Видове вируси и техните действия
Day 2,805, 02:06
•
Published in Bulgaria 
•
by
•
by NikolSK
Видове вируси и техните действия
Компютърният вирус е програма, която се размножава и разпространява като атакува други програми. Това се извършва без знанието и разрешението на потребителя. Компютърният вирус е програма, която е създадена с възможност да се размножава сама като заразява други файлове. Когато става дума за буут сектор (boot sector) вируси, тогава е заразен сектора за първоначално зареждане на операционната система на флопи или твърдия диск. Въпреки, че основната функция, която определя вирусите, е това, че се размножават, повечето от тях са опасни, тъй като съдържат код, който поврежда информацията в компютъра. Първият компютърен вирус е бил открит през 1986 г. и оттогава до сега в света са регистрирани няколко десетки хиляди вируса. В повечето случаи само малка част от тях са активни и опасни, тъй като съвремените антивирусни програми до голяма степен предпазват потребителите от новите компютърни вируси, като предлагат комбинирана защита от Интернет червеи, вируси и троянски коне.
Когато инфектираната програма е стартирана, вирусът извършва действие, което може да бъде:
1. Дразнещо – показване на съобщение на определена дата, забавена производителност на системата, промяна на резолюцията на екрана, издаване на странни звуци и др.
2. Фатално – изтриване на файлове, кражба на лични данни, сриване на системата и др.
Зловредният софтуер се разпространява чрез прикрепени към имейли файлове; чрез P2P, LAN, WAN мрежи; чрез линкове към инфектирани сайтове, файлове и др.
Не всички зловредни програми са вируси. Ето някои по-известни:
I.
1. Червеи – Червеят е програма, която се размножава, но не инфектира други програми. Той заразява компютри независимо дали са част от мрежа или не. Червеят се копира от и на флопи дискети, CD, DVD, Blu-Ray и "флашки", както и на различни дялове на хард диска. Ако заразеният компютър е част от мрежа, той може да инфектира и другите компютри в нея. Червеите често крадат и унищожават данни и се разпространяват основно чрез Интернет. За разлика от вирусите, компютърните червеи са злонамерени програми, които сами се копират от една система в друга, вместо да заразяват файловете, разположени в компютъра. Например червей, който се разпоространява масово по електронната поща (mass-mailing email worm) изпраща копия до всички адреси за електронна поща, които може да открие записани в заразения компютър. Мрежовият червей се копира и разпространява по мрежата, Интернет червея се разпространява чрез Интернет и т.н. За да се предпазите от този вид вируси е необходимо никога да не отваряте прикачени файлове, които получавате неочаквано.
2. Троянски коне – Троянският кон е зловредна програма, която е скрита в безобидна такава. Когато тази програма бъде стартирана, се стартира и троянският кон, за да изпълни определена задача. Троянските коне могат да откраднат лична информация (пароли, потребителски имена), да изтрият файлове, да форматират твърдия диск и др. Троянският кон може да е наскиран като програма, която се инсталира, за да върши нещо напълно нормално (напр. да изпълнява mp3 музика, но всъщност прави нещо злонамерено (напр. изпраща номерата на въведените кредитни карти на зададен email адрес). Троянците, често са използвани, за да се получи таен достъп до системата, на която са инсталирани, т.е. някой отдалечено да контролира компютъра Ви. Троянските коне не се размножават като вирусите и не се разпространяват като червеите. За разлика от компютърните вируси, на троянските коне не е нужна програма-домакин, те самите са самостоятелно приложение. Веднъж изпълнени, те изкривяват нужните им системни функции към свои собствени handler-и. Забавят локалния компютър и имат всички странични ефекти и проявления на вирусите. Проблемът при тях идва, ако компютърът е включен в мрежа от локален или глобален тип. Има троянски коне, които отварят специална мрежова услуга, която може да се използва от недобросъвестни потребители за достъп до машината от разстояние. В зависимост от хардуерните възможности на системата и софтуерните възможности на троянския кон е възможно дори подслушване на разговорите и запис на обстановката в реално време на мястото, на което се намира компютъра. Често срещана е и комбинация на троянски кон и вирус, поради което антивирусните програми сканират и за този вид програми.
3. Droppers (контейнери) – "Контейнерът" е такава програма, която е създадена да преодолее антивирусната защита на компютъра - обикновено чрез криптиране, което пречи на антивирусната програма да го засече. Тя се спотайва в компютъра до настъпването на определено събитие и тогава го инфектира с вируса, който съдържа, т.е. тя действа като „контейнер за вируси". Оттам идва и наименованието й.
4. Бомби – Бомбата е вреден скрипт или програма, която се задейства при изпълнението на определени условия. Някои бомби се активират на определени дати като използват системния часовник. Например, бомбата може да бъде програмирана да изтрие всички *.doc файлове на Нова година. Друга бомба може да изчака да бъде отворена за 17 път и тогава да се задейства. Логическите бомби са специален вид троянски коне, които се активират в точно или приблизително определен момент от време или изпълнението на някакво външно условие.
Вирусите могат да се разпространяват чрез „контейнери" или да се размножават като червеите. Могат да атакуват като троянските коне, като се прикачат към други програми. Затова те са и най-опасни.
II.
Вирусите се делят на няколко вида:
1. Boot секторен вирус – Този тип вируси инфектира boot записа на хард диска. Отначало той премества или презаписва оригиналния boot запис като го заменя с инфектиран. Преместеният оригинален запис се записва в сектор, който вирусът маркира като повреден, за да не се използва повече (антивирусните приложения няма да го сканират, защото е повреден). За да се заразите с такъв вирус трябва да стартирате компютъра си от инфектирана дискета, CD, DVD, Blu-Ray, флашка или друг носител на данни. При проверка на boot сектора, вирусът заблуждава антивирусната програма като я насочва да сканира чистото копие вместо заразеното. Този вид вируси се активират след когато системния loader прочете boot сектора от външната памет и го изпълни. При опит за конвенционален достъп до boot сектора често се прилагат stealth техники и операцията бива пренасочена към предварително запазения оригинален boot record. Към boot секторните вируси спадат и Partition table (MBR) вирусите. Разпространяват се само по твърдите дискове.
2. Файлов вирус – Това е един от най-разпространените видове вируси. Тези вируси търсят файлове с определено разширение (обикновено изпълними файлове като *.com и *.exe) и ги инфектират. Когато програмата бъде отворена, вирусът се стартира и инфектира още файлове. Тези вируси се нуждаят от програми домакини. Подобно на биологичните вируси, които се размножават в определени клетки домакини, тези вируси могат да съществуват само в така наречения host-софтуер. За тази цел те използват стартируемите файлове. В отделни случаи, според операционната система, ролята на домакин може да играят overlay и рядко swap файлове. Файловете с данни се нападат от малко вируси. Наред с изброените файлови вируси съществува и голямо количество от други файлови вирусни видове. Те също са смесени форми и се срещат доста по-рядко.
* Compiler и Link вируси - Те използват друг метод за манипулация. Докато досега изброените видове нападаха само изпълними файлове, то тези нападат source кода. Затова и те са специализирани за точно определен програмен език и версия. Обикновено се гнездят в някоя от файловите библиотеки и при свързването се сглобява с останалите модули. Отстраняват се лесно, поради това, че се намира в отключен source код.
* Source вируси – в същността си са идентични със compiler и link вирусите, но за разлика от тях се мултиплицират единствено и само директно в source кода на програмата. Поради същността си са приложими само за интерпретативните езици като Lisp, Prolog, XL…
* XP и AI вируси – Хипотетичното им откриване става още през 1987. Свързани са с експертните системи от високо ниво и изкуствения интелект. Става дума за софтуер, който решава поставените му задачи не на основата на програмни процедури, а на база знания и логически механизъм за извличане на информация. В рамките на тези системи се приемат така наречените метаправила, които не оперират с помощта на файлове. Някои правила са в състояние да модифицират синтактично други правила. При определени обстоятелства може да се активира вирусен механизъм, който да прикачи своя вирулентен код към други правила. Този вид вируси не могат да повредят файловата система или да повлияят на хардуера на компютъра, но могат да изменят резултата, който експертната система връща, като по този начин да повлияе съдбоносно в определени ситуации.
3. Макро вируси - Тези вируси използват специални програми и поддържаните от тях файлове, за да се размножават. Макро вирусите обикновено заразяват файлове на MS Excel, но могат да инфектират и други файлове, които използват програмен език. Те не инфектират програми. Когато бъде отворен заразен документ, вирусът се разпространява и на други документи. Макро вирусите могат да нанесат големи поражения на документите, които се съдържат в заразения компютър. Неприятното е, че могат да се разпространяват между различни операционни системи. Макро вирусите са написани на езици за програмиране (например VisualBasic, които се поддържат от някои продукти като Microsoft Excel и Microsoft Word. Макросите са малки програмки, които са включени в даден документ, за да извършват автоматично някои действия за потребителя (например бързо пресмятане на дадена формула по зададени стойности) . Макро вирусите са често срещана форма на вирусна зараза, която е надмината само от Интернет червеите, поради по-лесното им разпространение. Както при всеки друг вирус, и при макро вирусите има голяма опасност от загуба на данни. Въпреки, че досега Microsoft са въвели няколко форми на защита срещу нежелано изпълнение на макроси, тази форма на вируси е масово разпространена. Най-често макро вирусите заразяват така наречения "глобален шаблон" (global template - например Normal.dot в Word, за да се разпространят във всички други документи в компютъра.
4. Полиморфични вируси - Тези вируси променят своя код с всяка инфекция, което ги прави трудни за засичане.
5. Мулти-полиморфични вируси - Те инфектират boot записи и изпълними файлове. Тези вируси могат да комбинират предимствата на полиморфичните и стелт вирусите.
6. Стелт вируси - Лесно избягват сканиранията на антивирусните програми (чрез криптиране на програмния си код или се крият в паметта) и им пречат да открият промените в заразените от тях файлове, като им предоставят стари данни за същите файлове. Това ги прави трудни за засичане. Тези вируси притежават някои специални техники за прикриване, което прави откриването им доста сложно. Някои вируси от този вид се разпространяват най-напред в компютърната система и по-късно се отдалечават самостоятелно, за да заразят нови програми. Други типове се репродуцират до един майчин вирус, за да могат след това да се активират. Стига се до създаването на вирусни семейства, елементите на които поединично не застрашават системата, но събрани заедно изграждат вируса-майка. Почти винаги кода на stealth вирусите е алгоритмично заключен, като шифърът се променя при всяка мултипликация на вирусния код. В допълнение на това, някои резидентни stealth вируси употребяват защитни техники, които правят невъзможно конвенционалното търсене, като проверка на контролните суми. Те могат да се снемат от оперативната памет.
7. Презаписващи вируси - Това е най-простата форма на вирус. При тях първоначалната програма или част от нея се презаписват от вируса. По този начин се разрушава оригиналната функция на програмата. От гледна точка на автора на вируса това е недостатък, тъй като заразяването се открива твърде бързо. Така вирусите се откриват лесно и се изолират. Има обаче програми, които въпреки презаписването работят безупречно. Това се постига, като вирусът записва своя код не в началото на програмата домакин, а в малко употребявани части, например в подпрограмите за обработка на грешките. В този случай обаче вирусът трябва да познава точно заразяваната програма, което при стандартния софтуер не е проблем.
8. Не презаписващи вируси - В противоположност на презаписващите вируси, при не презаписващите функцията на оригиналната програма остава запазена. Най-често кодът се прилепя към края на програмата. В случаите, когато вирус от този вид се копира в средата на програмата, първоначалната част на програмата домакин се копира в края. Всичко това се свързва със старата част посредством команди за преход. След инфекцията се създава нов изпълним файл. При него най-напред се изпълнява вирусния код и чак тогава - същинската програма.
9. Системни вируси - Системните вируси са особено коварни, тъй като се настаняват в паметта още при зареждането на операционната система. По този начин те имат възможност да прилагат въздействието си върху всички действия на операционната система.
10. Live-and-Die и Seek-and-Hide вируси - Тук става дума за вирусни програми, които се задържат определено време в дадена програма или система и от време на време напускат нападнатия софтуер. Това ги прави особено коварни и трудни за откриване, но един път локализирани и проучени те се отстраняват лесно.
11. Вируси, нападащи командния интерпретатор - Тези вируси нападат програмата, която се грижи за потребителския интерфейс към операционната система. Тази част се нарича команден интерпретатор и служи за анализиране на въведените от потребителя команди и стартира съответните handler функции и процедури. Потребителя нормално няма възможност за контрол над приложенията преди зареждането на shell-а и следователно вирусът вече е зареден и има възможност да се прикрие. Затова при чистенето на този вид вируси е от изключителна важност да се разполага с гарантирано чисто копие на операционната система, под която работи компютъра.
12. Драйверни вируси - Този тип вируси използват кода на драйверните програми за периферните устройства, за да се разпространяват оттам и върху други файлове. Те нямат разлика с обикновените файлови вируси и затова специално разграничение не е необходимо.
13. Mailbox вируси - Този вид вируси имат изграден афинитет към мрежовите daemon-и, по-специално към тези, отговарящи за електронната поща. Веднъж заразени, всяка програма пренесена през тях бива заразена и чак тогава се пренася по трасето. Трябва да се обърне внимание на това, че се заразява както изходния, така - и входния трафик.
III.
1. Armored ("бронирани")
Тези вируси разполагат със сложни техники за прикриване като шифриране и преместване на вирусния код, за да се избегне откриването и премахването им.
2. Boot - sector infector (BSI)
Тези вируси инфектират сектора за начално зареждане на дискове. Вируси, които заразяват главния запис за начално зареждане (Master Boot Record - MBR), може да инфектират сектора за зареждане на дискети. Ефективното премахване на вируси BSI се осъществява с форматирането на заразения диск. Вируси на MBR не може да бъдат премахнати с форматиране на диска. Boot sector вирусите се разпространяват чрез заразени флопи-дискове. Това обикновено се случва, когато потребителя остави дискета във флопи-дисковото устройство. Когато системата се стартира следващия път, компютърът се опитва първо да зареди от флопито. Ако дискетата е заразена с boot sector вирус, то той ще се запише в boot sector-а на твърдия диск. За да предпазите компютъра си от boot sector вируси, е добре да промените настройките в CMOS така, че да позволяват зареждане на операционната система само от твърдия диск - C
3. Encrypting (шифрирани)
Някои вируси използват шифриране на данни или само шифриране, както се забелязва при полиморфните вируси. Вирусът Monkey заразява основния запис за начално зареждане на твърди дискове и шифрира данните за дялове (partition) на устройството. Файловете на това устройство може да бъдат разглеждани само когато вирусът е зареден в паметта , за да дешифрира данните на твърдия диск. Премахването на вируса Monkey отстранява и възможността за разчитане на шифрирани данни за разпределяне на диска., което на практика изтрива съдържанието на устройството. Вируси като Monkey трябва да се отстраняват с помощта на специални инструменти и техники.
4. File (файлови)
Този тип вируси инфектират файлове например изпълними (.exe) програми или документи (.doc) на Microsoft Word. Когато бъде отворен заразен файл или е стартирана заразена програма, вирусът се изпълнява заедно с инструкциите в съответния файл. "Заразите" на документите на Microsoft Word са познати като "макро вируси". Определени типове файлове като например изображения (JPEG, GIF) или филми (MPEG) не са изпълними и не може да пренасят зараза. Но, от друга страна, някои вируси се маскират като такива "безопасни" файлове, например - JPEG, за да проникват безпрепятствено в системата. Файловите вируси заразяват изпълними файлове, чрез вмъкване на код в някои части на оригиналния файл така, че този код да може да се изпълнява, когато някой се обърне към оригиналния файл. В някои случаи файловите вируси могат да надпишат цял файл или да изтрият оригинала и да създадат вирусно копие със същото име. Файловите вируси винаги имат за своя цел операционната система (Windows, UNIX, Macintosh, DOS и др.). Надписването на цели файлове води до пълна и невъзвратима загуба на оригиналните данни.
5. Macro (макро вируси)
Макро вирусите може да се изпълняват само в програми, които поддържат макроси. Microsoft Word и Microsoft Excel са най - често използваните програми за заразяване с макро вируси, създавани на Visual Basic for Applications или WordBasic. От появата на първия макро вирус през 1995 г. - Concept, макро вирусите започват стремително разпространение. Днес те са преобладаващия тип вируси "на свобода".
6. Master Boot Record (MBR)
Всички твърди дискове съдържат главен запис за начално зареждане (Master Boot Record - MBR), към който се обръща компютърът при стартиране. MBR вирусите заразяват този запис на твърдия диск с вирусен код, когато системата зареди от заразена дискета. Често срещан начин на заразяване е когато потребителят забрави заразена дискета във флопидисковото устройство при изключване на компютърът. Следващия път, когато включи компютъра, той се опитва да зареди операционната система от дискетата, като заразява твърдия диск с вируса MBR.
Компютърният вирус е програма, която се размножава и разпространява като атакува други програми. Това се извършва без знанието и разрешението на потребителя. Компютърният вирус е програма, която е създадена с възможност да се размножава сама като заразява други файлове. Когато става дума за буут сектор (boot sector) вируси, тогава е заразен сектора за първоначално зареждане на операционната система на флопи или твърдия диск. Въпреки, че основната функция, която определя вирусите, е това, че се размножават, повечето от тях са опасни, тъй като съдържат код, който поврежда информацията в компютъра. Първият компютърен вирус е бил открит през 1986 г. и оттогава до сега в света са регистрирани няколко десетки хиляди вируса. В повечето случаи само малка част от тях са активни и опасни, тъй като съвремените антивирусни програми до голяма степен предпазват потребителите от новите компютърни вируси, като предлагат комбинирана защита от Интернет червеи, вируси и троянски коне.
Когато инфектираната програма е стартирана, вирусът извършва действие, което може да бъде:
1. Дразнещо – показване на съобщение на определена дата, забавена производителност на системата, промяна на резолюцията на екрана, издаване на странни звуци и др.
2. Фатално – изтриване на файлове, кражба на лични данни, сриване на системата и др.
Зловредният софтуер се разпространява чрез прикрепени към имейли файлове; чрез P2P, LAN, WAN мрежи; чрез линкове към инфектирани сайтове, файлове и др.
Не всички зловредни програми са вируси. Ето някои по-известни:
I.
1. Червеи – Червеят е програма, която се размножава, но не инфектира други програми. Той заразява компютри независимо дали са част от мрежа или не. Червеят се копира от и на флопи дискети, CD, DVD, Blu-Ray и "флашки", както и на различни дялове на хард диска. Ако заразеният компютър е част от мрежа, той може да инфектира и другите компютри в нея. Червеите често крадат и унищожават данни и се разпространяват основно чрез Интернет. За разлика от вирусите, компютърните червеи са злонамерени програми, които сами се копират от една система в друга, вместо да заразяват файловете, разположени в компютъра. Например червей, който се разпоространява масово по електронната поща (mass-mailing email worm) изпраща копия до всички адреси за електронна поща, които може да открие записани в заразения компютър. Мрежовият червей се копира и разпространява по мрежата, Интернет червея се разпространява чрез Интернет и т.н. За да се предпазите от този вид вируси е необходимо никога да не отваряте прикачени файлове, които получавате неочаквано.
2. Троянски коне – Троянският кон е зловредна програма, която е скрита в безобидна такава. Когато тази програма бъде стартирана, се стартира и троянският кон, за да изпълни определена задача. Троянските коне могат да откраднат лична информация (пароли, потребителски имена), да изтрият файлове, да форматират твърдия диск и др. Троянският кон може да е наскиран като програма, която се инсталира, за да върши нещо напълно нормално (напр. да изпълнява mp3 музика, но всъщност прави нещо злонамерено (напр. изпраща номерата на въведените кредитни карти на зададен email адрес). Троянците, често са използвани, за да се получи таен достъп до системата, на която са инсталирани, т.е. някой отдалечено да контролира компютъра Ви. Троянските коне не се размножават като вирусите и не се разпространяват като червеите. За разлика от компютърните вируси, на троянските коне не е нужна програма-домакин, те самите са самостоятелно приложение. Веднъж изпълнени, те изкривяват нужните им системни функции към свои собствени handler-и. Забавят локалния компютър и имат всички странични ефекти и проявления на вирусите. Проблемът при тях идва, ако компютърът е включен в мрежа от локален или глобален тип. Има троянски коне, които отварят специална мрежова услуга, която може да се използва от недобросъвестни потребители за достъп до машината от разстояние. В зависимост от хардуерните възможности на системата и софтуерните възможности на троянския кон е възможно дори подслушване на разговорите и запис на обстановката в реално време на мястото, на което се намира компютъра. Често срещана е и комбинация на троянски кон и вирус, поради което антивирусните програми сканират и за този вид програми.
3. Droppers (контейнери) – "Контейнерът" е такава програма, която е създадена да преодолее антивирусната защита на компютъра - обикновено чрез криптиране, което пречи на антивирусната програма да го засече. Тя се спотайва в компютъра до настъпването на определено събитие и тогава го инфектира с вируса, който съдържа, т.е. тя действа като „контейнер за вируси". Оттам идва и наименованието й.
4. Бомби – Бомбата е вреден скрипт или програма, която се задейства при изпълнението на определени условия. Някои бомби се активират на определени дати като използват системния часовник. Например, бомбата може да бъде програмирана да изтрие всички *.doc файлове на Нова година. Друга бомба може да изчака да бъде отворена за 17 път и тогава да се задейства. Логическите бомби са специален вид троянски коне, които се активират в точно или приблизително определен момент от време или изпълнението на някакво външно условие.
Вирусите могат да се разпространяват чрез „контейнери" или да се размножават като червеите. Могат да атакуват като троянските коне, като се прикачат към други програми. Затова те са и най-опасни.
II.
Вирусите се делят на няколко вида:
1. Boot секторен вирус – Този тип вируси инфектира boot записа на хард диска. Отначало той премества или презаписва оригиналния boot запис като го заменя с инфектиран. Преместеният оригинален запис се записва в сектор, който вирусът маркира като повреден, за да не се използва повече (антивирусните приложения няма да го сканират, защото е повреден). За да се заразите с такъв вирус трябва да стартирате компютъра си от инфектирана дискета, CD, DVD, Blu-Ray, флашка или друг носител на данни. При проверка на boot сектора, вирусът заблуждава антивирусната програма като я насочва да сканира чистото копие вместо заразеното. Този вид вируси се активират след когато системния loader прочете boot сектора от външната памет и го изпълни. При опит за конвенционален достъп до boot сектора често се прилагат stealth техники и операцията бива пренасочена към предварително запазения оригинален boot record. Към boot секторните вируси спадат и Partition table (MBR) вирусите. Разпространяват се само по твърдите дискове.
2. Файлов вирус – Това е един от най-разпространените видове вируси. Тези вируси търсят файлове с определено разширение (обикновено изпълними файлове като *.com и *.exe) и ги инфектират. Когато програмата бъде отворена, вирусът се стартира и инфектира още файлове. Тези вируси се нуждаят от програми домакини. Подобно на биологичните вируси, които се размножават в определени клетки домакини, тези вируси могат да съществуват само в така наречения host-софтуер. За тази цел те използват стартируемите файлове. В отделни случаи, според операционната система, ролята на домакин може да играят overlay и рядко swap файлове. Файловете с данни се нападат от малко вируси. Наред с изброените файлови вируси съществува и голямо количество от други файлови вирусни видове. Те също са смесени форми и се срещат доста по-рядко.
* Compiler и Link вируси - Те използват друг метод за манипулация. Докато досега изброените видове нападаха само изпълними файлове, то тези нападат source кода. Затова и те са специализирани за точно определен програмен език и версия. Обикновено се гнездят в някоя от файловите библиотеки и при свързването се сглобява с останалите модули. Отстраняват се лесно, поради това, че се намира в отключен source код.
* Source вируси – в същността си са идентични със compiler и link вирусите, но за разлика от тях се мултиплицират единствено и само директно в source кода на програмата. Поради същността си са приложими само за интерпретативните езици като Lisp, Prolog, XL…
* XP и AI вируси – Хипотетичното им откриване става още през 1987. Свързани са с експертните системи от високо ниво и изкуствения интелект. Става дума за софтуер, който решава поставените му задачи не на основата на програмни процедури, а на база знания и логически механизъм за извличане на информация. В рамките на тези системи се приемат така наречените метаправила, които не оперират с помощта на файлове. Някои правила са в състояние да модифицират синтактично други правила. При определени обстоятелства може да се активира вирусен механизъм, който да прикачи своя вирулентен код към други правила. Този вид вируси не могат да повредят файловата система или да повлияят на хардуера на компютъра, но могат да изменят резултата, който експертната система връща, като по този начин да повлияе съдбоносно в определени ситуации.
3. Макро вируси - Тези вируси използват специални програми и поддържаните от тях файлове, за да се размножават. Макро вирусите обикновено заразяват файлове на MS Excel, но могат да инфектират и други файлове, които използват програмен език. Те не инфектират програми. Когато бъде отворен заразен документ, вирусът се разпространява и на други документи. Макро вирусите могат да нанесат големи поражения на документите, които се съдържат в заразения компютър. Неприятното е, че могат да се разпространяват между различни операционни системи. Макро вирусите са написани на езици за програмиране (например VisualBasic, които се поддържат от някои продукти като Microsoft Excel и Microsoft Word. Макросите са малки програмки, които са включени в даден документ, за да извършват автоматично някои действия за потребителя (например бързо пресмятане на дадена формула по зададени стойности) . Макро вирусите са често срещана форма на вирусна зараза, която е надмината само от Интернет червеите, поради по-лесното им разпространение. Както при всеки друг вирус, и при макро вирусите има голяма опасност от загуба на данни. Въпреки, че досега Microsoft са въвели няколко форми на защита срещу нежелано изпълнение на макроси, тази форма на вируси е масово разпространена. Най-често макро вирусите заразяват така наречения "глобален шаблон" (global template - например Normal.dot в Word, за да се разпространят във всички други документи в компютъра.
4. Полиморфични вируси - Тези вируси променят своя код с всяка инфекция, което ги прави трудни за засичане.
5. Мулти-полиморфични вируси - Те инфектират boot записи и изпълними файлове. Тези вируси могат да комбинират предимствата на полиморфичните и стелт вирусите.
6. Стелт вируси - Лесно избягват сканиранията на антивирусните програми (чрез криптиране на програмния си код или се крият в паметта) и им пречат да открият промените в заразените от тях файлове, като им предоставят стари данни за същите файлове. Това ги прави трудни за засичане. Тези вируси притежават някои специални техники за прикриване, което прави откриването им доста сложно. Някои вируси от този вид се разпространяват най-напред в компютърната система и по-късно се отдалечават самостоятелно, за да заразят нови програми. Други типове се репродуцират до един майчин вирус, за да могат след това да се активират. Стига се до създаването на вирусни семейства, елементите на които поединично не застрашават системата, но събрани заедно изграждат вируса-майка. Почти винаги кода на stealth вирусите е алгоритмично заключен, като шифърът се променя при всяка мултипликация на вирусния код. В допълнение на това, някои резидентни stealth вируси употребяват защитни техники, които правят невъзможно конвенционалното търсене, като проверка на контролните суми. Те могат да се снемат от оперативната памет.
7. Презаписващи вируси - Това е най-простата форма на вирус. При тях първоначалната програма или част от нея се презаписват от вируса. По този начин се разрушава оригиналната функция на програмата. От гледна точка на автора на вируса това е недостатък, тъй като заразяването се открива твърде бързо. Така вирусите се откриват лесно и се изолират. Има обаче програми, които въпреки презаписването работят безупречно. Това се постига, като вирусът записва своя код не в началото на програмата домакин, а в малко употребявани части, например в подпрограмите за обработка на грешките. В този случай обаче вирусът трябва да познава точно заразяваната програма, което при стандартния софтуер не е проблем.
8. Не презаписващи вируси - В противоположност на презаписващите вируси, при не презаписващите функцията на оригиналната програма остава запазена. Най-често кодът се прилепя към края на програмата. В случаите, когато вирус от този вид се копира в средата на програмата, първоначалната част на програмата домакин се копира в края. Всичко това се свързва със старата част посредством команди за преход. След инфекцията се създава нов изпълним файл. При него най-напред се изпълнява вирусния код и чак тогава - същинската програма.
9. Системни вируси - Системните вируси са особено коварни, тъй като се настаняват в паметта още при зареждането на операционната система. По този начин те имат възможност да прилагат въздействието си върху всички действия на операционната система.
10. Live-and-Die и Seek-and-Hide вируси - Тук става дума за вирусни програми, които се задържат определено време в дадена програма или система и от време на време напускат нападнатия софтуер. Това ги прави особено коварни и трудни за откриване, но един път локализирани и проучени те се отстраняват лесно.
11. Вируси, нападащи командния интерпретатор - Тези вируси нападат програмата, която се грижи за потребителския интерфейс към операционната система. Тази част се нарича команден интерпретатор и служи за анализиране на въведените от потребителя команди и стартира съответните handler функции и процедури. Потребителя нормално няма възможност за контрол над приложенията преди зареждането на shell-а и следователно вирусът вече е зареден и има възможност да се прикрие. Затова при чистенето на този вид вируси е от изключителна важност да се разполага с гарантирано чисто копие на операционната система, под която работи компютъра.
12. Драйверни вируси - Този тип вируси използват кода на драйверните програми за периферните устройства, за да се разпространяват оттам и върху други файлове. Те нямат разлика с обикновените файлови вируси и затова специално разграничение не е необходимо.
13. Mailbox вируси - Този вид вируси имат изграден афинитет към мрежовите daemon-и, по-специално към тези, отговарящи за електронната поща. Веднъж заразени, всяка програма пренесена през тях бива заразена и чак тогава се пренася по трасето. Трябва да се обърне внимание на това, че се заразява както изходния, така - и входния трафик.
III.
1. Armored ("бронирани")
Тези вируси разполагат със сложни техники за прикриване като шифриране и преместване на вирусния код, за да се избегне откриването и премахването им.
2. Boot - sector infector (BSI)
Тези вируси инфектират сектора за начално зареждане на дискове. Вируси, които заразяват главния запис за начално зареждане (Master Boot Record - MBR), може да инфектират сектора за зареждане на дискети. Ефективното премахване на вируси BSI се осъществява с форматирането на заразения диск. Вируси на MBR не може да бъдат премахнати с форматиране на диска. Boot sector вирусите се разпространяват чрез заразени флопи-дискове. Това обикновено се случва, когато потребителя остави дискета във флопи-дисковото устройство. Когато системата се стартира следващия път, компютърът се опитва първо да зареди от флопито. Ако дискетата е заразена с boot sector вирус, то той ще се запише в boot sector-а на твърдия диск. За да предпазите компютъра си от boot sector вируси, е добре да промените настройките в CMOS така, че да позволяват зареждане на операционната система само от твърдия диск - C
😕, но не и от флопито - A
😕.
3. Encrypting (шифрирани)
Някои вируси използват шифриране на данни или само шифриране, както се забелязва при полиморфните вируси. Вирусът Monkey заразява основния запис за начално зареждане на твърди дискове и шифрира данните за дялове (partition) на устройството. Файловете на това устройство може да бъдат разглеждани само когато вирусът е зареден в паметта , за да дешифрира данните на твърдия диск. Премахването на вируса Monkey отстранява и възможността за разчитане на шифрирани данни за разпределяне на диска., което на практика изтрива съдържанието на устройството. Вируси като Monkey трябва да се отстраняват с помощта на специални инструменти и техники.
4. File (файлови)
Този тип вируси инфектират файлове например изпълними (.exe) програми или документи (.doc) на Microsoft Word. Когато бъде отворен заразен файл или е стартирана заразена програма, вирусът се изпълнява заедно с инструкциите в съответния файл. "Заразите" на документите на Microsoft Word са познати като "макро вируси". Определени типове файлове като например изображения (JPEG, GIF) или филми (MPEG) не са изпълними и не може да пренасят зараза. Но, от друга страна, някои вируси се маскират като такива "безопасни" файлове, например - JPEG, за да проникват безпрепятствено в системата. Файловите вируси заразяват изпълними файлове, чрез вмъкване на код в някои части на оригиналния файл така, че този код да може да се изпълнява, когато някой се обърне към оригиналния файл. В някои случаи файловите вируси могат да надпишат цял файл или да изтрият оригинала и да създадат вирусно копие със същото име. Файловите вируси винаги имат за своя цел операционната система (Windows, UNIX, Macintosh, DOS и др.). Надписването на цели файлове води до пълна и невъзвратима загуба на оригиналните данни.
5. Macro (макро вируси)
Макро вирусите може да се изпълняват само в програми, които поддържат макроси. Microsoft Word и Microsoft Excel са най - често използваните програми за заразяване с макро вируси, създавани на Visual Basic for Applications или WordBasic. От появата на първия макро вирус през 1995 г. - Concept, макро вирусите започват стремително разпространение. Днес те са преобладаващия тип вируси "на свобода".
6. Master Boot Record (MBR)
Всички твърди дискове съдържат главен запис за начално зареждане (Master Boot Record - MBR), към който се обръща компютърът при стартиране. MBR вирусите заразяват този запис на твърдия диск с вирусен код, когато системата зареди от заразена дискета. Често срещан начин на заразяване е когато потребителят забрави заразена дискета във флопидисковото устройство при изключване на компютърът. Следващия път, когато включи компютъра, той се опитва да зареди операционната система от дискетата, като заразява твърдия диск с вируса MBR.
Facebook
Twitter
Discord
Comments
Видове вируси и техните действия
http://www.erepublik.com/bg/article/-1344-2540726/1/20
Добър труд и статия!
Радвам се, че не ползвам Виндоус 🙂
има и грипни вируси о.О
сифилиса от кой вид е
родствен на проказата , колкото и да е странно
▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄▼ ◄ ▲ ► ▼ ◄ ▲ ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄▼ ◄ ▲ ► ▼ ◄ ▲ ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄▼ ◄ ▲ ► ▼ ◄ ▲ ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ► ▼ ◄ ▲ ▼ ◄ ▲ ► ▼ ◄ ▲ ► Нещо такова.
някой да има дискета с вирус
ма работещо флопи
и дъно с конектор за флопи със съответните проц и рам
ще си правя машина на времето 🙂
http://prikachi.com/images/237/8247237G.jpg
http://prikachi.com/images/240/8247240o.jpg
сигурен съм, че има вирус вътре!
уреждай другите чаркове и да заразим някой
хахахa 100 %
[removed]
При мен фейсбук автоматично кани приятели. Вирус ли е и как се маха?
Това е скрипт , който ти си приел по един или друг начин. Може да е добавка към браузъра , изтрий си бисквитките и провери разширенията на твоя браузър , за излишни приложения.
КАНИ приятели или ти предлага?
Кани от мое име
тва е СОЦИАЛЕН ВИРУС
нов модел 🙂
Модифицирай го да избира само женки и да им предлага секс на адреса на който живееш и ще станеш първият човек умрял от изтощение вследствие на компютърен вирус 🙂
Ба маа му, да се чудя как бях 1 година без антивирусна и нямах 1 вирус през цялото време
имал си
ма няма как да разбереш като си виреят свободно 🙂
Мдаааа, полезно инфо! А от тез гадинки, явно спасение няма, между впрочем както от всички други. Нека си щъкат 🙂
o7
Хубава статия! Ще направиш ли и такава за различните нежелани туулбарове, адд-он добавки, търсачки и екстенжъни към браузърите? По лични наблюдения, колегите в офиса, които не знаят какво правят или не внимават, хващат по-често такива, отколкото вируси в истинския списък на думата. Някои са просто досадни и пълни с реклами, но други крадат пароли и лична информация!
Чистенето на повечето такива е досадно и изисква ровене в настройките, но последните два, на които попадах, се бяха синхронизирали с гугъл/файърфокс акаунтите и се инсталираха автоматично дори и при чиста нова инсталация. Друг пък беше копирал активационен скрипт в систем32 и се стартираше автоматично с браузъра
Може да се каже, че те са подвид на троянските магарета, обаче са твърде често срещани и може да се спреш на тях 🙂
Имам подобна статия тук : http://www.erepublik.com/bg/article/-ii1-2522800/1/20 за изскачащи прозорци и реклами , но мога да направя една и за управление на търсачките и настройки към тях
От цялото многообразие от вируси си пропуснал едни от най-коварните видове които буквално могат да те иэнервят до такава степен че да си изхвърлиш машината на боклука. Те имат варианти на стелт с MBR със заразяване на системната dll библиотека и запис в BIOS-а. Това са BIOS-вируси. При тях дори и харда да смениш пак си оставаш заразен. Ще трябва да бутваш от защитена флашка или CD и да презапишеш BIOS-а.
Иначе о7 за статията.
Добре се е получила.
о7
77/591 bravo