- •Ikarus — Австрія
- •VirusBuster — Угорщина
- •4. Запобігання зараження вірусами. Механізм передачі «інфекції» у комп'ютерів подібний до розповсюдження епідемії серед людей. Ось кілька порад, щоб запобігати зараженню:
- •100% Захисту від всіх шкідливих програм не існує. Щоб понизити ризик втрат від дії шкідливих програм рекомендується:
- •Віруси – хробаки
- •Що таке вірус?
- •2.Файлові віруси -віруси, що заражають файли. Ця група додатково ділиться на три, залежно від середовища в якій виконується код:
- •Icmp-флуд — то же самое, но с помощью icmp-пакетов.
- •1.51.2.1300 (13 Сентября 2011)
Що таке вірус?
Вірус — це програма, здатна до самовідтворення. Вона розповсюджується, створюючи свої копії на комп’ютері або вставляючи комп’ютерний код у файли програм або операційної системи. Віруси не завжди пошкоджують файли або комп’ютери, але вони зазвичай впливають на продуктивність і стабільність роботи комп’ютера. Зазвичай інфікування комп’ютера вірусом або розповсюдження вірусу є наслідком виконання певних дій, наприклад, відкриття вкладення електронної пошти з вірусом.
Чи всі віруси шкідливі?
Так, тією чи іншою мірою. Вплив вірусів різний: від уповільнення швидкодії комп’ютера до втрати інформації та програм. У найгіршому випадку віруси видаляють або змінюють інформацію та програми на комп’ютері. Деякі поштові віруси під час розповсюдження розсилають повідомлення з конфіденційною інформацією. Навіть якщо вірус не пошкоджує інформацію безпосередньо, процес самовідтворення може уповільнити роботу комп’ютера та підключення до Інтернету.
Що таке хробак?
Хробак — це комп’ютерний код, який розповсюджується без втручання користувача. Більшість хробаків — це вкладення електронної пошти, які інфікують комп’ютер після їх відкриття. Хробак шукає на інфікованому комп’ютері файли, наприклад, адресні книги або тимчасові файли Інтернету, що містять адреси електронної пошти. Потім він використовує ці адреси, щоб надсилати інфіковані електронні повідомлення, і часто імітує (або підробляє) адреси відправника в подальших повідомленнях, щоб повідомлення були схожі на надіслані знайомими. Таким чином хробаки автоматично розповсюджуються, використовуючи слабкі місця електронної пошти, мереж чи операційної системи, і часто перевантажують системи до виявлення причини. Хробаки не завжди є деструктивними для комп’ютерів, але вони зазвичай призводять до проблем продуктивності та стабільності роботи комп’ютера.
Що таке троянська програма?
Троянська програма — це створена зловмисниками програма, яка прихована всередині інших програм. Вона надходить до комп’ютера, схована у звичайній програмі, наприклад, у заставці. Потім вона вставляє в операційну систему код, що надає змогу хакеру отримати доступ до інфікованого комп’ютера. Троянські програми зазвичай розповсюджуються не самі, а за допомогою вірусів, хробаків або завантаженого програмного забезпечення.
Що таке комбінована загроза?
Комбінована загроза — це поєднання кількох або всіх типів зловмисних програм, описаних вище. Комбіновані загрози часто починають діяти, коли хтось взаємодіє з вірусом (наприклад, відкривши небезпечне вкладення електронної пошти). Вірус автоматично поширюється, використовуючи поведінку хробака, й інсталює троянську програму на інфікований комп’ютер.
Як захиститися від вірусів?
Інсталюйте антивірусну програму. Для максимальної ефективності слід забезпечити постійну роботу антивірусної програми, яка здійснює перевірку вхідних повідомлень електронної пошти та спроб отримання доступу до файлів. Для отримання докладніших відомостей див. розділ Як захистити комп’ютер від вірусів?
Як дізнатися, чи інфіковано комп’ютер вірусом?
Універсального індикатора зараження вірусом не існує, але найпоширеніші ознаки наявності вірусу — низька продуктивність роботи комп’ютера, відображення спливаючих рекламних оголошень (навіть якщо увімкнуто блокувальних спливаючих елементів або немає підключення до Інтернету). Для отримання докладніших відомостей див. розділ Як дізнатися, чи інфіковано комп’ютер вірусом?
Як знайти та видалити віруси?
Щоб знайти та видалити віруси з комп’ютера, слід запустити антивірусну програму. Для отримання докладніших відомостей див. розділ Як дізнатися, чи інфіковано комп’ютер вірусом? і Як видалити комп’ютерний вірус?
Чи були ці відомості корисними?Відгуки користувачів: запитання й відповіді
Хробак (або повністю "Мережевий хробак") - це програма (програмний код, скрипт, макрос) основною відмінною особливістю якої є поширення між комп'ютерами з використанням мереж (як локальних так і глобальної). Хробак є різновидом вірусу, з тією тільки різницею, що хробаки намагаються вразити безліч комп'ютерів, а не орієнтуються на зараження файлів в одній і тій же системі. Так само як і звичайний вірус, черв'як може заражати виконувані файли на локальному комп'ютері.
Хробаки використовують кілька методів для свого розмноження:
Розмноження через вразливості програмного забезпечення - хробак шукає в мережі комп'ютери, на яких використовується програмне забезпечення що містить критичні уразливості. Для таких комп'ютерів хробак посилає спеціально сформований мережевий пакет (Exploit), в результаті прийому якого, хробак або частина коду хробака, проникає на комп'ютер і активується. Якщо мережевий пакет містить тільки частину коду хробака, то після проникнення на комп'ютер він завантажує основний файл хробака і запускає його на виконання. У даному випадку поширення хробака відбувається без участі користувача. Кращим захистом від таких хробаків є своєчасне оновлення програмного забезпечення та встановлення патчів які закривають уразливості.
Розмноження за допомогою програм для спілкування, таких як ICQ, Skype, MSN Messenger і т.п. У даному випадку користувачеві приходить сформоване хробаком повідомлення, в якому йому пропонується завантажити якийсь файл або ж перейти по посиланню (де йому також запропонують завантажити або запустити файл). Повідомлення сформована так, щоб у користувача не виникало питань про його користь:). Наприклад: "- Подивися мої нові фотографії", "- Я завантажив нову класну іграшку, вона дуже цікава, подивися"). Після того як користувач завантажить запропонований файл і запустить його на виконання - відбудеться запуск хробака. При запуску хробак шукає на зараженому комп'ютері контакти і розсилає по них таке ж саме повідомлення. Користувачі довіряють повідомленням отриманим від знайомої людини і запускають файл, що призводить до зараження комп'ютера і подальшому розвитку епідемії. Деякі хробаки навіть здатні підтримувати не складний діалог з користувачем і відповідати на прості запитання. Приміром, на запитання "Чи немає вирусів в цій играшці?" - хробак чесно відповість "Звичайно, ні":). У даному випадку поширення і захист від хробака залежить цілком від користувача комп'ютера.
Розмноження через E-Mail. Даний метод аналогічний вищеописаному методу зараження. Користувачеві на E-Mail приходить лист, до якого прикріплений файл з хробаком або ж зазначене посилання для його завантаження. Після завантаження та запуску файлу - черв'як активізується й розсилає себе за всіма адресами з адресної книги. Також як і у вищеописаному випадку, поширення і захист від хробака залежить лише від користувача комп'ютера.
Розмноження через мережеві ресурси. Хробаки цього типу шукають комп'ютери в глобальної або локальної мережі, підключаються до них і намагаються скопіювати себе в каталоги відкриті на читання і запис. Якщо такі не виявлені, то черв'як намагається послідовним перебором паролів отримати до них доступ на запис. Отримавши доступ, черв'як копіює себе на машину, в якусь папку. Активізація черв'яка відбувається по різному - для деяких видів необхідно вручну запустити файл на виконання, інші ж черв'яки створюють завдання на запуск через планувальник завдань і запускаються автоматично.
Розмноження через P2P мережі по каналах файлообмінних пірінгових мереж (наприклад, Kazaa, eDonkey, FastTrack, і т.п.). Принцип розмноження дуже простий, для поширення через P2P-мережу черв'як копіює себе в каталог, призначений для обміну файлами, у каталозі хробак маскується під яку-небудь популярну програму, кряк для злому, популярний фільм або музику. При пошуку файлів в P2P мережі віддалені користувачі бачать цей файл, а звучна назва файла провокує завантажити його і запустити в себе на машині.
сновна відмітна характеристика комп'ютерного вірусу - здатність до самопоширення. Подібно біологічному вірусу для життя й розмноження він активно використає зовнішнє середовище - пам'ять комп'ютера, операційну систему. Збільшення швидкості передачі інформації, обсягів і значимості оброблюваних в обчислювальних мережах даних відкриває перед вирусописателями усе більше широкі можливості - поширення по усім світі написаних програм займає лічені дні або навіть годинники. Сотні мегабайт оперативної пам'яті дозволяють виконувати практично будь-які дії непомітно від користувача. Спектр можливих цілей, таких як паролі, карткові рахунки, ресурси вилучених комп'ютерів представляє величезне поле для діяльності. Ускладнення операційних систем веде до появи всі нових дір, які можуть бути використані для проникнення на вилучений комп'ютер.
Життєвий цикл вірусу
Оскільки відмінною рисою вірусів у традиційному змісті є здатність до розмноження в рамках одного комп'ютера, розподіл вірусів на типи відбувається у відповідності зі способами розмноження.
Сам процес розмноження може бути умовно розділений на кілька стадій:
1. Проникнення на комп'ютер
2. Активація вірусу
3. Пошук об'єктів для зараження
4. Підготовка вірусних копій
5. Впровадження вірусних копій
Особливості реалізації кожної стадії породжують атрибути, набір яких фактично й визначає клас вірусу.
Проникнення
Віруси проникають на комп'ютер разом із зараженими файлами або іншими об'єктами (завантажувальними секторами дискет), ніяк, на відміну від хробаків, не впливаючи на процес проникнення. Отже, можливості проникнення повністю визначаються можливостями зараження й класифікувати віруси по цих стадіях життєвого циклу окремо змісту немає.
Активація
Для активації вірусу необхідно, щоб заражений об'єкт одержав керування. На даній стадії розподіл вірусів відбувається по типах об'єктів, які можуть бути заражені:
1. Завантажувальні віруси - віруси, що заражають завантажувальні сектори постійних і змінних носіїв. Приклади. Шкідлива програма Virus.Boot.Snow.a записує свій код в MBR жорсткого диска або в завантажувальні сектори дискет. При цьому оригінальні завантажувальні сектори шифруються вірусом. Після одержання керування вірус залишається в пам'яті комп'ютера (резидентність) і перехоплює переривання INT 10h, 1Ch й 13h. Іноді вірус проявляє себе візуальним ефектом - на екрані комп'ютера починає падати сніг.
Інший завантажувальний вірус Virus.Boot.DiskFiller також заражає MBR вінчестера або завантажувальні сектори дискет, залишається в пам'яті й перехоплює переривання - INT 13h, 1Ch й 21h. При цьому, заражаючи дискети, вірус форматує додаткову доріжку з номером 40 або 80 (залежно від обсягу дискети він може мати 40 або 80 доріжок з номерами 0-39 або 0-79 відповідно). Саме на цю нестандартну доріжку поза полем звичайної видимості вірус записує свій код, додаючи в завантажувальний сектор лише невеликий фрагмент - головну частину вірусу. При зараженні вінчестера Virus.Boot.DiskFiller розташовує свій код безпосередньо за MBR, а в самому MBR міняє посилання на активний завантажувальний сектор, указуючи адресу сектора де він розташований.