Virușii de rețea reprezintă un pericol extrem rețele localeși internetul inclusiv. Virușii care pătrund într-un computer prin intermediul unei rețele pot provoca mai mult decât doar daune Informații importante, dar și sistemul în sine ca întreg. Virușii de rețea folosesc capabilitățile și protocoalele rețelelor globale și locale pentru a se răspândi. Cel mai important principiu de funcționare a unui astfel de virus este oportunitate unică transmite codul fără ajutor din exterior către o stație de lucru sau un server la distanță. Majoritatea virușilor de rețea, pe lângă capacitatea de a pătrunde în mod independent într-o rețea pe computere la distanță, își pot lansa și codul programului pentru a fi executat acolo sau, în unele cazuri, „împinge” puțin utilizatorul, astfel încât să ruleze un fișier infectat.

Mulți oameni cred că absolut orice virus care se răspândește într-o rețea este un virus de rețea. rețea de calculatoare. Dar dacă urmați această afirmație, atunci aproape totul virușii moderni ar fi conectat în rețea. La urma urmei, cel mai comun virus nerezident nu înțelege deloc atunci când infectează fișiere dacă este o unitate locală sau una de rețea (la distanță). Ca rezultat, acest virus va infecta fișierele din rețea, dar nu va fi un virus de rețea.

Mulți utilizatori au dat peste numele de vierme de rețea. Aceștia sunt unul dintre cei mai populari viruși de rețea; au apărut în 1980. Pentru a se răspândi, astfel de viruși au folosit diverse funcții nedocumentate și erori ale rețelelor globale - și-au transferat copiile infectate de la server la server și le-au lansat pentru execuție la sosire.

În trecut, viruși de rețea răspândit în rețea și, de obicei, la fel ca virușii însoțitori, nu a schimbat sectoarele sau fișierele de pe discuri în timpul infecției. Virușii de rețea au pătruns în memoria computerului din rețea. La sosire, au calculat instantaneu adresele de rețea ale computerelor rămase și au trimis instantaneu copii ale acestora la adresele găsite. Uneori, acești viruși au creat simultan fișiere de lucru pe discurile de sistem, dar s-ar putea să nu acceseze deloc resursele de sistem ale computerului (RAM este o excepție de la regulă).

După costuri enorme cauzate de mai mulți viruși de rețea, tot felul de erori în softwareși protocoalele de rețea au fost corectate, iar așa-numitele „uși din spate” sunt închise în siguranță. Ca urmare a unor astfel de acțiuni, activitatea lor sa diminuat în ultimii ani. De asemenea, în această perioadă, nu a fost înregistrat niciun caz de atac reușit de viruși de rețea. De asemenea, trebuie remarcat faptul că în această perioadă nu a apărut niciun virus nou de rețea.

Din nou problema reala atacurile de viruși de rețea au început la începutul anului 1997. Atunci au apărut „Win.Homer” și „Macro.Word.ShareFun”. Ultimul folosește totul capabilități moderne e-mail numit Microsoft Mail. Acest virus creează o nouă literă, care include codul virusului în sine, iar rezultatul este un fișier document. După aceea el alege dintre lista disponibila Programul MS-Mail adresează trei adrese complet aleatorii și apoi le trimite o scrisoare infectată nou creată. Astăzi, mulți utilizatori setează parametrii MS-Mail în așa fel încât MS Word pornește automat când primesc o scrisoare. Astfel, virusul este introdus automat în computer. După care efectuează ceea ce este inclus în codul său sursă.

Acest virus demonstrează în mod clar primul tip de virus de rețea al timpului nostru, care combină toate capacitățile limbajului Basic încorporate în editorii Excel și Word, toate caracteristicile și protocoalele principale de e-mail și funcții speciale lansare automată, care sunt extrem de necesare pentru răspândirea ulterioară a virusului în sine.

Spre deosebire de primul, virusul Homer folosește un protocol numit FTP pentru a se răspândi și transferă copia sa infectată în directorul Incoming de pe un server FTP la distanță. Deoarece protocolul de rețea FTP elimină complet posibilitatea lansării automate a unui fișier pe un server la distanță, Homer poate fi numit „semi-rețea”.

Viruși de rețea Ei folosesc ca habitat rețele globale sau locale de calculatoare. Ei nu își salvează codul pe hard diskul computerului, ci pătrund direct în RAM PC. Virușii de acest tip sunt numiți viermi de rețea pentru capacitatea lor de a calcula adresele de rețea ale altor mașini în memoria computerului și de a trimite în mod independent copii ale acestora la aceste adrese. Un astfel de virus poate locui simultan în memoria mai multor computere. Virușii de rețea sunt mai greu de detectat decât virușii de fișiere. Virușii de rețea se răspândesc cu viteză mare și pot încetini foarte mult funcționarea hardware-ului rețelei de computere.

Vierme (vierme de rețea)- un tip de programe rău intenționate care se răspândesc prin canale de rețea, capabile să depășească în mod autonom sistemele de protecție ale rețelelor automate și de computere, precum și să creeze și să distribuie în continuare copii ale lor, care nu coincid întotdeauna cu originalul, și să efectueze alte dăunătoare efecte.

La fel ca pentru viruși, ciclu de viață viermii pot fi împărțiți în anumite etape:

1. Pătrunderea sistemului.
2. Activare.
3. Caută „victime”.
4. Pregătirea copiilor.
5. Distribuirea de copii.

Etapele 1 și 5 sunt în general simetrice și sunt caracterizate în primul rând de protocoalele și aplicațiile utilizate.

Etapa 4 - pregătirea copiilor - nu este practic diferită de o etapă similară în procesul de reproducere a virusului. Ceea ce s-a spus despre pregătirea copiilor virușilor se aplică și fără modificări viermilor.

În etapa de penetrare a unui sistem, viermii sunt împărțiți în principal în funcție de tipurile de protocoale utilizate:

• Viermi de rețea- viermi care folosesc Internet și protocoale de rețea locală pentru distribuție. De obicei, acest tip de vierme se răspândește prin utilizarea unor aplicații pentru a gestiona greșit pachetele de bază ale stivei de protocol tcp/ip.
• Viermi de mail- viermi care se răspândesc în format de mesaje de e-mail.
• viermi IRC- raspandirea viermilor prin canalele IRC (Internet Relay Chat).
• viermi P2P- viermi care se răspândesc folosind rețele de partajare de fișiere peer-to-peer.
• viermi IM- viermi care folosesc sisteme de mesagerie instantanee (IM, Instant Messenger - ICQ, MSN Messenger, AIM etc.) pentru a se răspândi

Exemple. Viermii de rețea clasici sunt membri ai familiei Net-Worm.Win32.Sasser. Acești viermi exploatează o vulnerabilitate în serviciul Microsoft Windows LSASS. La propagare, viermele pornește un serviciu FTP pe portul TCP 5554, apoi selectează o adresă IP de atacat și trimite o cerere către portul 445 la această adresă, verificând dacă serviciul LSASS rulează. Dacă computerul atacat răspunde la cerere, viermele trimite un exploit pentru o vulnerabilitate din serviciul LSASS către același port, ceea ce are ca rezultat executarea cu succes a computer la distanță un shell de comandă este lansat pe portul TCP 9996. Prin acest shell, viermele descarcă de la distanță o copie a viermelui prin FTP de pe un server lansat anterior și se lansează de la distanță, completând procesul de penetrare și activare.

Ca exemplu de vierme de e-mail, luați în considerare Email-Worm.Win32.Zafi.d. Mesajul infectat include un subiect și un text selectat dintr-o listă, al cărei conținut este felicitări pentru vacanță ( majoritatea- Crăciun fericit) și o invitație de a privi felicitarea din atașament. Felicitările pot fi limbi diferite. Numele viermelui conținut în fișierul atașat este format din cuvântul carte poștală în limba corespunzătoare felicitărilor și un set arbitrar de caractere. Extensia de fișier vierme este selectată aleatoriu din lista de .BAT, .COM, .EXE, .PIF, .ZIP. Pentru a trimite mesaje, viermele folosește adrese de e-mail găsite pe computerul infectat. Pentru a obține controlul, viermele trebuie să fie lansat de un utilizator.

IRC-Worm.Win32.Golember.a este, după cum sugerează și numele, un vierme IRC. Când este lansat, se salvează în directorul Windows sub numele trlmsn.exe și adaugă un parametru cu șirul de pornire pentru acest fișier în secțiunea de pornire a registrului Windows. În plus, viermele salvează o copie a lui însuși pe disc sub forma unei arhive Janey2002.zip și a unui fișier imagine Janey.jpg. Viermele se conectează apoi la canale IRC arbitrare sub diferite nume și începe să trimită șiruri de text specifice, simulând activitatea unui utilizator obișnuit. În același timp, o copie arhivată a viermelui este trimisă tuturor utilizatorilor acestor canale.

Mulți viermi de rețea și e-mail au funcționalitatea de a se răspândi prin canale P2P. De exemplu, Email-Worm.Win32.Netsky.q, pentru reproducerea prin rețele de partajare a fișierelor, caută pe discul local directoare care conțin numele celor mai populare rețele sau cuvântul „shared”, apoi își pune copiile în acestea. directoare sub diferite denumiri

Viermii IM rareori transferă fișierele infectate direct între clienți. În schimb, trimit link-uri către pagini web infectate. Astfel, viermele IM-Worm.Win32.Kelvir.k trimite mesaje prin MSN Messenger care conțin textul „tu ești” și linkul „http://www.malignancy.us// pictures.php?email=” la adresa specificat în el se află fișierul vierme.

Astăzi, cel mai numeros grup este format din viermi de e-mail. Viermii de rețea sunt, de asemenea, un fenomen vizibil, dar nu atât din cauza cantității, cât și din cauza calității: epidemiile cauzate de viermii de rețea sunt adesea caracterizate prin viteză mare de răspândire și pe scară largă. Viermii IRC, P2P și IM sunt destul de rari; mai des IRC, P2P și IM servesc ca canale de distribuție alternative pentru viermii de e-mail și de rețea.

În stadiul de activare, viermii sunt împărțiți în două grupuri mari, care diferă atât ca tehnologie, cât și ca durata de viață:

1. Activarea necesită participarea activă a utilizatorului.
2. Pentru activare, participarea utilizatorului nu este deloc necesară sau este suficientă doar participarea pasivă.

Participarea pasivă a utilizatorului în al doilea grup înseamnă, de exemplu, vizualizarea scrisorilor într-un client de e-mail, în care utilizatorul nu deschide fișiere atașate, dar computerul său este totuși infectat.

Diferența dintre aceste abordări este mai profundă decât ar părea la prima vedere. Activarea unui vierme de rețea fără interacțiunea utilizatorului înseamnă întotdeauna că viermele exploatează găurile de securitate din software-ul computerului. Acest lucru duce la o răspândire foarte rapidă a viermelui într-o rețea corporativă cu un numar mare stații, crește semnificativ sarcina pe canalele de comunicație și poate paraliza complet rețeaua. Această metodă de activare a fost folosită de viermi Lovesan și Sasser. Ca urmare a unei epidemii cauzate de un astfel de vierme de rețea, decalajul exploatat este închis de către administratori sau utilizatori, iar pe măsură ce numărul computerelor cu decalajul deschis scade, epidemia se încheie. Pentru a repeta epidemia, dezvoltatorii de viruși trebuie să exploateze un alt gol. Ca urmare, epidemiile cauzate de viermi activi au un impact mai semnificativ asupra funcționării rețelei în ansamblu, dar apar mult mai puțin frecvent decât epidemiile de viermi de rețea pasivi. O măsură obligatorie de protecție împotriva unor astfel de epidemii este instalarea la timp a patch-urilor de securitate. De asemenea, remarcăm că sistemele de operare cu capabilități încorporate pentru controlul de la distanță sau lansarea de programe sunt deosebit de vulnerabile la acest tip de vierme - aceasta este familia Microsoft Windows NT/2000/XP/2003.

Exemplu. Vulnerabilitatea din serviciul LSASS, folosit pentru prima dată în viermele MyDoom la începutul anului 2004, a continuat să fie exploatată cu succes un an și jumătate mai târziu. Deci Net-Worm.Win32.Mytob.be descoperit în iunie 2005 încă folosea această vulnerabilitate ca una dintre metodele de distribuție, pe lângă distribuirea prin e-mail

Pe de altă parte, participarea activă a utilizatorului la activarea viermelui înseamnă că utilizatorul a fost indus în eroare de tehnicile de inginerie socială. În cele mai multe cazuri, factorul principal este forma mesajului infectat: poate imita o scrisoare de la un prieten (inclusiv Adresa de e-mail, dacă un prieten este deja infectat), un mesaj de serviciu din sistemul de e-mail sau ceva similar, la fel de des întâlnit în fluxul de corespondență obișnuită. Utilizatorul, aflat în frământare, pur și simplu nu face distincția între o scrisoare obișnuită și una infectată și o lansează automat.

Este imposibil să te protejezi de aceste tipuri de viermi cu plasturi. Chiar și adăugarea unei semnături de vierme de rețea la o bază de date de viruși nu rezolvă complet problema. Dezvoltatorii virusului trebuie doar să creeze un fișier executabil, astfel încât antivirusul să nu îl detecteze și să modifice ușor textul mesajului, inclusiv prin utilizarea tehnologiilor de spam utilizate pentru a ocoli filtrele.

Ca urmare, epidemiile cauzate de viermi de rețea pasivi pot dura mult mai mult și pot da naștere la familii întregi de viermi de rețea similari.

ÎN În ultima vreme A existat o tendință de a combina ambele metode de propagare la viermi. Mulți membri ai familiei Mytob au capabilități de distribuție prin e-mail și printr-o vulnerabilitate în serviciul LSASS.

Metoda de căutare a unui computer victimă se bazează în întregime pe protocoalele și aplicațiile utilizate. În special, dacă despre care vorbim despre un vierme de e-mail, fișierele computerului sunt scanate pentru prezența adreselor de e-mail, către care, ca urmare, sunt trimise copii ale viermelui.

În mod similar, viermii de Internet scanează o serie de adrese IP în căutarea computerelor vulnerabile, iar viermii P2P plasează copii ale lor în directoare publice ale clienților de rețea peer-to-peer. Unii viermi sunt capabili să exploateze listele de contacte ale mesageriei de pe Internet, cum ar fi ICQ, AIM, MSN Messenger, Yahoo! Messenger și alții

Ceea ce sa spus mai devreme despre pregătirea copiilor pentru răspândirea virușilor se aplică și viermilor.

Cel mai adesea printre viermi există implementări simplificate ale metamorfismului. Unii viermi sunt capabili să trimită copii ale lor în scrisori, atât cu injectarea unui script care duce la activarea automată a viermelui, cât și fără injectare. Acest comportament al viermelui se datorează a doi factori: scriptul de activare automată crește probabilitatea ca viermele să ruleze pe computerul utilizatorului, dar în același timp reduce probabilitatea de a strecura prin filtrele antivirus de pe serverele de e-mail.

La fel, viermii pot schimba subiectul și textul mesajului infectat, numele, extensia și chiar formatul fișierului atașat - modulul executabil poate fi atașat ca atare sau într-o formă arhivată. Toate acestea nu pot fi considerate meta- sau polimorfism, dar viermii au cu siguranță o anumită variabilitate.

Exemplu virus pe computerul meu: Email-Worm.Win32. Brontok.a.

Un virus vierme care se răspândește pe Internet ca atașamente la e-mailurile infectate. Trimis la toate adresele de e-mail găsite pe computerul infectat.

Viermele este o aplicație Windows (fișier PE EXE). Scris în Visual Basic. Dimensiunea fișierelor infectate cunoscute pentru o anumită versiune a viermelui variază semnificativ. Mai jos este funcționalitatea celor mai frecvent întâlnite variante ale acestui vierme.

Apoi, viermele primește calea către directorul aplicației Windows pentru utilizatorul curent (%UserProfile%\Local Settings\Application Data) și își copiază corpul în acest director. Viermele se copiază, de asemenea, în directorul de pornire al programelor din meniul Start sub numele Empty.pif:

Viermele trimite copii ale lui însuși cu următoarele nume ca atașamente la mesajele infectate. Selectat din listă Viermele modifică, de asemenea, conținutul fișierului autoexec.bat din directorul rădăcină al unității C:, adăugând linia „pauză”.

Prezența acțiunilor distructive nu este deloc un criteriu obligatoriu pentru clasificarea codului programului ca fiind viral. De asemenea, trebuie remarcat faptul că virusul poate provoca daune colosale numai prin procesul de auto-replicare. Cel mai frapant exemplu este Net-Worm.Win32.Slammer.

Copyright MBOU „Gymnasium No. 75”, Kazan 2014

„Cred că virușii informatici ar trebui considerați o formă de viață. Acest lucru spune multe despre natura umană: singura formă de viață pe care am creat-o până acum aduce doar distrugere. Creăm viața după chipul și asemănarea noastră.” Stephen Hawking

Studiu

Obiectivele cercetării:

să identifice nivelul de cunoștințe al profesorilor și elevilor gimnaziului despre virușii biologici și informatici, despre metodele de prevenire și combatere a virușilor informatici și biologici.

Date

O clasă de programe de calculator rău intenționate sunt așa-numitele bombe zip. Acestea sunt fișiere de arhivă în format .zip, care cresc de multe ori atunci când sunt despachetate. De exemplu, una dintre cele mai faimoase bombe zip numită 42.zip are o dimensiune de doar 42 KB, iar arhiva conține 5 straturi de arhive imbricate cu 16 fișiere pe nivel. Dimensiunea fiecărui fișier la ultimul nivel este de 4,3 GB, iar întreaga arhivă când este dezambalată ocupă 4,5 petaocteți. Efectul dăunător al unor astfel de arhive este de a copleși resursele sistemului atunci când antivirusurile sau alte programe de sistem încearcă să le scaneze, deși în prezent toate antivirusurile decente recunosc bombele în avans și nu încearcă să le deschidă complet.

Virusul „Te iubesc” (așa se numea) a fost inclus în Cartea Recordurilor Guinness drept cel mai distructiv virus informatic din lume. A lovit peste 3 milioane de computere de pe planetă, devenind și cele mai scumpe din istorie.

Potrivit statisticilor, computerul fiecărui al treilea utilizator de internet în țările dezvoltate este atacat cel puțin o dată pe an virușii informatici.

Există un virus informatic amuzant care operează în Israel, care se presupune că a fost creat pentru justiție. Găsește filme, muzică și fotografii descărcate ilegal de pe Internet pe computer și le distruge. Interesant este că atunci când un utilizator dorește să elimine acest virus de pe un computer, i se cere să plătească bani pentru acest serviciu.

Virușii de rețea includ viruși care utilizează în mod activ protocoalele și capabilitățile rețelelor locale și globale pentru a se răspândi. Principiul principal de funcționare al unui virus de rețea este capacitatea de a-și transfera în mod independent codul pe un server sau o stație de lucru la distanță. Virușii de rețea „cu drepturi depline” au și capacitatea de a-și rula codul pe un computer la distanță sau, cel puțin, de a „împinge” utilizatorul să ruleze un fișier infectat.

Există o concepție greșită că orice virus care se răspândește într-o rețea de computere este un virus de rețea. Dar în acest caz, aproape toți virușii ar fi viruși de rețea, chiar și cei mai primitivi: la urma urmei, cel mai comun virus nerezident atunci când infectează fișiere nu înțelege dacă este o unitate de rețea (la distanță) sau una locală. Drept urmare, un astfel de virus este capabil să infecteze fișierele dintr-o rețea, dar nu poate fi clasificat ca un virus de rețea.

Virușii de rețea au devenit cei mai faimoși la sfârșitul anilor 80; aceștia sunt numiți și viermi de rețea. Acestea includ virusul Morris, virușii Pomul de Crăciun și Viermele Wank. Pentru a se răspândi, au folosit bug-uri și funcții nedocumentate ale rețelelor globale din acea vreme. Virușii au transferat copii ale lor de la server la server și le-au lansat pentru execuție. Epidemia de virus Morris a capturat mai multe rețele globale din SUA simultan

Virușii de rețea din trecut s-au răspândit într-o rețea de computere și, de regulă, la fel ca virușii însoțitori, nu au modificat fișierele sau sectoarele de pe discuri. Au pătruns în memoria computerului dintr-o rețea de calculatoare, au calculat adresele de rețea ale altor computere și au trimis copii ale lor la aceste adrese. Acești viruși au creat uneori și fișiere de lucru pe discurile de sistem, dar este posibil să nu acceseze deloc resursele computerului (cu excepția memoriei RAM).

După mai multe izbucniri de viruși de rețea, erorile din protocoalele de rețea și software-ul au fost remediate, iar ușile din spate au fost închise. Drept urmare, în ultimii zece ani, nu a fost înregistrat niciun caz de infecție cu un virus de rețea și nici nu a apărut un singur virus de rețea nou.

Problema virușilor de rețea a apărut din nou abia la începutul anului 1997 odată cu apariția virușilor Macro.Word.ShareFun și Win.Homer. Primul folosește capabilitățile de e-mail ale Microsoft Mail. Acesta creează o nouă scrisoare care conține un fișier de document infectat (ShareFun este un virus macro), apoi selectează trei adrese aleatorii din lista de adrese MS-Mail și le trimite scrisoarea infectată. Deoarece mulți utilizatori setează setările MS-Mail în așa fel încât MS Word să fie lansat automat atunci când primesc o scrisoare, virusul este încorporat „automat” în computerul destinatarului scrisorii infectate.

Acest virus ilustrează primul tip de viruși de rețea moderni care combină capabilitățile limbajului BASIC încorporat în Word și Excel, protocoalele și caracteristicile e-mailului și funcțiile de executare automată necesare pentru a răspândi virusul.

Al doilea virus (Homer) folosește protocolul FTP (File Transfer Protocol) pentru distribuire și își transferă copia pe un server ftp la distanță din directorul Incoming. Deoarece protocolul de rețea FTP nu permite executarea fișierelor pe un server la distanță, acest virus poate fi descris ca semi-rețea, dar este exemplu real capacitatea virușilor de a utiliza protocoale de rețea moderne și de a infecta rețelele globale.

Desigur, există și alte moduri prin care virușii pot pătrunde în rețelele moderne, dar nu aș dori să le prezint aici, deoarece acest lucru îi va încuraja pe scriitorii de viruși să implementeze aceste idei.

Viruși de computer, programe malware - toate acestea sunt distructive pentru sistemul de operare. Ce să fac? Cum să învinge programele de viruși urâte? Utilizatorii începători vor spune că este suficient să instalezi un antivirus. Dar nu este atât de simplu. La urma urmei, pentru a învinge un virus, trebuie să știi ce tip aparține.

Unul dintre cele mai comune programe malware este virusul viermi. Cum să vă protejați computerul de această pătrundere oaspete neinvitat, și despre ce este vorba?

Ce este „virusul viermilor”?

Tipuri de software rău intenționat o cantitate mare. Unul dintre acei viruși de care este destul de problematic să scapi după infecție este virusul „vierme de rețea”. Se autoperpetuează program de calculator, pătrunzând în rețelele locale și globale. În același timp, diferența semnificativă dintre un virus obișnuit și acest program rău intenționat este că al doilea este complet independent.

Tipuri de viermi de rețea

Viermii viruși de computer sunt împărțiți în trei categorii, care diferă semnificativ în caracteristicile lor și în prejudiciul pe care îl provoacă dispozitivului.

• Prima categorie este viermii de e-mail. De obicei, acestea sunt distribuite într-un singur fișier prin e-mail. Utilizatorul primește o scrisoare de la un destinatar necunoscut cu un atașament. Desigur, cedând curiozității, el însuși deschide atașamentul, care conține deja un vierme de rețea, după care apare infecția.
• A doua categorie, care este cea mai comună printre programele malware, este viermii rezidenți în RAM. Acest virus nu infectează hard disk-urile, ci se introduce în RAM, dăunând astfel programelor care rulează. Pentru ca un astfel de virus de viermi să „meargă acasă”, este suficient să reporniți computerul.
• A treia categorie și cea mai periculoasă sunt viermii care salvează codul pe hard disk-ul dispozitivului. Ele sunt cel mai adesea folosite pentru a provoca un fel de prejudiciu informațional, de exemplu, pentru a efectua un atac DoS. Și aici repornirea computerului nu va rezolva problema. Numai sistemele antivirus de înaltă calitate vor ajuta aici și chiar și atunci nu toate. Ar trebui să începeți să tratați discul infectat cât mai curând posibil, altfel va trebui să vă luați rămas bun de la întregul sistem de operare.

Cum și în ce scop se răspândesc viermii de rețea?

Astfel de viruși sunt răspândiți de hackeri pentru a atinge diferite obiective. Unele programe sunt concepute pentru a intercepta controlul dispozitivului. În același timp, utilizatorul însuși nu va observa niciodată ce face virusul vierme. Alții folosesc un computer infectat ca modalitate de a răspândi virusul prin toate rețelele disponibile, atât locale, cât și globale.

Hackerii au venit cu o mulțime de idei pentru a răspândi viermele. căi diferite. Cel mai adesea, există un virus pe care utilizatorul trebuie să-l ruleze inițial pe computerul său. Acesta ar putea fi un atașament electronic sau un mini-program descărcat de pe Internet. Cu toate acestea, există și cei care nu necesită intervenția altcuiva pentru a infecta un dispozitiv; ei pătrund independent.

Cum să te protejezi?

Pentru a preveni infectarea computerului cu un virus, trebuie să știți despre măsurile de protecție. Mulți vor spune că orice program antivirus va fi suficient, deoarece blochează imediat virușii atunci când aceștia intră în sistem. De fapt, acest lucru nu este adevărat. Un program antivirus nu va putea împiedica un vierme să intre într-un dispozitiv la timp, deoarece pur și simplu avertizează că un program rău intenționat este detectat pe un anumit site. Majoritatea utilizatorilor nu acordă nicio importanță acestui lucru prin lansarea sau descărcarea unui fișier infectat pe computerul lor.

O opțiune excelentă de protecție împotriva acestui tip de software este tehnologia proactivă. Spre deosebire de programele antivirus convenționale, această tehnologie va preveni infectarea sistemului, mai degrabă decât să caute viruși deja cunoscuți pe hard disk. În acest caz, virusul va fi blocat doar dacă este amenințare reală OS.

Vierme de rețea: cum să eliminați virusul?

Dacă malware ajunge pe computer, trebuie să îl eliminați imediat. Dar cum să eliminați un virus fără a deteriora sistemul de operare? Într-o astfel de situație, antivirusurile vor veni în ajutorul utilizatorilor fără experiență. Din fericire, instalarea lor nu va dura mult timp.

• Kaspersky Rescue Disk- un program care vă permite să curățați hard disk-urile de viruși prin gestionarea sistemului. Pentru a începe să lucrați cu programul, trebuie să inscripționați un disc de pornire folosind o imagine ISO. Și apoi lansați sistemul de operare în BIOS prin el.
• Instrumentul de eliminare a virusurilor Kaspersky mai potrivit pentru utilizatorii începători și cei care nu au înțeles încă complexitățile sistemului. Acesta caută malware pe computer și îl elimină din sistem. Cu toate acestea, nu poate face față tuturor tipurilor de viruși.

• Dr.Web CureIt poate înlocui programul antivirus anterior. Dezavantajul său uriaș este că scanarea hard disk-urilor durează foarte mult. Uneori, acest lucru poate dura aproximativ zece ore. Desigur, o scanare atât de lungă este un semn că programul scanează cu atenție fiecare fișier. Cu toate acestea, nu sunt mulți oameni dispuși să petreacă toată ziua căutând un virus.

Masuri de precautie

Pentru a vă proteja de atacurile hackerilor prin viruși, nu este necesar să instalați o grămadă de programe speciale de securitate pe computer. Este suficient să urmați măsurile de precauție în rețea, atunci niciun fișier rău intenționat nu va ajunge pe dispozitiv.

• Dacă primiți prin e-mail un mesaj important cu atașament, nu vă grăbiți să îl deschideți. Mai întâi trebuie să salvați atașamentul pe disc, apoi să îl rulați folosind orice browser. Poate că, în loc de un document text sau de o fotografie, pe computer a fost primit un fișier executabil.
• În niciun caz nu trebuie să rulați vreun program care a fost primit prin e-mail de la o adresă necunoscută. Cel mai probabil, pe dispozitiv a venit un fișier de hacker.
• Chiar dacă atașamentul provine dintr-un e-mail deja familiar, nu ar trebui să vă grăbiți să îl deschideți. În primul rând, trebuie să îl scanezi cu un antivirus. Este posibil ca adresa de e-mail de la care a venit scrisoarea să fie deja infectată cu malware și acum pur și simplu trimite un newsletter tuturor persoanelor de contact salvate.
• Un semn că atașamentul trimis va conține un virus poate fi o știre senzațională în mesaj. Aceasta este pur și simplu o momeală pentru a face utilizatorul interesat de conținut și a deschide fișierul infectat din curiozitate.

Virus de calculator este un fel de program care conține cod rău intenționat pentru sistemul de operare. Dacă este infectat cu un virus, computerul dumneavoastră poate fi afectat (fișiere sau sistem de operare) și (sau) alte computere din rețeaua locală. Virusul poate deteriora sau distruge fotografii, documente, baze de date și alte fișiere care sunt importante pentru dvs. Prin urmare, eliminarea și tratarea virușilor este foarte importantă. Computerul dvs. ar trebui verificat în mod regulat pentru viruși pentru a preveni

Clasificarea programelor malware

Vierme de rețea este un cod de program rău intenționat care își distribuie copiile prin rețele locale și/sau globale, cu scopul de a pătrunde într-un computer victimă, de a lansa copia sa pe acest computer și de a o distribui în continuare.

Pentru a se răspândi, viermii folosesc e-mail, rețele ISQ, P2P și IRC, LAN și rețele de schimb de date între dispozitive mobile.

Majoritatea viermilor sunt distribuiți în fișiere (atașamente de e-mail, link-uri către fișiere etc.).

Dar există și viermi care se răspândesc sub formă de pachete de rețea. Astfel de soiuri pătrund direct în memoria computerului și încep imediat să acționeze rezident.

Sunt folosite mai multe moduri pentru a pătrunde într-un computer victimă:

- independent (loturi de viermi), -

- utilizator (inginerie socială),

- diverse lacune în sistemele de securitate ale sistemului de operare și aplicațiilor.

- Unii viermi au proprietăți ale altor tipuri de malware (cel mai adesea cai troieni).

Email Worms

Folosește e-mailul pentru distribuire. Trimite victimei o scrisoare cu corpul codului atașat sau scrisoarea conține un link către o resursă (infectată, desigur).

Următoarele metode sunt utilizate pentru a trimite mesaje de către viermi: conexiune directă la un server SMTP folosind biblioteca de e-mail încorporată în codul de viermi; folosind serviciile MS Outlook

Pentru a căuta adresele victimelor, cel mai des este folosită agenda MS Outlook.

Viermele poate scana fișiere stocate pe discuri și poate extrage din ele linii care se referă la adresele de e-mail.

Viermii pot trimite copii ale lor la toate adresele găsite într-o cutie poștală (unii au capacitatea de a răspunde la scrisorile din cutia poștală).

Viermi care folosesc mesagerie pe Internet

(IM-Vierme).

Viermii de acest tip folosesc singura metodă de propagare - trimiterea de mesaje către contactele detectate (din lista de contacte) care conțin o adresă URL către un fișier aflat pe un server web.

Această tehnică reproduce aproape complet o metodă similară de corespondență utilizată de viermii de corespondență.

Viermi în canalele IRC (IRC-Worm)

sunt utilizate două tipuri de distribuție: trimiterea utilizatorului unui link URL către fișierul body; trimiterea unui fișier către utilizator (în acest caz, utilizatorul trebuie să confirme primirea).

Viermi pentru rețele de partajare de fișiere (P2P-Worm)

Mecanism de lucru:

Rețeaua P2P se ocupă de restul lucrărilor privind distribuția sa - atunci când caută fișiere în rețea, va informa utilizatorii la distanță despre acest fișier și va oferi toate serviciile necesare pentru descărcarea acestuia de pe un computer infectat.

Viermi de rețea de partajare a fișierelor (P2P-Worm)

Mecanism de lucru:

Pentru a se infiltra într-o rețea P2P, un vierme trebuie doar să se copieze într-un director de partajare a fișierelor, care se află de obicei pe mașina locală.

Rețeaua P2P preia munca de distribuire a acestuia - atunci când caută fișiere în rețea, va informa utilizatorii la distanță despre acest fișier și va oferi toate serviciile necesare pentru descărcarea acestuia de pe un computer infectat.

Viermii P2P imită protocolul de rețea al unui anumit sistem de partajare a fișierelor și răspund pozitiv la solicitările de căutare (viermele oferă o copie a lui însuși pentru descărcare).

Alți viermi de rețea (NET-Worm)

Modalități de infectare a computerelor de la distanță:

Copierea unui vierme în resursele rețelei;

Un vierme pătrunde într-un computer prin vulnerabilități în sisteme de operareși aplicații;

Pătrunderea în resursele rețelei publice;

Copierea unui vierme în resursele rețelei

Viermele caută în rețea mașini cu resurse deschise pentru scriere și le copiază.

poate găsi aleatoriu computere și poate încerca să deschidă accesul la resurse.

Pătrunderea viermilor prin vulnerabilități în sistemele de operare și aplicații

Viermele caută computere cu software instalat care conține vulnerabilități critice.

Astfel, viermele trimite un pachet (cerere) special conceput, iar o parte din vierme pătrunde în computer, după care descarcă fișierul complet și îl lansează pentru execuție.

Viruși clasici

Virușii, spre deosebire de viermi, nu folosesc serviciile de rețea pentru a distribui copii ale lor.

Un virus informatic, de regulă, ajunge pe computerul victimei din motive independente de funcționalitatea codului.

De obicei, utilizatorul este de vină pentru că nu verifică program antivirus informații care ajung pe computer, în urma cărora, de fapt, are loc infecția.

Modalități de a „prinde” un virus clasic:

Medii de stocare externe;

resurse de internet;

Fișiere distribuite într-o rețea (LAN, Internet).

Un virus computerizat clasic poate avea proprietăți ale altor tipuri de malware (de exemplu, un troian care șterge informațiile de pe un disc).

Virușii sunt împărțiți în clase în funcție de habitatul lor, iar aceste clase, la rândul lor, sunt împărțite în subclase în funcție de metoda de infecție.

În funcție de habitatul lor, virușii sunt împărțiți în

Fişier,

Boot,

Macro-

Scenizat.

Suprascrierea virușilor

Virusul rescrie codul programului (îl înlocuiește cu al său), după care, în mod natural, fișierul nu mai funcționează.

Un fișier infectat prin această metodă nu poate fi restaurat.

Un virus de suprascriere se dezvăluie rapid pe măsură ce sistemul (sau programul) infectat nu mai funcționează.

Acestea includ toți virușii care modifică conținutul unui fișier, dar în același timp îl lasă operațional.

Principalele tipuri de astfel de viruși sunt:

Virușii care scriu la începutul fișierelor (prevăzut)

Viruși care scriu la sfârșitul fișierelor (adăugând)

Viruși care scriu în mijlocul fișierelor (inserare).

Când scrie cod la începutul unui fișier, virusul poate folosi două metode:

Primul este mutarea începutului fișierului până la sfârșit și adăugarea propriului cod în spațiul liber.

Al doilea este adăugarea codului fișierului la codul dvs.

În ambele cazuri, atunci când fișierul este lansat, controlul este obținut de către virus, iar apoi, pentru a evita suspiciunea, controlul este transferat înapoi în fișierul victimei

Virușii sunt introduși în mijlocul fișierelor folosind diferite metode.

-

Virușii sunt introduși în mijlocul fișierelor folosind diferite metode.

Prin mutarea unei părți a fișierului până la sfârșit

- copierea codului în datele fișierului evident neutilizate (viruși cavității).

- Când un cod de virus este inserat la sfârșitul unui fișier, se folosește metoda de atașare.

- Codul virusului este atașat la sfârșitul fișierului victimă, în timp ce parte a capului Fișierul este modificat în așa fel încât, din nou, virusul primește controlul mai întâi, iar apoi fișierul.

Viruși însoțitori

Această metodă implică crearea unui fișier duplicat, în timp ce codul fișierului victimă nu se modifică.

De obicei, un virus modifică extensia fișierului (de exemplu, de la .exe la .com), apoi creează o copie a lui cu un nume identic cu numele fișierului victimă și îi conferă o extensie care este, de asemenea, identică.

Un utilizator nebănuit își lansează programul preferat și nu bănuiește că este un virus. Virusul, la rândul său, infectează mai multe fișiere și lansează programul solicitat de utilizator.

Cal troian

Acesta este un cod rău intenționat care efectuează acțiuni neautorizate de utilizator (de exemplu, furtul de informații, distrugerea sau modificarea informațiilor, utilizarea resurselor mașinii în scopuri rău intenționate etc.).

Hoți de parole (Trojan-PSW)

Sunt ocupați să fure parole. După ce a pătruns în computer și a instalat, troianul începe imediat să caute fișiere care conțin informații relevante.

Furtul parolelor nu este specificația principală a programelor din această clasă - ele pot, de asemenea, fura informații de sistem, fișiere, numere de cont, coduri de activare pentru alte software etc.

Aparate de clic pe Internet (Trojan-clicker)

Această familie de programe troiene organizează accesul neautorizat la resursele Internet prin trimiterea de comenzi către browserele de Internet sau înlocuirea adreselor resurselor sistemului.

Utilizați aceste programe în următoarele scopuri :

Creșterea traficului către orice site web (pentru a crește numărul de afișări de anunțuri);

Organizarea unui atac asupra unui serviciu;

Atragerea potenţialelor victime pentru a fi infectate cu malware.

Descărcătoare (Trojan-Downloader)

Acești troieni sunt implicați în descărcarea neautorizată de software (răușitor) pe computerul unui utilizator nebănuit.

După descărcare, programul este fie instalat, fie scris la pornire de către un troian (în funcție de capacitățile sistemului de operare).

Instalatori (Trojan-Dropper)

Ei instalează programe pe computerul victimei, de obicei cele rău intenționate.

Anatomia acestei clase de troieni: cod principal, fișiere.

Codul principal este de fapt un troian.

Fișierele sunt programele pe care el/ea trebuie să le instaleze.

Troianul îl scrie într-un director (de obicei fișiere temporare) și îl instalează. Instalarea are loc fie neobservată de utilizator, fie cu un mesaj de eroare.

SH Programe bujori (Trojan-Spy)

Acești troieni spionează utilizatorul: înregistrarea informațiilor tastate de la tastatură, capturi de ecran etc.

Această categorie include, de asemenea, troienii „multi-scop” - de exemplu, cei care spionează simultan utilizatorul și oferă un serviciu proxy unui atacator de la distanță.

Arhivă bombe (ArcBomb)

atunci când arhivatorul încearcă să proceseze arhiva, provoacă acțiuni „non-standard” ale acesteia din urmă.

Computerul se poate îngheța pur și simplu sau funcționarea sa va încetini semnificativ. De asemenea, hard disk-ul poate fi umplut cu o cantitate mare de informații „goale”.

Există trei tipuri de astfel de „bombe”:

Antet incorect al arhivei,

Date duplicate

Fișiere identice în arhivă.

Alte programe malware

O varietate de programe care nu reprezintă în mod direct o amenințare pentru computerul pe care sunt executate, dar pentru care sunt concepute

Crearea altor virusuri

Crearea de programe troiene,

Organizarea atacurilor DoS pe servere la distanță,

Hacking alte computere etc.

Hackeri de computere de la distanță (Exploit, Hacktool)

Aceste programe sunt folosite de hackeri pentru a pirata computerele de la distanță pentru a le controla în continuare. În acest caz, exploit-urile vizează direct lucrul cu vulnerabilități.

Atacurile fatale la rețea (Nuker)

Utilități care trimit cereri special concepute către computerele atacate din rețea, în urma cărora sistemul atacat nu mai funcționează.

Aceștia exploatează vulnerabilități în software și sisteme de operare, în urma cărora un tip special de solicitare de rețea provoacă o eroare critică în aplicația atacată.

Inducerea în eroare a utilizatorului (Bad-Joke, Hoax)

Acesta este un program care face ca experiența utilizatorului să fie echivalentă cu cea pe care o simte când vede o inscripție de genul: „Atenție! Sistemul are ștergere bin”, sau ceva de genul

Malware ransomware

(FileCryptor, PolyCryptor)

Acestea sunt instrumente de hacking care ascund alte programe malware de programele antivirus.