قبل از شروع به نوشتن این مقاله، با یکی از بنیانگذاران صنعت آنتی ویروس داخلی ملاقات کردم اوگنی کسپرسکی، که ارقامی را در مورد وضعیت بازار آنتی ویروس روسیه و جهانی به من گفت. من همچنین با نماینده شرکت معروف آنتی ویروس DialogNauka، مدیر کار با مشتریان بزرگ، Maxim Skida صحبت کردم. از مکالمه، یک واقعیت جالب را یاد گرفتم - معلوم شد که صنعت آنتی ویروس در آستانه جشن گرفتن دهه اول خود است.

البته آنتی ویروس ها بیش از ده سال پیش ظاهر شدند. با این حال، در ابتدا آنها به عنوان یک پادزهر رایگان توزیع شدند. حق نداشت پشتیبانی خدمات، از آنجایی که پروژه ها غیرانتفاعی بودند. به عنوان یک صنعت، خدمات ایجاد و ارائه برنامه های آنتی ویروس در حدود سال 1992 شکل گرفت، نه زودتر، به این معنی که به زودی دهمین سالگرد خود را جشن می گیرد. ده سال زمان بسیار کوتاهی برای تولد و توسعه کل یک صنعت با گردش مالی صدها میلیون دلاری است. در طول این مدت، بازار کاملاً جدیدی پدید آمد، فهرست مشخصی از محصولات تشکیل شد و اصطلاحات جدید زیادی ظاهر شد که برای یک دایره المعارف کامل کافی بود. لازم به ذکر است که گاهی اوقات تشخیص یک اصطلاح علمی از یک نام تجاری برای یک کاربر بی تجربه حتی دشوار است. البته برای استفاده از برنامه های ضد ویروس نیازی به دانستن تمام جزئیات ساختار و رفتار ویروس ها نیست، بلکه درک کلی از اینکه تا به امروز چه گروه های اصلی از ویروس ها تشکیل شده اند، چه اصولی در آنها تعبیه شده است. الگوریتم ها بدافزارو نحوه تقسیم بازار جهانی آنتی ویروس و روسیه برای طیف نسبتاً گسترده ای از خوانندگان مفید خواهد بود که این مقاله به آنها خطاب می شود.

ده سال توسعه بازار آنتی ویروس در روسیه

همانطور که قبلا ذکر شد، بازار آنتی ویروس در آستانه دهمین سالگرد خود است. در سال 1992 بود که JSC DialogNauka ایجاد شد که آغازی برای تبلیغ فعال برنامه معروف Aidstest Lozinsky به بازار داخلی بود.از آن زمان، Aidstest به صورت تجاری توزیع شد.

تقریباً در همان زمان، اوگنی کسپرسکی یک بخش تجاری کوچک در KAMI سازماندهی کرد که در ابتدا سه نفر را استخدام می کرد. همچنین در سال 1992، برنامه McAfee VirusScan به سرعت بازار آمریکا را تسخیر کرد. در روسیه، در آن زمان، بازار به آرامی در حال توسعه بود، و حداقل تا سال 1994 (شکل 1) تصویر تقریباً به صورت زیر به نظر می رسید: موقعیت غالب توسط شرکت DialogNauka (حدود 80٪) تحت مالکیت Kaspersky Anti-Virus اشغال شده بود. کمتر از 5 درصد بازار، بقیه - 15 درصد دیگر از بازار. در سال 1995، اوگنی کسپرسکی آنتی ویروس خود را به 32 بیت اینتل منتقل کرد

پلتفرم های ویندوز

، Novell NetWare و OS/2، در نتیجه این محصول به طور فعال به بازار معرفی شد.

نوعی از برنامه‌های دو منظوره، مسدودکننده‌های رفتاری هستند که رفتار سایر برنامه‌ها را تحلیل می‌کنند و در صورت شناسایی اقدامات مشکوک، آن‌ها را مسدود می‌کنند. مسدود کننده های رفتاری با یک آنتی ویروس کلاسیک با هسته آنتی ویروس که ویروس هایی را که در آزمایشگاه تجزیه و تحلیل شده اند و برای آنها یک الگوریتم درمانی تجویز شده است، "شناسایی" و درمان می کند، از این نظر متفاوت است که نمی توانند ویروس ها را درمان کنند زیرا چیزی در مورد آنها نمی دانند. این خاصیت مسدود کننده ها مفید است زیرا می توانند با هر ویروسی از جمله ویروس های ناشناخته کار کنند. این به ویژه امروزه صادق است، زیرا توزیع کنندگان ویروس و آنتی ویروس از کانال های انتقال داده یکسان، یعنی اینترنت استفاده می کنند. در عین حال، ویروس همیشه شروع به کار (زمان تاخیر) دارد، زیرا شرکت آنتی ویروس همیشه به زمان نیاز دارد تا خود ویروس را بدست آورد، آن را تجزیه و تحلیل کند و ماژول های درمانی مناسب را بنویسد. برنامه‌های گروه استفاده دوگانه به شما امکان می‌دهند تا زمانی که شرکت ماژول درمانی بنویسد، از انتشار ویروس جلوگیری کنید.فرض می‌کند که اقدامات ویروس، چک‌سام را تغییر می‌دهد. با این حال، تغییرات همزمان در دو بخش مختلف می تواند باعث شود که جمع کنترلی در هنگام تغییر فایل ثابت بماند. وظیفه اصلی ساخت الگوریتم این است که اطمینان حاصل شود که تغییرات در فایل تضمین شده است که منجر به تغییر در چک‌سوم می‌شود.

روش های تعیین ویروس های چند شکلی

در شکل شکل 6 عملکرد یک برنامه آلوده به ویروس (a) و یک برنامه آلوده به ویروس رمزگذاری شده (b) را نشان می دهد. در حالت اول، طرح عملیاتی ویروس به شرح زیر است: برنامه اجرا می شود، در نقطه ای کد ویروس شروع به اجرا می کند و سپس برنامه دوباره اجرا می شود. در مورد یک برنامه رمزگذاری شده، همه چیز پیچیده تر است.

برنامه اجرا می شود، سپس رمزگشا روشن می شود که ویروس را رمزگشایی می کند، سپس ویروس پردازش می شود و کد برنامه اصلی دوباره اجرا می شود.

کد ویروس در هر مورد متفاوت رمزگذاری می شود. اگر در مورد یک ویروس رمزگذاری نشده، مقایسه مرجع به شما امکان می دهد ویروس را با امضای ثابت "تشخیص دهید"، در یک فرم رمزگذاری شده امضا قابل مشاهده نیست. در عین حال ، جستجوی رمزگشا تقریباً غیرممکن است ، زیرا بسیار کوچک است و تشخیص چنین عنصر فشرده ای بی فایده است ، زیرا تعداد موارد مثبت کاذب به شدت افزایش می یابد.

البته آنتی ویروس ها بیش از ده سال پیش ظاهر شدند. با این حال، در ابتدا آنها به عنوان یک پادزهر رایگان توزیع شدند. از آنجایی که پروژه ها غیرانتفاعی بودند، هیچ پشتیبانی مناسبی از این سرویس وجود نداشت. به عنوان یک صنعت، خدمات ایجاد و ارائه برنامه های آنتی ویروس در حدود سال 1992 شکل گرفت، نه زودتر، به این معنی که به زودی دهمین سالگرد خود را جشن می گیرد. ده سال زمان بسیار کوتاهی برای تولد و توسعه کل یک صنعت با گردش مالی صدها میلیون دلاری است. در طول این مدت، بازار کاملاً جدیدی پدید آمد، فهرست مشخصی از محصولات تشکیل شد و اصطلاحات جدید زیادی ظاهر شد که برای یک دایره المعارف کامل کافی بود. لازم به ذکر است که گاهی اوقات تشخیص یک اصطلاح علمی از یک نام تجاری برای یک کاربر بی تجربه حتی دشوار است. البته برای استفاده از برنامه های ضد ویروس نیازی به دانستن تمام جزئیات ساختار و رفتار ویروس ها نیست، بلکه درک کلی از این که امروزه چه گروه های اصلی از ویروس ها تشکیل شده اند، چه اصولی در آن تعبیه شده است. الگوریتم‌های بدافزار و نحوه تقسیم‌بندی بازار جهانی و روسی آنتی‌ویروس، برای طیف نسبتاً گسترده‌ای از خوانندگانی که این مقاله به آنها خطاب می‌شود، مفید خواهد بود.

ده سال توسعه بازار آنتی ویروس در روسیه

همانطور که قبلا ذکر شد، بازار آنتی ویروس در آستانه دهمین سالگرد خود است.

تقریباً در همان زمان، اوگنی کسپرسکی یک بخش تجاری کوچک در KAMI سازماندهی کرد که در ابتدا سه نفر را استخدام می کرد. همچنین در سال 1992، برنامه McAfee VirusScan به سرعت بازار آمریکا را تسخیر کرد. در روسیه، در آن زمان، بازار به آرامی در حال توسعه بود، و حداقل تا سال 1994 (شکل 1) تصویر تقریباً به صورت زیر به نظر می رسید: موقعیت غالب توسط شرکت DialogNauka (حدود 80٪) تحت مالکیت Kaspersky Anti-Virus اشغال شده بود. کمتر از 5 درصد بازار، بقیه - 15 درصد دیگر از بازار. در سال 1995، اوگنی کسپرسکی آنتی ویروس خود را به 32 بیت اینتل منتقل کرد

پلتفرم های ویندوز

، Novell NetWare و OS/2، در نتیجه این محصول به طور فعال به بازار معرفی شد.

الگوریتم چک‌سوم فرض می‌کند که اقدامات ویروس، جمع کنترلی را تغییر می‌دهد. با این حال، تغییرات همزمان در دو بخش مختلف می تواند باعث شود که جمع کنترلی در هنگام تغییر فایل ثابت بماند. وظیفه اصلی ساخت الگوریتم این است که اطمینان حاصل شود که تغییرات در فایل تضمین شده است که منجر به تغییر در چک‌سوم می‌شود.

روش های تعیین ویروس های چند شکلی

در شکل شکل 6 عملکرد یک برنامه آلوده به ویروس (a) و یک برنامه آلوده به ویروس رمزگذاری شده (b) را نشان می دهد. در حالت اول، طرح عملیاتی ویروس به شرح زیر است: برنامه اجرا می شود، در نقطه ای کد ویروس شروع به اجرا می کند و سپس برنامه دوباره اجرا می شود. در مورد یک برنامه رمزگذاری شده، همه چیز پیچیده تر است.

برنامه اجرا می شود، سپس رمزگشا روشن می شود که ویروس را رمزگشایی می کند، سپس ویروس پردازش می شود و کد برنامه اصلی دوباره اجرا می شود.

تاریخچه ظهور ویروس نویسی بسیار جالب است - هنوز منتظر محقق دقیق خود است! هنوز هیچ اتفاق نظری در مورد لحظه ای که بتوان آن را روز رسمی ظهور ویروس در نظر گرفت، وجود ندارد، همانطور که هیچ معیاری وجود نداشت که بتوان این یا آن نرم افزار را تحت آن قرار داد و بین آزمایش های تحقیقاتی و یک برنامه نوشته شده هدفمند با عملکردهای مخرب تمایز قائل شد.

در سال 1949، جان فون نائومان، ریاضیدان برجسته آمریکایی مجارستانی الاصل که سهم مهمی در فیزیک کوانتومی، منطق کوانتومی، تجزیه و تحلیل تابعی، نظریه مجموعه ها، علوم کامپیوتر، اقتصاد و سایر شاخه های علم داشت، یک نظریه ریاضی برای خلق خود ایجاد کرد. -تکثیر برنامه ها این اولین تلاش برای ایجاد نظریه ای از چنین پدیده ای بود، اما از آنجایی که هیچ اهمیت عملی ظاهری نداشت، علاقه چندانی در بین جامعه علمی برانگیخت.

همچنین هیچ توافقی در مورد منشاء نام "ویروس کامپیوتری" وجود ندارد. بر اساس یک نسخه، این اتفاق در 10 نوامبر 1983، زمانی که دانشجوی فارغ التحصیل دانشگاه کالیفرنیای جنوبی، فرد کوهن، برنامه ای را بر روی یک سیستم VAX 11/750 در طی یک سمینار امنیتی در دانشگاه لیهای (پنسیلوانیا، ایالات متحده آمریکا) نشان داد اشیاء نرم افزاری. این برنامه را به درستی می توان یکی از اولین نمونه های اولیه ویروس کامپیوتری در نظر گرفت.

کوهن کدی را که نوشته بود در یکی از دستورات یونیکس پیاده سازی کرد و در عرض پنج دقیقه پس از اجرای آن بر روی کامپیوتر، کنترل سیستم را به دست آورد. در چهار تظاهرات دیگر، دسترسی کامل در نیم ساعت به دست آمد و تمام مکانیسم‌های دفاعی موجود در آن زمان شکست خورد.

نسخه ای وجود دارد که اصطلاح "ویروس" توسط مشاور علمی فرد، یکی از خالقان الگوریتم رمزنگاری RSA، لئونارد آدلمن، برای توصیف برنامه ای که خودش را کپی می کند، استفاده شده است.

یک سال بعد، در هفتمین کنفرانس امنیت اطلاعات، F. Cohen تعریفی علمی از اصطلاح "ویروس رایانه ای" به عنوان برنامه ای ارائه می دهد که می تواند برنامه های دیگر را با اصلاح آنها به منظور معرفی نسخه هایی از خود و اجرای آنها "آلوده" کند. اقدامات مشخص شده. بیایید توجه داشته باشیم که F. Cohen قطعاً یک مبتکر در این زمینه نبود. ملاحظات نظری در مورد برنامه های توزیع شده با کپی کردن از کامپیوتر به کامپیوتر و اجرای عملیقبلا با موفقیت پیاده سازی شده اند. با این حال، ارائه F. Cohen بود که کارشناسان را مجبور کرد به طور جدی در مورد آسیب احتمالی حملات عمدی صحبت کنند. فقط پانزده سال بعد، گسترش بدافزارها نرم افزارابعاد نگران کننده ای به دست آورده است که نمی توان آن را به شدت کاهش داد.

به یک معنا، ریچ اسکرنتا، دانش آموز 15 ساله ای از پنسیلوانیا از اف. کوهن جلوتر بود. سرگرمی مورد علاقه او شوخی با دوستانش با تغییر کد بازی های Apple II بود که باعث می شد کامپیوترها ناگهان خاموش شوند یا کارهای دیگری انجام دهند. در سال 1982، Elk Cloner را نوشت، یک ویروس بوت خودتکثیر شونده که Apple II را از طریق فلاپی دیسک آلوده کرد. هر پنجاهمین راه‌اندازی مجدد کامپیوتر، پیامی ظاهر می‌شد که می‌گفت: "دیسک‌های شما را می‌گیرد، تراشه‌های شما را می‌گیرد. بله، کلونر است! مثل چسب به شما می‌چسبد، در حافظه شما نفوذ می‌کند. کلونر از شما استقبال می‌کند!"

برنامه R. Skrent فراتر از حلقه دوستان او نبود. افتخارات به سمت "شاهکار" تفکر برنامه نویس رفت که چند سال بعد ظاهر شد. برنامه Brain در سال 1988 توسط دو برادر از پاکستان ایجاد شد که به آنها اعتبار داده شده است که رایانه های شخصی را از طریق نسخه های غیرقانونی برنامه نظارت بر قلب ایجاد کرده اند. این ویروس حاوی یک اعلامیه حق چاپ با نام و شماره تلفن برادران بود، بنابراین کاربران دستگاه های آلوده می توانستند مستقیماً برای دریافت "واکسن" با ویروس نویسان تماس بگیرند. اولین نسخه Brain با تغییرات زیادی همراه شد که صرفاً جنبه تجاری داشت.

در سال 1988، رابرت تاپان موریس جونیور، دانشجوی فارغ التحصیل دانشگاه کرنل، پسر دانشمند ارشد آژانس امنیت ملی، اولین کرم کامپیوتری گسترده را منتشر کرد، اگرچه کارهای آزمایشی در این زمینه از اواخر دهه 1970 انجام شده است. این نوع برنامه اغلب هیچ گونه دستکاری مخربی با فایل های کاربر انجام نمی دهد و هدف آن انتشار سریع و گسترده هر چه بیشتر و کاهش کارایی شبکه ها است.

بر اساس برخی برآوردها، بین 5 تا 10 درصد ماشین‌های متصل به شبکه در آن زمان که بیشتر آن‌ها متعلق به دانشگاه‌ها و سازمان‌های تحقیقاتی بودند، مورد حمله این شبکه قرار گرفتند. این کرم در چندین برنامه از جمله Sendmail از آسیب‌پذیری‌ها سوء استفاده کرد. R. T. Morris اولین فردی بود که به جرایم رایانه ای محکوم شد و به 3 سال حبس تعلیقی محکوم شد. با این حال، این مانع از آن نشد که او بعداً به عنوان استاد در موسسه فناوری ماساچوست (MIT) تبدیل شود.

بدافزار قدم بزرگ بعدی خود را در دهه 90 با افزایش تقاضا برداشت کامپیوترهای شخصیو تعداد کاربران ایمیل. ارتباطات الکترونیکی راه بسیار مؤثرتری را برای آلودگی رایانه شخصی نسبت به رسانه های ذخیره سازی فراهم کرده است. نمونه ای از سرعت انتشار ویروس ملیسا در سال 1999 بود که به 250 هزار سیستم نفوذ کرد. با این حال، بی ضرر بود، با این تفاوت که هر زمان که زمان و تاریخ مطابقت داشتند - مثلاً 5:20 و 20 می - نقل قولی از The Simpsons روی صفحه ظاهر می شد.

یک سال بعد، Love Bug، همچنین به عنوان LoveLetter، ظاهر شد. در مدت کوتاهی ویروس در سراسر جهان پخش شد! این توسط یک دانشجوی فیلیپینی نوشته شده بود و در ایمیلی با موضوع "دوستت دارم" ارسال شد. به محض اینکه کاربر سعی کرد پیوست را باز کند، ویروس خود را از طریق Microsoft Outlook به تمام آدرس‌های موجود در لیست مخاطبین فرستاد. سپس یک برنامه تروجان را دانلود کرد تا اطلاعات مورد علاقه فیلیپینی ها را جمع آوری کند. LoveLetter تقریباً به 55 میلیون رایانه شخصی حمله کرد و بین 2.5 تا 3 میلیون را آلوده کرد. میزان خسارتی که وی ایجاد کرد 10 میلیارد تخمین زده شد، اما این دانش آموز از مجازات فرار کرد زیرا فیلیپین در آن زمان چارچوب قانونی برای مبارزه با مجرمان سایبری نداشت [Born Denis، http://www.wired.com].

گسترش بهمن ویروس ها به یک مشکل بزرگ برای اکثر شرکت ها و سازمان های دولتی تبدیل شده است. در حال حاضر، بیش از یک میلیون ویروس کامپیوتری شناخته شده است و بیش از 3000 نوع جدید هر ماه ظاهر می شود ["دایره المعارف ویروس ها"، http://www.viruslist.com/ru/viruses/encyclopedia.].

یک ویروس کامپیوتری یک برنامه نوشته شده ویژه است که می تواند خود را به برنامه های دیگر "نسبت" کند، به عنوان مثال. "آنها را آلوده کنید" به منظور انجام اقدامات ناخواسته مختلف بر روی رایانه، محاسبات یا سیستم اطلاعاتیو آنلاین.

وقتی چنین برنامه ای شروع به کار می کند، معمولاً ابتدا ویروس کنترل می شود. ویروس می تواند به طور مستقل عمل کند و اقدامات مخرب خاصی را انجام دهد (تغییر فایل ها یا جدول تخصیص فایل روی دیسک، مسدود شدن RAM، آدرس تماس ها را به تغییر می دهد دستگاه های خارجی، یک برنامه مخرب تولید می کند، گذرواژه ها و داده ها و غیره را می دزدد)، یا برنامه های دیگر را "آلوده می کند". برنامه های آلوده را می توان با استفاده از فلاپی دیسک یا شبکه محلی به رایانه دیگری منتقل کرد.

اشکال سازماندهی حملات ویروسی بسیار متنوع است، اما به طور کلی می توان آنها را عملا به دسته های زیر "پراکنده" کرد:

• نفوذ از راه دور به رایانه - برنامه هایی که از طریق اینترنت (یا شبکه محلی) به رایانه دیگری دسترسی غیرمجاز پیدا می کنند.
• نفوذ کامپیوتر محلی - برنامه هایی که به کامپیوتری که متعاقباً روی آن کار می کنند دسترسی غیرمجاز پیدا می کنند.
• مسدود کردن رایانه از راه دور - برنامه هایی که از طریق اینترنت (یا شبکه)، عملکرد یک رایانه از راه دور کامل یا برنامه جداگانهروی آن؛
• مسدود کردن رایانه محلی - برنامه هایی که عملکرد رایانه ای را که روی آن اجرا می شود مسدود می کنند.
• اسکنرهای شبکه - برنامه هایی که اطلاعات مربوط به شبکه را جمع آوری می کنند تا مشخص کنند کدام کامپیوترها و برنامه های در حال اجرا بر روی آنها به طور بالقوه در برابر حملات آسیب پذیر هستند.
• اسکنرهای آسیب پذیری برنامه - برنامه هایی که گروه های بزرگی از رایانه ها را در اینترنت در جستجوی رایانه هایی که در برابر نوع خاصی از حمله آسیب پذیر هستند اسکن می کنند.
• کرکرهای رمز عبور - برنامه هایی که رمزهای عبور به راحتی قابل حدس زدن را در فایل های رمزگذاری شده رمزگذاری شده شناسایی می کنند.
• تحلیلگرهای شبکه (sniffers) - برنامه هایی که گوش می دهند ترافیک شبکه; آنها اغلب توانایی برجسته کردن خودکار نام های کاربری، رمز عبور و اعداد را دارند کارت های اعتباریاز ترافیک؛
• تغییر داده های ارسال شده یا جایگزینی اطلاعات؛
• جایگزینی یک شی قابل اعتماد با یک شی توزیع شده شبکه کامپیوتری(از طرف او کار کنید) یا یک شی کاذب از یک هواپیمای توزیع شده (DBC).
• "مهندسی اجتماعی" دسترسی غیرمجاز به اطلاعات غیر از هک نرم افزار است. هدف گمراه کردن کارکنان (شبکه یا مدیران سیستم، کاربران، مدیران) برای به دست آوردن رمزهای عبور سیستم یا سایر اطلاعاتی که به به خطر انداختن امنیت سیستم کمک می کند.

نرم‌افزارهای مخرب شامل کرم‌های شبکه، ویروس‌های فایل کلاسیک، اسب‌های تروجان، ابزارهای هکر و سایر برنامه‌هایی هستند که عمداً به رایانه‌ای که روی آن اجرا می‌شوند یا سایر رایانه‌های موجود در شبکه آسیب می‌رسانند.

کرم های شبکه

روش اصلی که در آن انواع کرم ها با یکدیگر متفاوت هستند، روش انتشار کرم است - نحوه انتقال کپی آن به رایانه های راه دور. از دیگر نشانه‌هایی که CPها با یکدیگر متفاوت هستند، روش‌های راه‌اندازی یک کپی از کرم بر روی رایانه آلوده، روش‌های معرفی به سیستم، و همچنین چندشکلی، پنهان‌کاری و سایر ویژگی‌های ذاتی انواع دیگر نرم‌افزارهای مخرب (ویروس‌ها و تروجان‌ها) است. ).

مثال - E-mail-Worm - mail worms. این دسته از کرم ها شامل آنهایی می شود که از ایمیل برای انتشار استفاده می کنند. در این حالت، کرم یا یک کپی از خود را به عنوان پیوست ارسال می کند ایمیل، یا پیوندی به فایل شما که در برخی از منابع شبکه قرار دارد (به عنوان مثال، یک URL به یک فایل آلوده که در یک وب سایت هک شده یا هکری قرار دارد). در مورد اول، زمانی که یک پیوست آلوده باز می شود (راه اندازی می شود)، کد کرم فعال می شود، در مورد دوم - زمانی که پیوندی به یک فایل آلوده باز می شود. در هر دو مورد، اثر یکسان است - کد کرم فعال می شود.

کرم های پست از روش های مختلفی برای ارسال پیام های آلوده استفاده می کنند. رایج ترین:

• اتصال مستقیم به سرور SMTP با استفاده از کتابخانه پستی تعبیه شده در کد کرم.
• استفاده از خدمات MS Outlook؛
• استفاده توابع ویندوز MAPI.

روش‌های مختلفی توسط کرم‌های ایمیل برای جستجوی آدرس‌های ایمیلی که ایمیل‌های آلوده به آنها ارسال می‌شود، استفاده می‌شود. کرم های پست الکترونیکی:

• خود را به تمام آدرس های موجود در آن بفرستند دفترچه آدرس MS Outlook;
• آدرس ها را از پایگاه داده آدرس WAB می خواند.
• فایل های "مناسب" را روی دیسک اسکن می کند و خطوطی را در آنها انتخاب می کند که آدرس ایمیل هستند.
• خود را به تمام آدرس هایی که در حروف موجود است بفرستند صندوق پستی(در همان زمان، برخی از کرم‌های پستی به نامه‌های موجود در صندوق پست «پاسخ» می‌دهند).

بسیاری از کرم ها همزمان از چندین مورد از این روش ها استفاده می کنند. همچنین راه های دیگری برای یافتن آدرس ایمیل وجود دارد. انواع دیگر کرم ها: IM-Worm - کرم هایی که از پیجرهای اینترنتی استفاده می کنند، IRC-Worm - کرم ها در کانال های IRC، Net-Worm - سایر کرم های شبکه.

ویروس های کامپیوتری کلاسیک

این دسته شامل برنامه هایی است که نسخه های خود را در منابع توزیع می کنند کامپیوتر محلیبه منظور: راه اندازی بعدی کد شما پس از هر گونه اقدام کاربر یا پیاده سازی بیشتر در سایر منابع رایانه.

برخلاف کرم ها، ویروس ها از خدمات شبکه برای نفوذ به رایانه های دیگر استفاده نمی کنند. یک کپی از ویروس تنها در صورتی به رایانه های راه دور می رسد که شی آلوده، به دلایلی فراتر از عملکرد ویروس، در رایانه دیگری فعال شود، به عنوان مثال:

• هنگام آلوده کردن دیسک های در دسترس، ویروس به فایل های موجود در یک منبع شبکه نفوذ کرد.
• ویروس خود را در رسانه های قابل جابجایی یا فایل های آلوده روی آن کپی کرده است.
• کاربر یک ایمیل با پیوست آلوده ارسال کرد.

برخی از ویروس‌ها دارای ویژگی‌های انواع دیگر نرم‌افزارهای مخرب هستند، مانند رویه‌های درپشتی یا تروجانی که اطلاعات روی دیسک را از بین می‌برد.

بسیاری از جدول و ویرایشگرهای گرافیکیسیستم‌های طراحی، واژه‌پردازها زبان‌های ماکرو (ماکرو) مخصوص به خود را دارند تا اجرای اقدامات تکراری را خودکار کنند. این زبان های کلان اغلب دارای ساختار پیچیده و مجموعه ای غنی از دستورات هستند. ماکرو ویروس ها برنامه هایی به زبان های ماکرو هستند که در چنین سیستم های پردازش داده ای ساخته شده اند. برای تولید مثل، ویروس‌های این کلاس از قابلیت‌های کلان زبان‌ها استفاده می‌کنند و با کمک آنها، خود را از یک فایل آلوده (سند یا جدول) به دیگران منتقل می‌کنند.

ویروس های اسکریپت

همچنین لازم به ذکر است که ویروس های اسکریپت زیرگروهی از ویروس های فایل هستند. این ویروس ها به زبان های مختلف اسکریپت (VBS، JS، BAT، PHP و غیره) نوشته شده اند. آنها یا سایر برنامه های اسکریپت (فایل های فرمان و سرویس MS Windows یا Linux) را آلوده می کنند یا بخشی از ویروس های چند جزئی هستند. همچنین، این ویروس ها می توانند فایل های فرمت های دیگر (به عنوان مثال، HTML) را آلوده کنند، در صورتی که اسکریپت هایی در آنها اجرا شود.

تروجان ها

این دسته شامل برنامه هایی است که اقدامات مختلفی را انجام می دهند که توسط کاربر مجاز نیست: جمع آوری اطلاعات و انتقال آن به مهاجم، تخریب یا اصلاح مخرب آن، اختلال در رایانه، استفاده از منابع رایانه برای اهداف نامناسب. دسته خاصی از برنامه های تروجان باعث آسیب می شوند کامپیوترهای راه دورو شبکه بدون ایجاد اختلال در عملکرد رایانه آلوده (به عنوان مثال، برنامه های تروجان طراحی شده برای حملات گسترده DoS به منابع شبکه راه دور).

برنامه های تروجان متنوع هستند و از نظر اقداماتی که در رایانه آلوده انجام می دهند با یکدیگر متفاوت هستند:

• Backdoor - ابزارهای مدیریت از راه دور تروجان.
• Trojan-PSW - سرقت رمز عبور.
• Trojan-AOL یک خانواده از برنامه های تروجان است که کدهای دسترسی به شبکه AOL (America Online) را "دزدیدن" می کند. آنها به دلیل تعداد زیاد به گروه خاصی اختصاص داده می شوند.
• Trojan-Clicker - کلیک کننده های اینترنتی. خانواده ای از برنامه های تروجان که وظیفه اصلی آنها سازماندهی دسترسی غیرمجاز به منابع اینترنتی (معمولاً صفحات وب) است. این امر یا با ارسال دستورات مناسب به مرورگر و یا با جایگزینی به دست می آید فایل های سیستمی، که آدرس های "استاندارد" منابع اینترنتی را نشان می دهد (به عنوان مثال، فایل میزباندر MS Windows).
• Trojan-Downloader - تحویل سایر برنامه های مخرب.
• Trojan-Dropper - نصب کننده سایر برنامه های مخرب. برنامه های تروجان این کلاس به منظور نصب مخفیانه برنامه های دیگر نوشته شده اند و تقریباً همیشه برای "لغزش" ویروس ها یا سایر برنامه های تروجان بر روی رایانه قربانی استفاده می شوند.
• Trojan-Proxy - سرورهای پروکسی تروجان. خانواده ای از برنامه های تروجان که به طور مخفیانه دسترسی ناشناس به منابع مختلف اینترنتی را فراهم می کند. معمولا برای ارسال هرزنامه استفاده می شود.
• Trojan-Spy - نرم افزارهای جاسوسی. این تروجان ها جاسوسی الکترونیکی را از کاربر رایانه آلوده انجام می دهند: اطلاعات وارد شده از صفحه کلید، تصاویر صفحه، فهرست برنامه های کاربردی فعالو اقدامات کاربر با آنها در یک فایل روی دیسک ذخیره می شود و به صورت دوره ای برای مهاجم ارسال می شود. این نوع تروجان اغلب برای سرقت اطلاعات کاربران استفاده می شود. سیستم های مختلفپرداخت های آنلاین و سیستم های بانکی
• تروجان - سایر برنامه های تروجان. این دسته همچنین شامل تروجان‌های «چند منظوره» می‌شود، به‌عنوان مثال آن‌هایی که به طور همزمان از یک کاربر جاسوسی می‌کنند و یک سرویس پروکسی برای یک مهاجم از راه دور ارائه می‌کنند.
• Trojan ArcBomb - "بمب" در بایگانی. آنها آرشیوهایی هستند که مخصوصاً به گونه ای طراحی شده اند که باعث ایجاد رفتار غیرعادی بایگانی کننده ها در هنگام تلاش برای از بین بردن آرشیو داده ها شوند - فریز کردن یا کاهش قابل توجهی سرعت رایانه یا پر کردن دیسک با مقدار زیادی داده "خالی". "بمب های آرشیو" به ویژه برای پرونده و سرورهای پست الکترونیکی، اگر سرور از هر نوع پردازش خودکار اطلاعات دریافتی استفاده کند، یک "بمب بایگانی" می تواند به سادگی کار سرور را متوقف کند.
• Trojan-Notifier - اطلاع رسانی از یک حمله موفقیت آمیز. تروجان ها از این نوعدر نظر گرفته شده است تا "صاحب" خود را در مورد یک رایانه آلوده مطلع کند. در این مورد، اطلاعات مربوط به رایانه به آدرس "مالک" ارسال می شود، به عنوان مثال، آدرس IP کامپیوتر، شماره پورت باز، آدرس ایمیل و ... ارسال انجام می شود به طرق مختلف: از طریق ایمیل، یک آدرس ویژه طراحی شده برای صفحه وب "میزبان"، پیام ICQ. این برنامه‌های تروجان در مجموعه‌های تروجان چند جزئی استفاده می‌شوند تا به استاد خود در مورد نصب موفقیت‌آمیز اجزای تروجان در سیستم مورد حمله اطلاع دهند.

اسکریپت ویروس ها و کرم ها

انواع ویروس های کامپیوتری

امروز کسی نیست که در مورد ویروس های کامپیوتری چیزی نشنیده باشد. چیست، آنها چیست؟ انواع ویروس های کامپیوتریو بدافزار، بیایید سعی کنیم آن را در این مقاله کشف کنیم. بنابراین، ویروس های کامپیوتریرا می توان به انواع زیر تقسیم کرد:

برنامه های تبلیغاتی و اطلاع رسانی به برنامه هایی اطلاق می شود که علاوه بر کارکرد اصلی، بنرهای تبلیغاتی و انواع پنجره های تبلیغاتی پاپ آپ را نیز نمایش می دهند. گاهی اوقات پنهان کردن یا غیرفعال کردن چنین پیام های تبلیغاتی بسیار دشوار است. چنین است برنامه های تبلیغاتیهنگام کار، آنها بر اساس رفتار کاربران رایانه هستند و به دلایل امنیتی سیستم کاملاً مشکل ساز هستند.

درهای پشتی

ابزارهای مدیریت مخفی به شما این امکان را می دهند که سیستم های امنیتی را دور زده و رایانه کاربر نصب کننده را تحت کنترل خود قرار دهید. برنامه ای که در حالت مخفی اجرا می شود به هکر حقوق نامحدودی برای کنترل سیستم می دهد. با کمک چنین برنامه های درپشتی می توان به اطلاعات شخصی و خصوصی کاربر دسترسی پیدا کرد. اغلب، از چنین برنامه هایی برای آلوده کردن سیستم به ویروس های رایانه ای و نصب مخفیانه بدافزارها بدون اطلاع کاربر استفاده می شود.

بوت کردن ویروس ها

اغلب اصلی بخش بوتهارد دیسک شما تحت تاثیر ویروس های بوت خاص قرار گرفته است. ویروس هایی از این نوع جایگزین اطلاعاتی می شوند که برای راه اندازی روان سیستم لازم است. یکی از عواقب چنین برنامه مخربی عدم امکان دانلود است سیستم عامل...

شبکه ربات

یک شبکه ربات یک شبکه تمام عیار در اینترنت است که توسط یک مهاجم کنترل می شود و شامل بسیاری از رایانه های آلوده است که با یکدیگر تعامل دارند. کنترل بر روی چنین شبکه ای با استفاده از ویروس ها یا تروجان هایی که به سیستم نفوذ می کنند به دست می آید. در طول عملیات، بدافزار به هیچ وجه خود را نشان نمی دهد و منتظر دستورات مهاجم است. چنین شبکه هایی برای ارسال پیام های هرزنامه یا سازماندهی استفاده می شوند حملات DDoSدر سرورهای مورد نیاز. جالب است که کاربران رایانه های آلوده ممکن است مطلقاً هیچ ایده ای نداشته باشند که در شبکه چه اتفاقی می افتد.

بهره برداری کنند

اکسپلویت (به معنای واقعی کلمه یک حفره امنیتی) یک اسکریپت یا برنامه است که از حفره ها و آسیب پذیری های خاص سیستم عامل یا هر برنامه ای سوء استفاده می کند. به روشی مشابه، برنامه ها به سیستم نفوذ می کنند که با استفاده از آنها می توان حقوق دسترسی مدیر را به دست آورد.

فریب (به معنای واقعی کلمه شوخی، دروغ، فریب، شوخی، فریب)

چندین سال است که بسیاری از کاربران اینترنت پیام های الکترونیکی در مورد ویروس هایی که گفته می شود از طریق ایمیل توزیع می شوند دریافت می کنند. چنین هشدارهایی به طور انبوه با درخواستی اشک آلود ارسال می شود که به همه مخاطبین لیست شخصی شما ارسال شود.

تله ها

هانی پات (دیگ عسل) است سرویس شبکه، که وظیفه نظارت بر کل شبکه و ثبت حملات در هنگام شیوع بیماری را دارد. کاربر عادی از وجود چنین سرویسی کاملا بی اطلاع است. اگر یک هکر شبکه را برای شکاف ها بررسی و نظارت کند، می تواند از خدماتی که چنین تله ای ارائه می دهد استفاده کند. این کار در فایل‌های گزارش ثبت می‌شود و همچنین زنگ خودکار را راه‌اندازی می‌کند.

ماکرو ویروس ها

ماکرو ویروس ها برنامه های بسیار کوچکی هستند که به زبان ماکرو برنامه نوشته می شوند. چنین برنامه هایی فقط در بین اسنادی که به طور خاص برای این برنامه ایجاد شده اند توزیع می شوند.

برای فعال کردن چنین برنامه های مخرب، برنامه باید راه اندازی شود و همچنین یک فایل ماکرو آلوده اجرا شود. تفاوت با ویروس های ماکرو معمولی این است که آلودگی در اسناد برنامه اتفاق می افتد و نه در فایل های راه اندازی برنامه.

کشاورزی

Pharming دستکاری پنهان فایل میزبان مرورگر به منظور هدایت کاربر به یک وب سایت جعلی است. کلاهبرداران سرورهای بزرگی را نگهداری می کنند. هنگام دستکاری فایل میزبان با استفاده از تروجان یا ویروس، دستکاری سیستم آلوده کاملاً امکان پذیر است. در نتیجه، سیستم آلوده تنها سایت های جعلی را بارگذاری می کند، حتی اگر آدرس را به درستی در مرورگر وارد کنید.

فیشینگ

فیشینگ به معنای واقعی کلمه "ماهیگیری" برای اطلاعات شخصی کاربر در هنگام حضور در اینترنت است. مهاجم ایمیلی به قربانی احتمالی می فرستد مبنی بر اینکه ارسال اطلاعات شخصی برای تایید ضروری است. اغلب این نام و نام خانوادگی کاربر، رمزهای عبور مورد نیاز است، کدهای پینبرای دسترسی به حساب های کاربری آنلاین با استفاده از چنین داده های سرقت شده، یک هکر ممکن است به خوبی جعل هویت شخص دیگری باشد و هر گونه اقدامی را از طرف او انجام دهد.

ویروس های چند شکلی

ویروس های چند شکلی ویروس هایی هستند که در کار خود از استتار و تبدیل استفاده می کنند. در این فرآیند آنها می توانند خود را تغییر دهند کد برنامهشناسایی آنها بسیار دشوار است زیرا امضا در طول زمان تغییر می کند.

ویروس های نرم افزاری

ویروس کامپیوتری یک برنامه رایج است که توانایی اتصال مستقل خود را به سایر برنامه های در حال اجرا دارد و در نتیجه بر عملکرد آنها تأثیر می گذارد. ویروس ها به طور مستقل نسخه هایی از خود را توزیع می کنند و این امر آنها را به طور قابل توجهی از برنامه های تروجان متمایز می کند. همچنین تفاوت ویروس با کرم در این است که ویروس برای کار کردن به برنامه ای نیاز دارد که بتواند کد خود را به آن متصل کند.

روت کیت

روت کیت یک مجموعه خاص است نرم افزار، که به طور مخفیانه بر روی سیستم کاربر نصب می شود و ضمن تهیه کپی از داده ها، از پنهان بودن ورود شخصی مجرم سایبری و فرآیندهای مختلف اطمینان حاصل می کند.

اسکریپت ویروس ها و کرم ها

نوشتن این نوع ویروس های کامپیوتری بسیار ساده است و عمدتاً از طریق ایمیل توزیع می شوند. ویروس‌های اسکریپت از زبان‌های اسکریپت برای کار به منظور اضافه کردن خود به اسکریپت‌های جدید یا انتشار از طریق عملکردهای شبکه استفاده می‌کنند. اغلب عفونت از طریق ایمیل یا در نتیجه تبادل فایل بین کاربران رخ می دهد. کرم برنامه‌ای است که خودش را بازتولید می‌کند، اما برنامه‌های دیگر را در این فرآیند آلوده می‌کند. هنگامی که کرم ها تکثیر می شوند، نمی توانند بخشی از برنامه های دیگر شوند، که آنها را از انواع معمولی ویروس های کامپیوتری متمایز می کند.

نرم افزارهای جاسوسی

جاسوس ها می توانند اطلاعات شخصی کاربر را بدون اطلاع او برای اشخاص ثالث ارسال کنند. نرم افزارهای جاسوسیدر عین حال، رفتار کاربر را در اینترنت تجزیه و تحلیل می کنند و همچنین بر اساس داده های جمع آوری شده، تبلیغات یا پاپ آپ ها (پنجره های پاپ آپ) را به کاربر نشان می دهند که مطمئناً کاربر را مورد توجه قرار می دهد.

در واقع، ویروس های ماکرو یک "گونه" مستقل نیستند، بلکه فقط یکی از انواع خانواده بزرگ برنامه های مخرب - ویروس های اسکریپت هستند. جداسازی آنها فقط با این واقعیت مرتبط است که این ماکرو ویروس ها بودند که پایه و اساس کل این خانواده را بنا نهادند، علاوه بر این، ویروس های "طراحی شده" برای برنامه ها مایکروسافت آفیس، گسترده ترین را از کل قبیله دریافت کرد. همچنین لازم به ذکر است که ویروس های اسکریپت زیرگروهی از ویروس های فایل هستند. این ویروس ها به زبان های مختلف اسکریپت (VBS، JS، BAT، PHP و غیره) نوشته شده اند.

ویژگی مشترک ویروس های اسکریپت اتصال آنها به یکی از زبان های برنامه نویسی داخلی است. هر ویروس به یک "سوراخ" خاص در محافظت از یکی از ویروس ها گره خورده است برنامه های ویندوزو یک برنامه مستقل نیست، بلکه مجموعه ای از دستورالعمل ها است که "موتور" به طور کلی بی ضرر برنامه را مجبور به انجام اقدامات مخربی می کند که برای آن معمول نیست.

همانطور که در مورد اسناد Word، استفاده از ریزبرنامه ها (اسکریپت ها، اپلت های جاوا و غیره) به خودی خود جرم نیست - اکثر آنها کاملاً آرام کار می کنند و صفحه را جذاب تر یا راحت تر می کنند. چت، کتاب مهمان، سیستم رای گیری، شمارنده - صفحات ما همه این امکانات را مدیون ریزبرنامه ها هستند - "اسکریپت ها". در مورد اپلت های جاوا، حضور آنها در صفحه نیز قابل توجیه است - به عنوان مثال، آنها اجازه می دهند یک منوی راحت و کاربردی را نشان دهند که در زیر نشانگر ماوس گسترش می یابد ...

راحتی ها راحتی هستند، اما فراموش نکنید که همه این اپلت ها و اسکریپت ها برنامه های واقعی و تمام عیار هستند. علاوه بر این، بسیاری از آنها نه در جایی بیرون، روی یک سرور ناشناخته، بلکه مستقیماً روی رایانه شما راه اندازی می شوند و کار می کنند! و با قرار دادن ویروس در آنها، سازندگان صفحه می توانند به محتویات شما دسترسی پیدا کنند. هارد دیسک. عواقب آن قبلاً شناخته شده است - از سرقت رمز عبور ساده تا فرمت کردن هارد دیسک.

البته، شما باید صد برابر کمتر از ویروس های معمولی با "اسکریپت های قاتل" سروکار داشته باشید. به هر حال، در این مورد امید کمی برای آنتی ویروس های معمولی وجود دارد، اما یک برنامه مخرب که به همراه صفحه باز می شود باید بر محافظت از خود مرورگر غلبه کند که سازندگان آن به خوبی از چنین چیزهایی آگاه هستند.

بیایید یک لحظه به عقب برگردیم به تنظیمات اینترنت Explorer، - یعنی در منو ابزار / گزینه های اینترنت / امنیت. اینترنت اکسپلوررچندین سطح از امنیت را به ما ارائه می دهد. علاوه بر سطح استاندارد حفاظت (منطقه اینترنت) می توانیم (منطقه محدود کنید) یا گارد خود را پایین بیاورید (منطقه گره های قابل اعتماد). با فشردن دکمه دیگری، می توانیم به صورت دستی امنیت مرورگر را تنظیم کنیم.

با این حال، بیشتر ویروس‌های اسکریپت از طریق ایمیل پخش می‌شوند (این گونه ویروس‌ها اغلب «کرم‌های اینترنتی» نامیده می‌شوند). شاید درخشان ترین نمایندگان این خانواده ویروس ها باشند عشق نامهو آنا کورنیکواحملاتی که در فصل 2001-2002 اتفاق افتاد، هر دوی این ویروس ها از یک تکنیک استفاده کردند که نه تنها بر اساس محافظت ضعیف از سیستم عامل، بلکه بر اساس ساده لوحی کاربران است.

به یاد داریم که ویروس ها اغلب از طریق پیام های ایمیل حاوی فایل های پیوست شده منتقل می شوند. همچنین به خاطر می‌آوریم که ویروس می‌تواند از طریق برنامه‌ها (فایل‌های اجرایی با پسوند *.exe، *.com.) یا از طریق رایانه نفوذ کند. اسناد مایکروسافتدفتر. همچنین به یاد داریم که از کنار تصاویر یا فایل های صوتیبه نظر می رسد هیچ مشکلی نمی تواند ما را تهدید کند. و بنابراین، با پیدا کردن غیرمنتظره نامه ای در صندوق پستی با یک تصویر متصل به آن (با قضاوت بر اساس نام فایل و پسوند)، بلافاصله آن را با خوشحالی راه اندازی می کنیم ... و متوجه می شویم که یک ویروس مخرب "اسکریپت" زیر تصویر پنهان شده است. . خوب است که بلافاصله آن را شناسایی کنیم، و نه پس از اینکه ویروس توانسته است تمام داده های شما را به طور کامل از بین ببرد.

ترفند سازندگان ویروس ساده است - فایلی که به نظر ما شبیه یک تصویر بود، پسوند دوگانه داشت! به عنوان مثال، آنا کورنیکووا. jpg. vbs

این پسوند دوم است که نوع فایل واقعی است، در حالی که اولی به سادگی بخشی از نام آن است. و از آنجایی که پسوند vbs ویندوز به خوبی شناخته شده است، بدون تردید آن را از چشم کاربران پنهان می کند و فقط نام آن را روی صفحه می گذارد. آنا کورنیکووا. jpg

و ویندوز این کار را با تمام انواع فایل های ثبت شده انجام می دهد: مجوز حذف می شود و نوع فایل باید با یک نماد نشان داده شود. که متأسفانه ما به ندرت به آن توجه می کنیم.

این یک تله خوب است، اما تشخیص آن آسان تر است: اگر از قبل حالت نمایش نوع فایل را فعال کنیم، ترفند "بسط دوگانه" کار نمی کند. با استفاده از منو می توانید این کار را انجام دهید ویژگی های پوشهدر تابلوهای کنترل Windows: روی این نماد کلیک کنید، سپس نشانک را باز کنید مشاهده کنیدو تیک خط را بردارید پسوندها را برای انواع فایل های ثبت شده مخفی کنید.

به یاد داشته باشید: فقط چند نوع فایل به عنوان "ضمیمه" به ایمیل مجاز است. نسبتا امن فایل های txt, jpg, gif, tif, bmp, mp3, wma.

در اینجا لیست مطمئناً وجود دارد خطرناکانواع فایل:

در واقع، فهرست «حامل‌های ویروس» بالقوه شامل بیش از ده‌ها نوع فایل است. اما اینها بیشتر از بقیه رایج هستند.