъде защитен. Евристичните методи нямат 100% успеваемост и затова се препоръчва, потребителите да спазват някои основни правила на сигурността, за да са защитени компютрите им.
Блокиране по Поведение (Behavior Blocking) Програмата за блокиране по поведение следи действията на различните файлове в компютъра, като предпазва операционната система и свързаните с нея файлове от нежелана промяна. Програмите за блокиране по поведение, могат да наблюдават регистрите (registry) на Windows и да предупреждават потребителя, ако някоя програма направи опит за промяната му. Така потребитреля може да разреши (ако например инсталира нов софтуер) или да откаже промяната (ако някоя злонамерена програма се опитва да се запише в компютъра). Блокирането по поведение е чудесна добавка към останалите възможности за защита на операционната система.
Проверка на Интегритета (Integrity Checker) Програмите за проверка на интегритета сканират и поддържат база данни с важната информация в системата или записват критичните системни файлове. Ако някоя програма се опита да промени някой от тези файлове, софтуера за проверка на интегритета, ще уведоми потребителя и ще го помоли за съгласие. Програмите за проверка на интегритета, могат да помогнат много в защитата на Вашата компютърна система, но те изискват по-високо ниво на познание в областта на вирусите и компютърния софтуер.
Антивирусен Скенер (Scanner) Скенерите са продукти използвани за откриване на злонамерен код. Те също предпазват системата от заразяване и отстраняват евентуални вече съществуващи зарази. Обикновено, скенерите проверяват файловете за злонамерен код в реално време, когато се стартират на компютъра или когато потребителя направи заявка за проверка. Скенерите, разчитат също на методи за проверка на интегритета или блокиране по поведение, за да предпазят системата от нежелани промени.
Прикачен Файл (Attachment) Прикачен файл е такъв файл, който се добавя към изпратено електронно писмо (email). Използването на прикачени файлове е много удобно и полезно. Всички съвременни програми (клиенти) за електронна поща поддържат изпращането на прикачени файлове, като обикновено бутона в програмата съдържа изображение на кламер за хартия. От друга страна, изпращането на прикачени файлове е основния метод за разпространение на голяма част от съвременните вируси. Често авторите на вируси задават интересни имена на прикачените файлове като по този начин предизвикват любопитството на получателя. При стартиране на прикачения файл, вирусът се изпълнява и заразява системата.
Преносим Изпълним Файл (Portable Executable) Преносимият изпълним файл (PE EXE) е програма, която може да се стартира сама на всяка операционна система Windows (Windows 95, 98, NT, 2000, XP, and ME). Пример за такъв файл е notepad.exe (Notepad). PE EXE може да имат разширение различно от .exe, например .scr - screen saver.
Актив Екс (ActiveX) ActiveX контролите са изпълними OLE или .OCX файлове. Пример за OLE (Object Linking and Embedding) е например ActiveX контрол "бележник", който можеда се интегрира в електронна таблица или текстов документ. ActiveX контролите могат да се изпълняват само в средата на операционата система Windows, като за всяка отделна версия се създават различни контроли. За разлика от Java аплетите, които се зареждат само в браузерите, ActiveX контролите имат достъп до самата операционна система, което в някои случаи, води до проблеми със сигурността.
[редактиране] Съвети
Когато работата на пс-то ви стане подозрително бавна и предположите, че сте заразен, бихте могли да видите активните процеси чрез Hijackthis.
Запазете изходния лог и прегледайте съмнителните/непознати файлове.
Тук може да анализирате конкретен файл, а на следния адрес:http://www.pandasoftware.com/products/ActiveScan.htm да направите цялостна проверка на компютъра си.
Ще изброя няколко антивирусни програми, осигуряващи надежна защита от вируси:
