Care sunt viruși, informatică, programare

De ce trebuie să se teamă?

Virusul poate fi introdus în trei tipuri de fișiere: fișiere de comenzi (cu BAT extensie), drivere descărcabile (fișiere cu SYS sau RECIPIENTULUI inclusiv IO.SYS msdos.sys) și fișiere binare executabile (fișiere cu extensiile EXE, COM). Posibila introducere a virusului în fișierele de date, dar aceste cazuri sunt rezultatul fie erori, viruși sau manifestarea proprietăților agresive ale virusului. Desigur, posibila existență a virușilor care infectează fișiere care conțin module de cod sursă, bibliotecă sau obiect, ci moduri similare de propagare a virusului este prea exotice.







Boot (moloz) viruși infecta ghetei (BOOT) sectorul floppy disk și sectorul de încărcare sau sectorul de Master-Boot (MBR) a hard disk. În cazul în care virusul infectează discul, în cele mai multe cazuri, poartă original în sectorul de încărcare (sau MBR) sau în orice alt sector al discului (de exemplu, mai întâi disponibil). În cazul în care virusul este mai mare decât lungimea sectorului, sectorul se plasează infectează prima parte a virusului, părțile rămase sunt plasate în alte sectoare (de exemplu, în primul liber). Virusul copiază apoi informațiile de sistem stocate în încărcătorul original în codul său și le scrie în sectorul de boot (MBR-ul pentru această informație este Disk Partition Table, sectorul de încărcare pentru floppy _ BIOS bloc Parametru.)

viruși polimorfi sau „fantome“. virusy- destul de greu pentru a detecta viruși care nu au semnătură permanente (măști), adică Acesta nu conține nici o porțiune de cod permanent. În cele mai multe cazuri, două mostre de același virus fantoma nu va avea nici un meci.

Acest lucru se realizează prin criptarea corpului principal al virusului și modificări ale decodorului.

Acțiuni împotriva virusului în computerul infectat.

Dacă mesajul AVP emis privind suspiciunea de a fi infectate cu orice virus al obiectului, procedați în felul următor:

copiați fișiere suspecte pe o dischetă în mod obișnuit, în cazul în care suspiciunea este emisă pentru oricare dintre fișierele;

copiați sectorul de sistem care conține Boot-sector (sectorul de boot), Master Boot Record (Master Boot Record), tabela de partiții (tabelul partiționare), cu ajutorul unor programe speciale (cum ar fi Norton Disk Edit), în cazul în care suspiciunea este emisă pe sectorul de sistem;

în nici un fel, să ia obiectele suspecte distribuitorii (dealeri) de la care ați achiziționat AVP, sau direct la Kaspersky Lab.

Virusul rezident atunci când infectează un computer lasă o porțiune de memorie rezident, care intercepteaza apoi sistemul de apeluri la obiectele infectate (fișiere și sectoare de încărcare), și le infectează. viruși dintr-o memorie și sunt active până la oprirea sau repornirea computerului (în alte unele virusuri pot „supraviețui“ o repornire). viruși nerezidente nu infectează memoria calculatorului și sunt active pentru o perioadă limitată de timp. Unii viruși lăsați mici programe de memorie-rezident, care nu se răspândesc virusul. Astfel de virusuri sunt considerate a fi non-rezident.

Următorul grup de virusuri pot fi distinse de caracteristicile algoritmului:

Viruși sateliți - sunt viruși care nu modifică fișierele. Algoritmul de lucru al acestor virusuri este că ele creează un fișier EXE la fișiere prin satelit cu același nume, dar cu extensia COM. Virusul este scris în fișierul COM, și nu modifică fișierul executabil. Când executați fișierul acest DOS mai întâi pentru a descoperi și de a executa un fișier COM, care este virusul, care apoi lansa și fișier EXE.

- toate virusurile Parazitare că, atunci când distribuie copii ale sale schimba în mod necesar conținutul sectoarelor și a fișierelor pe disc. Acest grup include toate virusurile care nu sunt viermi sau sateliți.

Student - foarte primitiv, de multe ori non-rezident, și care conține un număr mare de erori.

viruși Stealth (viruși stealth), care sunt program extrem de sofisticat, care intercepteaza DOS la fișierele infectate sau sectoare și înlocuitori de sine site-uri nu contaminate informații.

Virușii fantomă (polimorfic) viruși suficient de ușor detectabile neavând semnătură permanentă (măști), adică Acesta nu conține nici o porțiune de cod permanent. În cele mai multe cazuri, două mostre de același virus fantoma nu va avea nici un meci. Acest lucru se realizează prin criptarea corpului principal al virusului și modificări ale decodorului.

Deoarece cunoscute cazuri de infecție cu IBM compatibile de rețea de calculatoare „viermi“ și „sateliți“ virusy- sunt, de obicei algoritm foarte simplu, și este mai mică de 0,5 la suta din viruși cunoscuți, numai virusurile sunt considerate a fi legate de „parazite“.

Simptomele virusului.

Principalele simptome ale infecției virale sunt după cum urmează:

Încetinește unor programe.

Creșterea dimensiunii fișierelor (în special de funcționare).

Apariția nu a existat înainte fișierele ciudate.

Reducerea cantității de memorie disponibilă (în comparație cu un mod convențional de operare).

Prevenirea și o metodă de tratament a virusurilor.

În cazul în care computerul nu a fost infectat KakWorm'om (de exemplu, nu a deschis mesajul infectat) este de a scăpa de vierme face următoarele:

dezactivați temporar Monitorul AVP;

rula programul e-mail;

eliminați mesajele infectate din toate dosarele (fără a deschide-l);

comprima toate dosarele;

activa monitorul AVP.

În cazul în care computerul este deja infectat KakWorm'om, trebuie să faceți următoarele:

Se scoate din ramura "HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run" registru cheie "cAg0u =" C: \ WINDOWS \ SYSTEM \ (numele) .hta "unde" (nume) „- un nume de 8 caractere ( de exemplu, 68DAEF80.HTA).

Ștergeți următoarele fișiere:

KAK.HTA de C: \ Windows

KAK.HTM de C: \ Windows \ System

(Nume) .hta C: \ Windows \ System, în cazul în care (numele) - un nume de 8 caractere

KAK.HTA de C: \ Windows \ Start Menu \ Programs \ Startup

Scoateți semnătura implicită în clientul de e-mail.

Ștergeți toate mesajele infectate din toate folderele (așa cum este descris mai sus).

În timp ce instalarea viermele I-Worm.PrettyPark copia un fișier infectat la directorul de sistem Windows sub numele de FILES32.VXD și înregistrează-l în registrul de sistem, astfel încât sarcini fișier FILES32.VXD atunci când începe fiecare program. Pentru a face acest lucru, viermele creează o nouă cheie de registry care este asociat cu fișierul FILES32.VXD cheie (copie vierme). Acest fișier are o extensie a VxD, dar nu este un VxD-driver pentru Win95 / 98, dar programul absolut normal Windows32.

Pentru a obține complet scăpa de PrettyPark face următoarele:

redenumiți regedit.exe în regedit.com;

executați regedit și instalați

"HKEY_CLASSES_ROOT \ exefile \ shell \ open \ command" în "" % 1 "% *";

rula AVP și trata calculatorul;

redenumiți regedit înapoi.

La instalarea sistemului, viermele creează în directorul de sistem Windows și fișierele Ska.exe SKA.DLL și salvează fișierul Wsock32.dll numit WSOCK32.SKA și segmentul său de cod adaugă în fișierul Wsock32.dll.

Eliminarea fișierelor infectate:

Trebuie să eliminați și fișierele SKA.EXE SKA.DLL din directorul de sistem Windows, pentru a înlocui fișierul infectat pe ea Wsock32.dll neinfectați WSOCK32.SKA copie. Ar trebui, de asemenea, găsi și șterge original HAPPY99.EXE EXE-fișier.







Pentru a proteja în continuare computerul de la acest vierme trebuie doar pentru a seta atributul „read only“ în fișierul Wsock32.dll. Viermele nu este capabil să infecteze sistemul în acest caz, deoarece nu se ocupa cu atributele de fișier.

Daca esti un fan al noilor programe, jucării și să conducă o corespondență activă prin e-mail și de a folosi cu Cuvântul, sau pur și simplu doresc să urmeze regulile de mai sus, trebuie să utilizați software-ul antivirus. Care este cel mai bun antivirus? Totul depinde de gusturile și preferințele, astfel încât să decidă pentru tine. Există mai mulți parametri care pot fi comparate cu o varietate de anti-virus împreună. Judecând din propria mea experiență de utilizare a acestora și opinii ale experților, software anti-virus, un decente de utilizare, trebuie să „știe cum“:

a crea o dischetă de urgență;

scana sectorul de boot și de a crea o copie a sectorului de boot original;

fișiere de scanare, inclusiv arhive (.ARJ ZIP RAR ..);

memorie de scanare;

va scana automat disc la un program prestabilit;

scanați fișierele pe măsură ce sosesc pe computer și atunci când accesează un dispozitiv de disc sau de rețea, aceste dispozitive de scanare în căutare de viruși;

când reporniți cecul, nu a lăsat în unitatea floppy, și alerta utilizatorul;

scanați discul în fundal;

detectarea virușilor macro din documente Word și Excel;

Lista nu este mică, dar obligatorie. În caz contrar, binele unui astfel de program nu va fi nici. În plus față de anti-virus de mai sus ar trebui să fie de încredere, rapid și ușor de utilizat (fără „atârnă-up-uri“ și alte probleme tehnice), calitativ detecta virușii toate tipurile comune nu au „fals pozitive“, au capacitatea de a vindeca obiectele infectate, din când în când (cu atât mai mult, cu atât mai bine ) actualizat (actualizat cu baze de date noi viruși) să fie multi-platforma (DOS, Windows, Windows 95, Windows NT, Novell NetWare, OS / 2, Alpha, Linux, etc) și să poată administrare de rețea.

Astăzi, există mai multe pachete de conducere antivirus: Toolkit Pro Kaspersky laborator română Antiviral Eugene (www.avp.ru) si Dr. Web de "DialogueScience" (www.drweb.ru), precum și Western McAfee Virus total de apărare de la Network Associates (www.macafee.com), Norton AntiVirus de la Symantec are (www.symantec.com) și altele.

Tema de selecție antivirus necesită o discuție separată, astfel încât în ​​problema următoare ne vom concentra în detaliu pe cele mai recente versiuni ale acestor produse, vom înțelege toate punctele forte și punctele slabe ale acestora, și chiar cheltui niște teste. Ne vedem luna viitoare. Protejați-vă și nu se imbolnavesc!

Adică, este departe de a și campion Bug dragoste, și câștigătorii (Code Red virus a costat lumea 2600000000 Sircam costa aproximativ 1 miliard de $ si Nimda -. .. 590 milioane de dolari).

Dar, relaxați-vă, desigur, este imposibil, deoarece creatorii de viruși sunt în alertă și în mod constant a veni cu ceva nou si sofisticat.

Numărul de servicii on-line adăugare Runet aplicație antivirus. -AV on-line pe portalul companiei și Informer.ru a anunțat lansarea unui proiect comun. Acum, utilizatorii de web vor putea instala widget-ul de pe site-urile lor, prin care pot fi fișier de la distanță de scanare pentru a detecta viruși. Vezi, arata ca un widget nou, click aici.

serviciu a algoritmului este următoarea: fișierele pentru a verifica în utilizarea informatorul încărcate pe server AV on-line în cazul în care pachetul DrWeb se realizează prin intermediul verificării acestora. În plus față de procedura de verificare, utilizatorii pot accesa, de asemenea, statisticile de fișiere autentificate.

seria proprie Informer invitat "Kaspersky Lab". Structura acestei serii include widget-uri, care conține știri, știri proiect VirusList.com. Virusul Top10 de rating și o listă a virusului cel mai activ al zilei.

dezvoltator român al sistemelor de protecție anti-virus Compania „Kaspersky Lab“, a anunțat descoperirea unui nou vierme de Internet I-Worm.Updater. Acesta a fost deja mai multe infecții cu acest virus.

Opțiuni de proiectare cu litere Updater virus multiple. Linia „subiect“ este împărțit în patru părți și generat în mod aleatoriu din lista de mai jos:

Partea 1: „Ai“, „Tu ar trebui să“, „Doar“, „de ce nu te“, „Cum să“, „Re:“, „Redir“, „“

Partea 2: "Verificați", "Check out", "Ai grijă", "Open", "Uită-te la"

Partea 3: "acest lucru", "mea", "Pentru aceasta", "The"

Partea 4: "Imagine", "Programul", "Patch", "Nud pic", "Raport", "Documment", "Oferta", "Tranzacție", "Cont bancar", "WTC tragedie", „Osama Vs Bush "" cont "" Private Pic "

De exemplu: ar trebui să uite la asta Osama Vs Bush

corpul scrisorii este după cum urmează:

Acesta este fișierul pe care îl ceri, Vă rugăm să-l salvați pe disc și de a deschide acest fișier, este foarte important.

Fișierul atașat purtătorul de vierme poate fi numit: "Setup.exe", "Install.exe", "Readme.exe", "Files.exe", "Picture.exe", "Quotation.Doc.exe", „Scrisoare. doc.exe "" Picture.jpg.exe "

„Updater“ are efecte secundare neplăcute. Se creează un UPDATE.VBS program de script rău intenționat, îl stochează în directorul Windows de pornire și-l execută. Acest program caută fișiere cu extensia .exe. DOC și vbs și creează pentru fișierele, acestea însoțitoarele care conțin o copie a viermelui. Aceste fișiere însoțitoare au aceleași nume ca și fișierele originale, plus o .vbs de expansiune „a doua“. De exemplu: MPLAYER.EXE.vbs REPORT.DOC.vbs

Recomandări pentru utilizatorii nu sunt originale: Do fișiere nu sunt deschise (în special), atașat la executabile e-mailurile suspecte.

companiile anti-virus răspândit mesajul despre un nou virus-vierme numit Gone (alte nume: PENTAGONE și Goner). În ciuda faptului că acest virus nu diferă complicate, se răspândește foarte repede. MessageLabs compania britanică a declarat serviciul de poștă blocat mai mult de 23 de milioane de copii ale acestor virusuri. Potrivit companiei, ieri dupa-amiaza in Marea Britanie infectate mesaje vin de la o rată de 100 de bucăți pe minut.

El vine prin e-mail într-un fișier atașat la scrisoarea cu numele Gone.scr, adică, este deghizat ca un screensaver. În costurile de antet de mesaj doar un singur cuvânt: „Bună“. Textul scrisorii în corpul următoarele: „Cum vă simțiți Când am văzut acest economizor de ecran, m-am gândit imediat la tine sunt într-un harry, îți promit că va place ..!“ ( „Hei, când am văzut acest economizor de ecran, m-am gândit imediat la tine. Nu am timp acum, dar îți promit să-ți placă“). Virusul se raspandeste numai prin programul de e-mail Microsoft Outlook pe computerele Windows, restul nu funcționează.

Plecat de pe virus de calculator infectat oprește majoritatea programelor anti-virus și de securitate și șterge toate fișierele din folderele care conțin aceste aplicații. În special, virusul găsește și elimină antivirus AVP de la "Kaspersky Lab" și producția de software de securitate ZoneAlarm și Zone Labs Black Ice de la Internet Security Systems.

După îndepărtarea de protecție din computer, virusul se deschide o casetă de dialog cu numele lor și numele creatorilor PENTAGONE, și, de asemenea, a mulțumit utilizatorilor de Internet. Apoi, virusul instalează un program pe calculator „ușa din spate“, care pot fi folosite de hackeri pentru a lansa atacuri, cum ar fi „negarea serviciului“ împotriva serverelor IRC-chat.

companiile antivirus recomandă insistent ca utilizatorii să actualizeze software-ul antivirus și nu pentru a deschide e-mailuri, sub rezerva descrierii de mai sus.

Goner vierme se raspandeste prin e-mail. Mesajele infectate au forma următoare:

Corpul mesajului: „Cum vă simțiți.

Când am văzut acest economizor de ecran, m-am gândit imediat despre tine

Sunt într-o harry, îți promit că-l va iubi! "

Fișierul atașat: GONE.SCR.

Pentru a activa utilizatorul „Goner“ trebuie să rulați fișierul gazdă a viermelui (GONE.SCR), după care începe procedura de introducere a codului malitios pe computerul victimei. Pentru a face acest lucru, „Goner“, scrie codul în directorul de sistem Windows sub același nume (GONE.SCR) și înregistrează acest fișier în secțiunea de pornire Windows Registry. Astfel, viermele va porni automat de fiecare dată când reporniți sistemul de operare.

„Goner“, de asemenea, încearcă să-și trimite copii folosind ICQ instant messenger. Pentru aceasta, el monitorizează în mod constant lista de utilizatori activi (on-line), și periodic încearcă să le dea un fișier de vierme. Pentru a ascunde prezența în sistem, și operarea neautorizată cu ICQ „Goner“ scanează în mod constant numele de fereastra nou apărută și închide fereastra de serviciu ICQ.

În plus față de răspândirea de vierme de Internet, de asemenea, realizează un atac asupra #pentagonex IRC-canal prin twisted.ma.us.dal.net server. Pentru a realiza acest lucru, computerul infectat rula în liniște program de script rău intenționat care utilizează clientul mIRC creează în mod regulat canalul de utilizator cu nume aleatoare. În unele cazuri, acest lucru poate duce la supraîncărcarea serviciului și, desigur, irita alți jucători IRC-canal.

Informații despre activitatea „Ce este un virus?“

schimbări în așa fel încât nu mai are nimic de a face cu versiunea anterioară. O parte a virusului poate samomodifitsirovatsya și în același computer. Detectarea acestor virusuri este foarte complicat, deși o parte din programul antivirus încearcă să le găsească pe secțiunea a codului specific pe partea de pornire. * - DIR - câmp în celula de gestionare a resurselor, indicând direcția RM-celulă.

Care sunt viruși, informatică, programare

contaminarea de text (.txt) și fișiere imagine (.tif. gif. bmp, și așa mai departe. p.), fișierele de date și fișiere de date. Cazuri în care vă puteți infecta computerul obține infectate cu un virus de calculator poate doar într-un număr foarte limitat de cazuri. Acestea sunt: ​​Pornirea unui program de calculator executabil infectat cu un virus. Porniți computerul de pe o dischetă care conține virusul. Conectarea la sistem.

«Boot-virus“ care afectează sectorul de boot disc greu este acum aproape exterminat. Astăzi, știința știe aproximativ 50 de mii de viruși de calculator - puțin programmok rău intenționat, ca urmare în viața lui doar trei porunci - fructe, ascund și porturi. Și pentru a face cu ei trebuie să fie diferite, pentru că remediul universal, din păcate, nu există. Se poate dovedi a clasifica viruși.