Jump to content

Защита от злонамерен софтуер (malware)


Препоръчан пост

  • Отговори 55
  • Създадена
  • Последен отговор

ТОП потребители в тази тема

ТОП потребители в тази тема

Много подробно описание,изчерпателно...абе нямам повече какво да кажа за подбрания материал.Абсолютно препоръчителен за четене от хора,които се интересуват от темата,а и от всички!! :thumbsup:
Link to comment
Сподели другаде

Кадърно написана статия,разбираема дори и за не толкова напреднали потребители.Харесва ми и факта,че статията е подкрепена с най-доброто по отношение на предлаган в момента софтуер/безплатен и платен/.Надявам се сайтът отново да оглави първото място в класацията на BG Top - заслужава да е номер едно с пълно право.Успех!
Link to comment
Сподели другаде

Темата е чудесна,поздравления към Night_Raven :beer: ,бих я допълнил още малко,като представя още малко информация за вирусите :

 

Как се разпространяват компютърните вируси?

 

Ето един интерсен и важен въпрос. Вирусите се разпространяват чрез всички начини за предаване на информация използвани в компютърната техника: oптични кабели,мрежи, дискети, в някой случай CD, игри драйвери, операционни среди, среди за програмиране, драйверни програми, транслиращи програми, всякакви файлове(особено MS Excel таблици и MS Word документи), архивирани пакети, модеми,

Интернет, оптични кабели, рядко на CD-ROM и CD-R, CD-RW, DVD-R, DVD-RW,често по e-mail, IRC и ICQ както и по WAP. Засега има само един вирус който се разпространява по WAP и това е вируса Timofonica, но това е само предупредителен сигнал, че не е далеч времето за масирани заразявания по WAP ако не се вземат необходимите мерки бързо и навреме! Други разпространители са заразени антивирусни програми и всички останали средства за трансфер на информация!БЪДЕТЕ ИЗКЛЮЧИТЕЛНО ВНИМАТЕЛНИ КОГАТО КУПУВАТЕ ИЛИ ВЗЕМАТЕ СОФТУЕР. ВИНАГИ ГО ПРОВЕРЯВАЙТЕ ЗА ВИРУСИ ПРЕДИ ДА ГО ИЗПОЛЗВАТЕ.Вирусите правят свои копия на заразеното устройство като се самозаписват в прорамите или в системните файлове,за да може да се изпълняват при всяко стартиране програмата или на компютъра.Желателно е да проверявате току що купения софтуер дори ако е директно от фирмата производител а ако вземате софтуер от други места тогава сканирането е задължително.

 

Кой и защо създава вируси?

 

Ето един интерсен въпрос.Погрешно е залегнало в съзнанието на потребителите че вирусите са творения на хакерите.НЕ Е ВЯРНО!Вирусите са творения на кракерите.Чрез това кой кракер колко опасен вирус е създал се изгражда нещо като кракерска йерархия на техните умения.Колкото по опасен е даден вирус, кракерът който го е създал седи на по-високо стъпало в тяхната йерархия.В ценностната система на кракерите е върховно постижение да се напише коварен опасен и трудно унищожим вирус.Някой програмисти които искат да създават вирус, но не могат да напишат собствен защото нямат нужните познания само модифицират вече

съществуващи вируси като ги правят по-опасни от оригиналите.

 

Кракер - злонамерен Хакер.Истинският Хакер не е злонамерен и "не вреди" не унищожава системи и не пише и разпространява вируси,а само краде данни.

 

Какви са видовете вируси и как работят?

 

Видовете вируси са няколко основни с множество от подвидове.В тази версия са описани 30 вида вируси и 8 вида вирусоподобни програми. Често вирусите представляват наколко от тези "видове" събрани в един вирус.Пример: резидентни и Stealth едновременно или други качества като често пъти са по много.

Комбинациите между тези "видове" е най-коварното при вирусите.Вирусите са написани като изпълним код който се самозаписва някъде из програмата като модифицира програмата да изпълнява този код или кода се записва с стартовите сектори на дискетите или хард диска за да се изпълни.Така вирусът става активен и

нанася своят удар върху софтуера.Има и вирусоподобни програми които помагат на вирусите.За тези програми прочетете в раздела вирусоподобни програми по-късно в тази точка.

 

• Резидентни - те остават резидентни в паметта така както остава някой драйвер.(до изключването или рестартирането на компютъра).От памета вируса може да се размножава и да смущава работата на компютъра и да поврежда файлове и цели програми.

 

• Boot - тези вируси се самокопират в зареждащия сектор на дискетите и на харддиска като копират системните файлове (ако харддиска е системен илидискетата е системна) на друго място на дискетата или на хард-диска.Така при опит да се зареди от заразената системна дискета вирусите се зареждат успоредно с ОС нанасят свойте удари върху софтуера.

 

• Вируси с директно действие - са вируси които се стартират нанасят своят удар върху софтуера и се "самоизключват",но остават като инфекция.

 

• Stealth - вирусите са най - коварните защото те причиняват големи щети и остават резидентни в RAM. Те още прикриват симптомите на вирусната инфекция и взаймодействат с различни антивирусни програми като

принуждават програмата да каже че няма вируси.Тези вируси не показават промени по размерите на файла който са инфектирали което ги прави трудни за засичане и обезвреждане! Самият вирус лесно се укрива и трудно се премахва.Секторите от хард-диска и (или) дискетата където е записан оригинала на вируса се маркират като лоши (механично повредени) въпреки че не са повредени по никакъв начин.Bсички анти-вирусни програми който проверяват хард-диска или дискетите "виждат" маркираното - "лош сектор" и

го прескачат и не засичат вируса.Друга мярка за защита е заетата техника от полиморфичните вируси на самопроменящ се код на вируса за допълнителна самозащита.

 

• Макровируси - вируси специално написани на "Word macro language" и на "Visual Basic Macro language" като създават отделни макроси - вируси.Тези вируси често предизвикват правописни и стилистични грешки по текстовете на "WinWord"; "MacWord"; "DosWord" а също и по таблиците на "DosExcel","WinExcel и "MacExcel" .Тези вируси не правят разлика между отделните версии на Word и Excel. Макро вирусите се пренасят като макроси по документи и таблици със записани макроси. Стартирането на макросите

стартира и макро вирусите.Макро вирусите нападат първо файла Normal.dot(когато става дума за Word) или Normal.xlt(когато става дума за Excel),а после и всеки отворен документ.

 

• Логическите вируси - предизвикват не само множество щети,но предизвикват и много логически грешки по време на работа.Те се активират ако определени условия се изпълнят правилно.

 

• Time-bomb - вирусите са вируси с назначена дата на активиране.Ако попаднат в компютъра преди датата на активирането им те само се размножават без да предизвикват повреди.На датата на активирането или

след нея вирусите се активират и нанасят своят удар. Пример за такъв вирус е CIH(т.нар. Чернобил), който се активира на 26-ти април.

 

• MBR (Master Boot Record) - вирусите работят на принцип близък на Boot вирусите.С тази разлика че те не копират системните файлове а се "смесват" с тях и ги модифицират за да приемат вируса като част от тях което прави невъможно премахването им. Когато от заразен системен хард-диск или заразена от системна дискета се зарежда ОС, вирусите се зареждат отново успоредно с ОС и нанасят своят жесток удар върху софтуера

 

• BIOS вирусите - това са тези вируси които освен че причиняват щети правят и промени по BIOS-a на компютъра или се записват там. Най-честите промени са свързани с флопитата често се обявява че флопитата не са инсталирани и компютъра не може да ги използва.Разбира се и често пъти вирусите така

разбъркват данните от BIOS-а че компютърът не може да се стартита.Вирусите причинили всякакви промени промени по BIOS-a не позволяват нормалното пре-конфигуриране.Трети вируси се самозаписват в BIOS-a и се

самостартират от там още преди ОС да е заредена.Борбата с тези вируси е

най-сложна защото те контролират целият хардуер и софтуер.

 

• Размножаващи се - тези вируси само се размножават без да причиняват нинакви повреди и каквито и да било други щети и последици.

 

• Joke programs - всъщност те не са вируси, а шегаджийски програми които се разпространяват като вирусите. Тези програми не причиняват никакви щети.Те само извеждат глупави съобщения и още по-глупави шеги.

 

• Virus creating tool viruses - не са вируси а инструменти за създаване на вируси в големи количества. Вирусите създадени от тези инструменти обикновено са шифровани и лесно засечими както и лесно отстраними.

 

• ANTI-VIRUS viruses - не са вируси, а антивирусни програми които се разпространяват като вирусите и обикновено са блок за самотестване срещу вируси.Желателно е да не ги допускатве по диска (дисковете) и дискетите си.

 

• Хардуерните вируси са вируси които спъват работата на хардуера по всякакви начини: симулирайки хардуерни проблеми,механически повредени сектори,по дисковете и дискетите, повреди по тях, провалят тестовете на дисковите контролери и принуждавайки копютъра да не работи с дадени компоненти от хардуера.Вируса FireBurn е точно такъв с цел самосъхранение блокира клавиатурата и мишката.

 

• COM вирус е този вирус който напада и заразява само .СОМ файлове

 

• ЕХЕ вирус е този вирус който напада и заразява само .ЕХЕ файлове

 

• СОМ/ЕХЕ - вирус е този вирус който напада и заразява както .СОМ, така и

файлове и .ЕХЕ файлове

 

• Суматорните вируси са предвидени да събират и закръглят стойности предизвиквайки много големи бъркотии. Започвайки от най-ниските нива на Excel и стигат до най-високите нива на счетоводни и ведомствени и подбанкови и банкови нива и функции. Тези вируси могат да объркат сметки,подменят стойности и резултати и знаци в зависимост от индентификацията на дадено действие и сумите и вида на стойностите.Често тези вируси вкарват в обръщение неверни стойности представяйки ги за верни както и да

отхвърлят верните стойности като ги представят за грешни

 

• Псевдорутерните са вируси които само смущават трансфера на данни като предизвикват частични задръствания по мрежите и трансферните линии.Попаднали на подходящо устройство или в главният компютър на мрежа те започват да се размножавт и да предизвикват тотални задръствания по

мрежите и трансферните линии и препращат информацията по различни вектори където тя се губи. E-mail и локалните мрежи са главното им поле на

действие

 

• Информационни замърсители са вируси с функции като на псевдорутерните само че за да предизвикат тотално задръстване и объркване на мрежите и на трансферните линии не е необходимо да са в главен компютър или устройство,а където и да било по мрежата и устройствата.Често тези вируси пращат пратка на адрес различен от този който потребителя е посочил или обявяват съществуващ адрес в мрежа за невалиден или ако се набере грешен адрес вирусите го приемат за валиден и пращат информацията в различни вектори на трансфер където тя се губи.

 

• Полиморфните вируси са много трудни за засичане, идентифициране и премахване защото те постоянно променят своят код. Няма два еднакви кода на един и същ полиморфичен вирус който е способен да направи хиляди самомодификации с цел да се самопредпази от антивирусните програми.Принципа на полиморфията при вирусите е всяко копие да се кодира различно.

 

• Биокомпютърните вируси са много интересни. Те представляват нещо като един вирус разделен на две "половини" които "половини" са програмирани да се търсят взаимно (една-друга) и когато се открият да се съединят и да образуват вируса. Всяка (коя да е)"половина" поотделно е безобидна но ако

двете се съберат заедно вируса образува и се активира и нанася своят удар срещу софтуера.

 

• Бинарни вируси са вирусите които са написани на машинен език и също като биокомпютърните вируси са в две части които взаимно се търсят една дурга.Това че са написани на машинен език ги прави малки и трудно засечими.

 

• RAM вирусите са вируси които само се размножават и седят в оперативната памет (RAM) и окупират голяма част от нея и не се улавят от антивирусните програми сканират които RAM за резидентни вируси. Те не причиняват никакви щети но бързо и лесно се размножават.Тези вируси също често пъти заставят програмата да не стартира и да изведе съобщение за не достатъчно RAM-памет въпреки че компютъра в повечето случай има достатъчно количество RAM-памет за да изпълни програмата

 

• Companion вирусите с вируси които са нещо средно между шегаджийските програми (joke rpograms) RAM-вирусите и размножаващите се вируси.Този тип вируси се записват в началото на програмата и при нейното изпълнение вируса задава някакъв въпрос. при правилен отгвор вируса стартира

програмата.При грешен отговор вируса или блокира компютъра или го рестартира.

 

• Вируси убийци - по непотвърдени данни тази категория вируси не поврежда данни или каквото и да било друго,но убива оператора. Такъв вирус са използвали в КГБ като крайна мярка на защита на компютрите им през студената война.Вируса се е казвал 666 и няма нищо общо с разпространения глупав файлов 666 вирус носещ същото име за заблуда и е обърквал до такава степен мозъчните вълни че е причинявял невероятно

главоболие и смърт.Много любопитни хакери,кракери и американски експерти и програмисти са се опитвали да откраднат вируса но никой още не е успял...

 

• FAT Scrabmlers - тези вируси така разбъркват двете копия на FAT че всичко записано на диска става негодно за каквито и да е манипулации. Двете Копия на FAT се разбъркват Всяко по различен начин с цел максимални щети. Няма друг изход освен Форматиране от BIOS и след това предформатна подготовка

с FDISK и повторно форматиране с Format /u /c /s

 

• Java вируси - това са вируси които могат да заразяват само Java програми и заразяват всякакви компютри и операционни среди защото се стартират не от ОС а от браузъра.

 

• Е - Mail вируси - особено актуална категория вируси разпространява се чрез електронна поща и използва адресната книга за да нападне нови компютри.

 

• WAP вируси - току що появила се категория с засега единствен представител - Timofonica нападат GSM, Palm PC и лаптопи ако те използват WAP.Засега няма данни за вредни кодове но се очаква да се получи нещо като разбъркване на мрежите,сривове,раздуване на телефонни сметки,разпращане на телефонни номера или адреси.

Забележка: вирусите за PC не могат да заразяват Power Machintosh и вирусите за

Power Machintosh не могат са заразяват РС компютри, защото има разлики в

интерфейса на двете групи хардуер. Двете групи са взаимно несъвместими. Тази

забележка не важи за точка 28 (Java вирусите).

 

 

Вирусоподобни програми:

 

• Червеи (Worms) - Програми които се самокопират,но и заразяват други програми но не винаги причинявят щети

 

• Host червеи - Имат нужда от локална мрежа за да се самокопират и за да могат да функционират

 

• Net Worm - разпространява части от себе си по мрежа и има нужда от мрежа,за да може частите му да работят съвместно.Може да съществува и на единичен компютър но се самокопира на различни места и/или дялове на хард

диска.

 

• Троянски кон - това са програми които са скрити в други програми.Тази система е ефективна. докато основната програма върши нещо то в фонов режим се имплантира вирус или се създават други проблеми. Пример за това е FreeWare програмата ProMail 2000 v. 1.02 която служи като оптимизатор на мрежовия трафик и разпределение на пощата.Програмата създава файла ACCOUNT.INI в който се съдържат всички имена пароли и привилегии за достъп на всички потребители и информация за степента на защита на

мрежата който файл се копира и копието му се изпраща като прикачен файл по електронна поща до създателя на програмата.

 

• "Терористи" (Droppers) - програми направени за заобикаляне на антивирусните защити.При създаване се използва мощна криптираща система със защитна цел.Тази криптираща система прави невъзможно

откриването от антивирусни програми. "Терористите" най често траспортират и имплантират вируси.

 

• Бомби - Тези програми изчакват определено събитие на компютъра, което събитие ще ги стартира и те ще инсталират вируса който носят със себе си.Тези програми имат много и разнообразн начини на действие (все вредни) и се стартират от разнообразни събития в компютъра ви или в определени дни.

 

• INI програми - тези програми са във формат на стандартен INI файл. Много опасни и силно разрушителни. Модифицират се системните файлове на Windows.Това реално са вредни опции в INI файловете.

 

• BAT инфектори - асоциират се с BAT файлове. Може да се асоциират всякакви унищожителни програми съвместими с РС.Това е или елементарен BAT код или е програма която се извиква с модифицирани BAT файлове.

 

P.S.: събрано от различни източници. (бел. NR)

Редактиран от Night_Raven
Link to comment
Сподели другаде

Night_Raven e изключително рядко срещан човек, който ще е чест да познавам лично. Нямам търпението да чета, но дори само увода като видях останах без думи... Желая ти успех приятелю от все сърце! :hesthebest:

Смятам да публикувам линк към тази негова невероятна и задълбочена статия на мои сайтове.

Link to comment
Сподели другаде

Невероятна статия , както винаги написана на много достъпен език.

 

Не защото ползвам Linux но...

 

Участниците в хакерско състезание не успяха да поемат контрола върху лаптоп с операционна система Ubuntu Linux 7.10. Съревнованието беше организирано по време на конференцията за компютърна сигурност CanSecWest във Ванкувър, Канада.

 

Три лаптопа са били цели за овладяване от хакерите - Sony Vaio VGN-TZ37CN под управление на Ubuntu Linux 7.10, Fujitsu U810 с Windows Vista SP1 и MacBook Air с Mac OS X 10.5.2 Leopard, съобщава американското издание PC World.

Хакерите са имали за задача да атакуват машините през мрежата и да пуснат на тях собствени програми. От трите лаптопа е оцелял само този с Ubuntu. Въпреки, че участниците в конференцията са открили уязвимост в системата, не им се е отдало да поемат контрола върху нея.

 

Източник: Softvisia

Link to comment
Сподели другаде

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гост
Отговори на тази тема

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   Не можете да качите директно снимка. Качете или добавете изображението от линк (URL)

Loading...

×
×
  • Създай ново...