Pit
Мъдростта ме преследва, ма аз бегам бързо
Брой мнения : 220
Age : 41
Localisation : София
Emploi : Системен администратор
Loisirs : Компютри,Книги,Музика,Пътуваня,Хора
Registration date : 28.03.2007
 |  Заглавие: Вируси Втора част  Пон Окт 29, 2007 3:33 pm | |
| Съпътстващите вируси не променят оригиналният файл по никакъв начин и това е техният механизът за разпространение. Ако се опитате да пуснете програма без да уточните нейното разширение, то компютърът първо ще потърси изпълним файл с разширение COM, след това файл с такова име, но с разширение EXE(а след това ако все още не е намерил файл за изпълнение ще се опита да изпълни файл с това име но с разширение BAT). Този вид вируси може да инфектира единствено файлове с разширение EXE и го прави като създава "спътник" на този файл, със същото име, но с разширение COM. Когато потребител се опита да пусне програма, но не зададе разширение, то е пуснат вирусът(файлът с разширение COM). След като е активиран, вирусът търси друг EXE файл за инфектиране и след като си свърши работата пуска оригиналната EXE програма, която е била повикана от потребителя. Добър пример за това е вирусът AIDS ІІ.
Повечето вируси внимават да не унищожат инфектираният файл, но презаписващите вируси(Overwriting viruses) се записват върху част от инфектираният файл, така че той да не може повече правилно да функционира. Обаче това прави тези вируси адски забележими и те не могат да се разпространят много. Вирусите Zeroto-0 и Australian403 са от този вид. Когато инфектиран файл е пуснат вирусът търси за неинфектиран COM файл и се презаписва върху него, като новополученият файл съдържа само вирусът. Оригиналният файл е унищожен, така че само изглежда че файлът тръгва, но нищо не се случва.
Вид вирус, не много приятен е Multipartite. Този вид вируси са многоцелеви и инфектират както файлове така и boot-сектори. Това ги прави много по-ефективни в разпространението им, понеже могат да заразят компютърът ви както и от инфектиран диск, така и от инфектиран файл.
Вируси използващи техники, за да се промъкнат крадешком(Stealth techniques) се активират за да скрият своето присъствие. Например ако се направи опит да се чете boot сектора на диск, инфектиран с вируса Brain докато вируса е активен, то вируса ще покаже оригиналният сектор, а не инфектираният. Вирусът Frodo инфектира файлове, но инфекцията не може да бъде засечена, защото преди да се разреши на ОС да чете определен файл вируса го дезинфектира(след като бъде затворен естествено файлът се инфектира наново). Командата от ДОС DIR показва коректните данни и не може да се забележи дали един файл е инфектиран, поради това, че вирусът се е натъпкал и във FAT таблицата и всички инфектирани файлове запазват размерите си. Тъй като тези акробатични номера с вируси са доста трудни(за написване на вируса и за изпълнението му), то на доста компютри, които са по-нестандартни такива вируси биха предизвикали огромни щети.
Някои вируси са напреднали толкова много в областта за това къде да се скрият, че са наречени Бронирани вируси. Най-добрият познат засега от този вид е вируса Whales. Този вирус е кодиран многократно и се разкодира за всяка секция поотделно точно преди да се изпълни, а след това се закодира наново, използвайки различна основа на кода. Като цяло вирусът е кодиран, като използва за основа номер от алтернативните кодиращи процедури, избран произволно, така че няма единична сигнатура която да се търси. Обаче като всички вируси от този клас, Whales е ужасно тромав, понеже забавя инфектирания компютър това го прави много очевиден.
Полиморфичните вируси са вид подобрени кодирани вируси, чиито кляч за разкодиране се променя непрестанно. Типичното за този вид вируси е, че декодиращата процедура много често включва три или четири регистъра, като всеки е избран произволно. В добавка процедурите много често включват изменящ се номер произволно избрани инструкции които не изпълняват никаква функция, но всяко действа като запълване на процесорната активност. Пишейки процедурите за откриване на такива вируси е много по-трудно от използването на готови templates, но и добавянето на полиморфична част към вирус е доста трудоемко и затова съществуват малко представители на този вид. Главният проблем с полиморфичните вируси е това, че откриването им е доста трудно и малко надеждно и понякога е непрактично да се дезинфектират файлове които са били нападнати с вирус от този вид.
Основните макро вируси са написани на WordBasic който е използван така и за широк кръг от продуктите на MicroSoft(м, да...MicroSoft SuXX бих казал...особенно продуктите им на WordBasic...абе тва го изтрий после...), като това най-вече се забелязва във MS Word. MS Word мойе да се пуска с най-различни платформи и е възможно да се включват какви ли не езици, като това е основата която дава пълна свобода на вирусите от този клас да се рзмножават. Хората много по-често отварят текстови файлове, за да ги четат, редактират и такива(леле, и аз в момента...пък и ти...и тва го изтрий) отколкото да си разменят дискети, с които да се пренасят вирусите, като това помага на макро-вирусите да се разпространяват много по-бързо от всеки друг вид вируси. Макро-вирусите също така използват растящата популярност на прикрепянето на текстови документи към e-mail-и и свалянето на файлове от интернет като допълнителни начини за пренасяне на вируси.
Макро-вируса пристига "закачен" за документа или към отделен "spreadsheet" от Excel, като когато текстовият файл бъде отворен то той се превръща от прост документ в апликация изпълняване от WordBasic. Всеки нов създаде файл след зареждането на документа с вируса ще бъде инфектиран. Но все пак всички вирусите от този вид ще бъдат разпознати и почистени(дори и Excel macro VirusMacroLaroux) от по-новите версии на програмите.
Hoax-ите са сиобщения, обикновенно получавани по e-mail или други средства за масова информация и са написвани само и единствено да се размножават и разпространяват, всявайки учудване и страх. Hoax-ите разчитат на голямо техническо познание и доброжелание към всички тези които получават hoax-и. Основно hoax-ите предупреждават за заплахи, които не съществуват, но провокират потребилят да внимава повече за истинските вируси. Важна характеристика на hoax-ите е това, че вирусът ви моли да го "предадете" на колкото повече хора е възможно. Това е начинът по който този вид вируси се разпространяват. Ако обаче получите такова съобщение, то по-добре първо проверете дали това не е истински вирус, преди да го предадете на когото и да е, в противен случай може неволно да помогне за рапространението на вирус.
За нещастие цомпютърните потребители много често не си пасват и в резултат на това са се появили много анти-социален софтуерПрограми от този вин могат да бъдат разделени на три основни групи: Червеи, Троянски коне и саботажи. Ако даден потребител има проблеми с изпълнението на някаква програма, то винаги е възможно да има инфекция от някакъв вирус. Други възможни причини за това са бъговете и грешните boot-сектори. Също така има и огромен брой hoax-и които все още обикалят по интернет.
"Червеят" е програма написана да се разпространява предимно по локалната мрежа(за компютри без достъп до интернет). Противно на другите вируси, тези не се нуждаят от програми-прикрития, които да осигурят безпроблемното им размножаване. Основната ралика между вируса и "червеят" е това, че вирусът разчита на действията потребителя за да се множи, докато "червеят" няма никакви задръжки и апрез цялото време търси нови компютри за инфектиране. Все още много малко "червеи" използват интернет за да се размножават, тъй като в миналото размножаването е било възможно само по локална мрежа, но много скоро това може да се промени(ей, сериозно се замислям за един NiXX" Worm, да знаеш...и тва е за търкане...).
Троянските коне са малки програми, криещи се в по-големи файлове, подобно на войниците в дървения кон, оставен пред Троя. Има съставен списък от програми за които се знае, че са Троянски коне(демек съдържат скрит вирус), но най-добрата защита от такива неща е да се знае каква програма се стартира...Единственият сигурен начин да се докаже, че една програма е Троянски кон, е тя да бъде тотално дезасемблирана(начастена демек) а това е малко гадно и не особенно добре за програмата(бе хора, аз бих се самоубил ако някой ми дезасемблира програма, дето съм я писал час и нещо пък кво остава за сериозен продукт...да се забранят такива вируси...Гласувам с две ръце и два крака в народното събрание...обявявам и гладна стачка...и тва да се изтрие...). Ако речем например, че искате да инсталирате някакъв пакетиран софтуер. При запечатването му хората са направили запис на размерите на всичконатъпкано вътре, така че ако то не съвпада, значи продуктът е бил модифициран и е възможно да има вирус. Това е единственият начин за предварително недеструктивно разузнване дали има вирус в пакета.
Възможностите за изпробване на вирус след неговото написване са доста ограничени и много често се създават вируси неспособни да инфектират каквото и да е. Повече вируси имат бъгове в тях(аматьорска работа...и тва да се изтърка...) като това се усеша дори при инфектирането - вирусът може да стане по-забележим, може да забави изпълнението на други програми и т.н. При голям брой от вирусите бъговете пречат на нормалното инфектиране и резултатът е че се унищожават данни жизненоважни за PVC-то като основната конфигурация, MBR-то и др. Някои вируси издават своето присъствие чрез съобщения за грешка, когато се опитат да инфектират диск с защите против запис.
Досега повечето от големите организации са били атакувани от вируси, но далеч повече данни са унищожени от невнимателни, некомпетентни и безотговорни потребители. Възможно е да се намали рискът от такива загуби на данни чрез употребата на лесно разбираем софтуер и обучаване на потребителите, но е много по-трудно да се предодврати саботаж. Най-добрата защита срещу саботаж и механични фалове е използването на архивни копия. Архивните копия помагат всички искани данни от вашият компютър да бъдат запазени и при евентуалната им загуба да бъдат възтановени. Въпреки, че и това не е добър изход, понеже boot-вирусите най-много от всичко обичат да се въдят по BACKUP дискетите. | |
|
