برنامج تجسس طروادة. تجسس أحصنة طروادة والبرامج الضارة للحكومة في عصرنا

برنامج التجسس - برامج التجسس. برامج التجسس ( عناوين بديلة- يُشار عادةً إلى Spy و SpyWare و Spy-Ware و Spy Trojan) على أنها برامج تجمع وتنقل معلومات حول المستخدم إلى شخص ما دون موافقته. قد تتضمن المعلومات المتعلقة بالمستخدم بياناته الشخصية وبيانات حول حساباته المالية وتكوين جهاز الكمبيوتر الخاص به و نظام التشغيلوإحصائيات العمل على الإنترنت والمزيد.

تُستخدم برامج التجسس لعدد من الأغراض ، أهمها أبحاث التسويق والإعلانات المستهدفة. في هذه الحالة ، معلومات حول تكوين جهاز الكمبيوتر الخاص بالمستخدم ، والبرامج التي يستخدمها ، والمواقع التي تمت زيارتها ، وإحصاءات الطلبات إلى محركات البحثوإحصائيات الكلمات التي تم إدخالها من لوحة المفاتيح تسمح لك بتحديد نوع النشاط ونطاق اهتمامات المستخدمين بدقة شديدة. لذلك ، يمكنك في أغلب الأحيان ملاحظة مجموعة من برامج التجسس - برامج الإعلانات المتسللة ، أي "جاسوس" - "وحدة عرض الإعلانات". يقوم جزء التجسس بجمع معلومات حول المستخدم ونقلها إلى خادم شركة الإعلانات. هناك ، يتم تحليل المعلومات واستجابة لذلك يتم إرسال معلومات الإعلان الأكثر ملاءمة لها هذا المستخدم. في أفضل الأحوال ، يتم عرض الإعلانات في نوافذ منبثقة منفصلة ؛ وفي أسوأ الأحوال ، يتم تضمينها في صفحات محملة وإرسالها عبر البريد الإلكتروني. بريد إلكتروني. يعتبر الضرر الناجم عن سرقة المعلومات الشخصية جريمة جنائية في معظم البلدان المتقدمة.

ومع ذلك ، يمكن استخدام المعلومات التي تم جمعها ليس فقط للأغراض الإعلانية - على سبيل المثال ، يمكن أن يؤدي الحصول على معلومات حول كمبيوتر المستخدم إلى تبسيط هجوم المتسللين واختراق جهاز الكمبيوتر الخاص بالمستخدم إلى حد كبير. وإذا قام البرنامج بتحديث نفسه بشكل دوري عبر الإنترنت ، فإن هذا يجعل الكمبيوتر ضعيفًا للغاية - فالهجوم الأولي على DNS يمكن أن يحل محل عنوان مصدر التحديث بعنوان خادم المتسلل - مثل هذا "التحديث" سيؤدي إلى إدخال أي شخص خارجي على جهاز الكمبيوتر الخاص بالمستخدم برمجة.

يمكن لبرامج التجسس الدخول إلى كمبيوتر المستخدم بطريقتين رئيسيتين:

1. أثناء زيارة مواقع الإنترنت. يحدث الاختراق الأكثر شيوعًا لبرامج التجسس عندما يزور المستخدم مواقع المخترقين والمستودعات والمواقع التي تحتوي على موسيقى مجانية ومواقع إباحية. كقاعدة عامة ، يتم استخدام مكونات ActiveX أو أحصنة طروادة من فئة TrojanDownloader وفقًا لتصنيف Kaspersky Lab http://www.kaspersky.ru/ لتثبيت برامج التجسس. قد تصدر العديد من مواقع المتسللين كراك برنامجًا لاختراق البرامج المرخصة (الكراك) التي تحتوي على برامج تجسس أو برنامج تنزيل أحصنة طروادة لتنزيله ؛

2. نتيجة تثبيت برامج مجانية أو كومبيوتري. أسوأ ما في الأمر أن هناك الكثير من هذه البرامج ، يتم توزيعها عبر الإنترنت أو على أقراص مضغوطة مقرصنة.

لا توجد معايير محددة لإضافة برنامج إلى فئة "SpyWare" ، وغالبًا ما يقوم مبتكرو حزم مكافحة الفيروسات بتضمين برامج في الفئات "Adware" (تطبيق مصمم لتنزيل معلومات الإعلان على كمبيوتر المستخدم لعرضه لاحقًا ) و "Hijacker" (أداة تعمل على تغيير إعدادات المتصفح دون علم المستخدم) إلى فئة "SpyWare" والعكس صحيح.

من أجل التحديد ، تم اقتراح عدد من القواعد والشروط التي بموجبها يمكن تصنيف برنامج على أنه SpyWare. يعتمد التصنيف على برامج SpyWare الأكثر شيوعًا:

1. يتم تثبيت البرنامج سرًا على جهاز الكمبيوتر الخاص بالمستخدم. معنى هذه الفقرة هو أن مثبت البرنامج العادي يجب أن يخطر المستخدم بحقيقة تثبيت البرنامج (مع إمكانية رفض التثبيت) ، يقترح اختيار دليل للتثبيت والتهيئة. بالإضافة إلى ذلك ، بعد التثبيت ، يجب على المثبِّت إنشاء عنصر في قائمة "إضافة / إزالة البرامج" ، حيث ستقوم المكالمة بتنفيذ عملية إلغاء التثبيت وإنشاء الإدخالات المقابلة في ملف تسجيل نظام التشغيل. عادةً ما يتم تثبيت برامج التجسس بطريقة غريبة (غالبًا باستخدام وحدات Trojan من فئة Trojan-Downloader) مخفية عن المستخدم ، بينما يكون إلغاء تثبيتها مستحيلًا في معظم الحالات. الطريقة الثانية لتثبيت SpyWare هي تثبيت مخفي مرفق مع بعض البرامج الشائعة ؛

2. يتم تحميل البرنامج سرًا في الذاكرة أثناء عملية تمهيد الكمبيوتر. من الجدير بالذكر أن مطوري SpyWare الحديث قد بدأوا في استخدام Rootkit B. أنظمة النوافذعادةً ما يُفهم rootkit على أنه برنامج يتم إدخاله في النظام ويتم اعتراضه وظائف النظام(Windows API). يسمح اعتراض وظائف واجهة برمجة التطبيقات منخفضة المستوى وتعديلها ، أولاً وقبل كل شيء ، لمثل هذا البرنامج بإخفاء وجوده في النظام بجودة كافية. بالإضافة إلى ذلك ، كقاعدة عامة ، يمكن للجذور الخفية إخفاء التواجد في النظام لأي عمليات موصوفة في التكوين والأدلة والملفات الموجودة على القرص والمفاتيح الموجودة في التسجيل. تقنيات إخفاء العملية في الذاكرة والملفات الموجودة على القرص. بالإضافة إلى ذلك ، أصبح من الشائع إنشاء عمليات "غير قابلة للتدمير" - أي بدء عمليتين تعيدان تشغيل بعضهما البعض إذا توقفت. يتم استخدام هذه التكنولوجيا بشكل خاص في SpyWare.WinAd؛

3. يقوم البرنامج ببعض العمليات دون تحديد المستخدم - على سبيل المثال ، يتلقى أو ينقل أي معلومات من الإنترنت ؛

4. يقوم البرنامج بتنزيل وتثبيت التحديثات والإضافات والإضافات أو البرامج الأخرى الخاصة به دون علم المستخدم وموافقته. هذه الخاصية متأصلة في العديد من برامج التجسس وهي خطيرة للغاية ، لأن يعد تنزيل التحديثات والوحدات النمطية الإضافية وتثبيتها أمرًا سريًا وغالبًا ما يؤدي إلى عدم استقرار النظام. علاوة على ذلك ، يمكن للمهاجمين استخدام آليات التحديث التلقائي لحقن وحدات طروادة على كمبيوتر المستخدم ؛

5. البرنامج يعدل اعدادات النظامأو يتعارض مع عمل البرامج الأخرى دون علم المستخدم. على سبيل المثال ، يمكن لبرامج التجسس تغيير مستوى الأمان في إعدادات المتصفح أو إجراء تغييرات على إعدادات الشبكة ؛

6. يقوم البرنامج بتعديل تدفق المعلومات أو المعلومات. مثال نموذجي هو امتدادات مختلفة للبرنامج تعبير خارجى، والتي ، عند إرسال رسالة ، تنسب معلوماتهم إليها. المثال الثاني الشائع هو تعديل الصفحات التي تم تنزيلها من الإنترنت (يتم تضمين المعلومات الإعلانية في الصفحات ، وتتحول بعض الكلمات أو العبارات إلى ارتباطات تشعبية)

في هذا التصنيف ، يجب أن نلاحظ بشكل خاص حقيقة أن برنامج فئة SpyWare لا يسمح لك بالتحكم عن بعد في جهاز الكمبيوتر ولا ينقل كلمات المرور والمعلومات المماثلة إلى منشئيها - مثل هذه الإجراءات خاصة بفئة أخرى من البرامج - "Trojan "و" BackDoor ". ومع ذلك ، في كثير من النواحي ، ترتبط البرامج في فئة SpyWare بأحصنة طروادة.

يتم تجميع الملفات وفقًا لتصنيف "Kaspersky Lab" والنسبة المئوية لتكوين برامج التجسس في الشكل. 1.

كما يلي من الرسم التخطيطي ، 38٪ من عدد العينات هي AdWare و SpyWare (تجدر الإشارة إلى أن SpyWare غير مدرج في تصنيف PA - أكثر ممثلي AdWare ضارًا مدرجون في هذه الفئة). الغالبية العظمى من نماذج Trojan-Downloader في هذه المجموعة عبارة عن برامج لتنزيل البرامج الضارة وتثبيتها سرًا المعروضة في المجموعة. Trojan-Spy هو برنامج تجسس خالص ينقل معلومات مهمة عن المستخدم: كلمات المرور والأرقام بطاقات الائتمان، نص تم إدخاله من لوحة المفاتيح. تم اختيار البرامج التالية في فئة Trojan: Trojan-Dialer (برامج للتعديل السري لإعدادات الاتصال برقم هاتف أو الاتصال الهواتف المدفوعة) ، Trojan.StartPage (تعديل أبدأ الصفحةوخيارات البحث متصفح الانترنت، تُعرف هذه البرامج أيضًا باسم Hijackers) ،

تم تنفيذ النسبة المئوية لتكوين برامج التجسس وفقًا لتصنيف "كاسبرسكي لاب"

كما يلي من الرسم التخطيطي ، يشكل كل من AdWare و SpyWare 38٪ من عدد العينات. الغالبية العظمى من نماذج Trojan-Downloader في هذه المجموعة عبارة عن برامج لتنزيل البرامج الضارة وتثبيتها سراً في المجموعة. Trojan-Spy هو برنامج تجسس خالص ينقل معلومات مهمة حول المستخدم: كلمات المرور وأرقام بطاقات الائتمان والنص الذي يتم إدخاله من لوحة المفاتيح. تم تحديد الأنواع التالية من البرامج في فئة أحصنة طروادة: Trojan-Dialer (برامج لتعديل معلمات الاتصال برقم هاتف أو طلب الهواتف العمومية) ، Trojan.StartPage (تعديل صفحة البداية والمعلمات) البحث على الانترنت Explorer ، تُعرف هذه البرامج أيضًا باسم Hijackers) ، Trojan.LowZones (التي تعدل إعدادات أمان Internet Explorer). في فئة "أخرى" هي البرمجيات الخبيثةفئات أخرى - يوجد حوالي 50 نوعًا من أنواع الفيروسات المتنقلة الشائعة على الشبكة والبريد ، و 12 عملية استغلال لبرنامج Internet Explorer (تُستخدم لإطلاق برامج تثبيت SpyWare) و 70 برنامجًا متخصصًا من أحصنة طروادة (TrojanPSW و Trojan-Proxy). الباب الخلفي - الغرض الرئيسي هو التحكم السري وغير المصرح به بالكمبيوتر.

http://www.computermaster.ru/articles/secur2.html

ما تريد معرفته عن فيروسات الكمبيوتر

(ج) الكسندر فرولوف ، غريغوري فرولوف ، 2002

[بريد إلكتروني محمي]؛ http://www.frolov.pp.ru، http://www.datarecovery.ru

منذ إنشاء أجهزة الكمبيوتر الشخصية المتاحة للمهنيين وعامة الناس ، بدأ تاريخ فيروسات الكمبيوتر. اتضح أن أجهزة الكمبيوتر الشخصية والبرامج الموزعة على الأقراص المرنة هي "الوسيط الغذائي" الذي تنشأ فيه فيروسات الكمبيوتر وتعيش بلا مبالاة. الخرافات والأساطير التي تنشأ حول قدرة فيروسات الكمبيوتر على اختراق أي مكان وفي كل مكان ، تغلف هذه المخلوقات الخبيثة في ضباب غير مفهوم وغير معروف.

لسوء الحظ ، حتى مسؤولي النظام ذوي الخبرة (ناهيك عن مستخدمين عاديين) لا تفهم دائمًا ماهية فيروسات الكمبيوتر بالضبط ، وكيف تخترق أجهزة الكمبيوتر و شبكات الحاسبوما الضرر الذي يمكن أن يفعله. في الوقت نفسه ، من دون فهم آلية عمل الفيروسات وانتشارها ، من المستحيل تنظيم حماية فعالة ضد الفيروسات. حتى أفضل برنامج مكافحة فيروسات سيكون عاجزًا إذا تم استخدامه بشكل غير صحيح.

دورة قصيرة في تاريخ فيروسات الكمبيوتر

ما هو فيروس الكمبيوتر؟

يمكن إعطاء التعريف الأكثر عمومية لفيروس الكمبيوتر كرمز برنامج ينتشر ذاتيًا في بيئة المعلومات لأجهزة الكمبيوتر. يمكن تضمينها في الملفات التنفيذية والملفات الأوامر للبرامج ، وتوزيعها من خلال قطاعات التمهيد للأقراص المرنة ، و محركات الأقراص الصلبة، ووثائق تطبيقات المكاتب ، من خلال البريد الإلكتروني ، والمواقع الإلكترونية ، وكذلك من خلال القنوات الإلكترونية الأخرى.

بعد الدخول إلى نظام الكمبيوتر ، قد يقتصر الفيروس على المؤثرات المرئية أو الصوتية غير الضارة ، أو قد يتسبب في فقد البيانات أو تلفها ، فضلاً عن تسرب المعلومات الشخصية والسرية. في أسوأ الحالات ، قد يكون نظام الكمبيوتر المصاب بفيروس ما تحت السيطرة الكاملة للمهاجم.

اليوم ، يثق الناس في أجهزة الكمبيوتر لحل العديد من المهام الحرجة. لذلك ، الفشل أنظمة الكمبيوتريمكن أن يكون لها عواقب وخيمة للغاية تصل إلى الخسائر البشرية (تخيل وجود فيروس في أنظمة الكمبيوتر لخدمات المطارات). يجب ألا ينسى مطورو أنظمة الكمبيوتر ومسؤولو الأنظمة هذا الأمر.

حتى الآن ، عُرفت عشرات الآلاف من الفيروسات المختلفة. على الرغم من هذه الوفرة ، هناك عدد محدود نوعًا ما من أنواع الفيروسات التي تختلف عن بعضها البعض في آلية التوزيع ومبدأ العمل. هناك أيضًا فيروسات مجمعة يمكن أن تنسب في وقت واحد إلى عدة أنواع مختلفة. سنتحدث عن الأنواع المختلفة للفيروسات ، مع الالتزام بالترتيب الزمني لظهورها قدر الإمكان.

فيروسات الملفات

تاريخياً ، ظهرت فيروسات الملفات قبل أنواع الفيروسات الأخرى ، وتم توزيعها في الأصل في بيئة نظام التشغيل MS-DOS. تتسلل الفيروسات إلى جسم ملفات برنامج COM و EXE ، فتغيرها بحيث لا تنتقل السيطرة عند إطلاقها إلى البرنامج المصاب ، بل إلى الفيروس. يمكن للفيروس كتابة الكود الخاص به في نهاية الملف أو بدايته أو منتصفه (الشكل 1). يمكن للفيروس أيضًا تقسيم الكود الخاص به إلى كتل عن طريق وضعها في أماكن مختلفة في البرنامج المصاب.

أرز. 1. فيروس في ملف MOUSE.COM

بمجرد السيطرة عليه ، يمكن للفيروس أن يصيب البرامج الأخرى ، ويتسلل إلى ذاكرة الوصول العشوائي للكمبيوتر ، ويقوم بوظائف ضارة أخرى. ثم ينقل الفيروس السيطرة إلى البرنامج المصاب ، ويتم تنفيذه بالطريقة المعتادة. نتيجة لذلك ، لا يشك المستخدم الذي يقوم بتشغيل البرنامج في أنه "مريض".

لاحظ أن فيروسات الملفات يمكن أن تصيب ليس فقط برامج كومو EXE ، ولكن أيضًا أنواع أخرى من ملفات البرامج - تراكبات MS-DOS (OVL و OVI و OVR وغيرها) وبرامج تشغيل SYS و DLL وأي ملفات برمز البرنامج. تم تطوير فيروسات الملفات ليس فقط من أجل MS-DOS ، ولكن أيضًا لأنظمة التشغيل الأخرى ، مثل مايكروسوفت ويندوزو Linux و IBM OS / 2. ومع ذلك ، فإن الغالبية العظمى من الفيروسات من هذا النوعيعيش في بيئة MS-DOS و Microsoft Windows.

في أيام MS-DOS ، عاشت فيروسات الملفات في سعادة دائمة بفضل التبادل المجاني للبرامج والألعاب والأعمال. في تلك الأيام ، كانت ملفات البرامج صغيرة نسبيًا وموزعة على أقراص مرنة. يمكن أيضًا تنزيل البرنامج المصاب عن طريق الخطأ من لوحة إعلانات BBS أو من الإنترنت. وإلى جانب هذه البرامج ، تنتشر فيروسات الملفات أيضًا.

تشغل البرامج الحديثة قدرًا كبيرًا ويتم توزيعها ، كقاعدة عامة ، على أقراص مدمجة. أصبح تبادل البرامج على الأقراص المرنة شيئًا من الماضي. عن طريق تثبيت البرنامج من قرص مضغوط مرخص ، فإنك عادة لا تخاطر بإصابة جهاز الكمبيوتر الخاص بك بفيروس. شيء آخر هو الأقراص المدمجة المقرصنة. لا يمكنك أن تضمن أي شيء هنا (على الرغم من أننا نعرف أمثلة للفيروسات المنتشرة على الأقراص المضغوطة المرخصة).

نتيجة لذلك ، أفسحت فيروسات الملفات اليوم الطريق لأنواع أخرى من الفيروسات الشائعة ، والتي سنتحدث عنها لاحقًا.

فيروسات التمهيد

يتم التحكم في فيروسات التمهيد في مرحلة تهيئة الكمبيوتر ، حتى قبل بدء تحميل نظام التشغيل. لفهم كيفية عملها ، عليك أن تتذكر تسلسل تهيئة الكمبيوتر وتحميل نظام التشغيل.

مباشرة بعد تشغيل طاقة الكمبيوتر ، يبدأ إجراء التحقق POST (اختبار التشغيل الذاتي) المسجل في BIOS في العمل. أثناء الاختبار ، يتم تحديد تكوين الكمبيوتر والتحقق من قابلية تشغيل أنظمته الفرعية الرئيسية. يتحقق إجراء POST بعد ذلك لمعرفة ما إذا كان القرص المرن موجودًا في محرك الأقراص A :. إذا تم إدخال قرص مرن ، فسيحدث تحميل إضافي لنظام التشغيل من القرص المرن. خلاف ذلك ، يتم إجراء التمهيد من القرص الصلب.

عند التشغيل من قرص مرن ، يقرأ منه إجراء POST سجل التمهيد(تسجيل التمهيد ، BR) إلى ذاكرة الوصول العشوائي. يوجد هذا الإدخال دائمًا في القطاع الأول من القرص المرن وهو عبارة عن برنامج صغير. بالإضافة إلى برنامج BR ، فإنه يحتوي على بنية بيانات تحدد تنسيق القرص المرن وبعض الخصائص الأخرى. يقوم إجراء POST بعد ذلك بنقل التحكم إلى مكتب BR. بعد تلقي التحكم ، يواصل BR مباشرة تحميل نظام التشغيل.

عند التنزيل من قرص صلبيقوم إجراء POST بقراءة سجل التمهيد الرئيسي (MBR) وكتابته على ذاكرة الوصول العشوائي للكمبيوتر. يحتوي هذا الإدخال على برنامج التمهيد وجدول الأقسام الذي يصف جميع الأقسام الموجودة على القرص الثابت. يتم تخزينه في القطاع الأول من القرص الصلب.

بعد قراءة MBR ، يتم نقل التحكم إلى أداة تحميل التشغيل التي تمت قراءتها من القرص. يوزع محتوى جدول الأقسام ، ويحدد القسم النشط ، ويقرأ BR للقسم النشط. هذا الإدخال مشابه لإدخال BR على القرص المرن للنظام ويؤدي نفس الوظائف.

الآن حول كيفية "عمل" فيروس التمهيد.

عند إصابة قرص مرن أو محرك أقراص ثابت بجهاز كمبيوتر ، يحل فيروس التمهيد محل سجل تشغيل BR أو MBR (الشكل 2). عادةً لا تختفي سجلات BR أو MBR الأصلية (على الرغم من أن هذا ليس هو الحال دائمًا). يقوم الفيروس بنسخها إلى أحد القطاعات الخالية من القرص.

أرز. 2. فيروس في سجل التمهيد

وهكذا ، يتحكم الفيروس فور الانتهاء من إجراء POST. ثم ، كقاعدة عامة ، يتصرف وفقًا للخوارزمية القياسية. ينسخ الفيروس نفسه حتى النهاية ذاكرة الوصول العشوائيمع تقليل الحجم المتاح. بعد ذلك ، يعترض العديد من وظائف BIOS ، بحيث يؤدي الوصول إليها إلى نقل التحكم إلى الفيروس. في نهاية إجراء الإصابة ، يقوم الفيروس بتحميل قطاع التمهيد الحقيقي في ذاكرة الوصول العشوائي للكمبيوتر وينقل التحكم إليه. بعد ذلك ، يقوم الكمبيوتر بالتمهيد كالمعتاد ، لكن الفيروس موجود بالفعل في الذاكرة ويمكنه التحكم في تشغيل جميع البرامج وبرامج التشغيل.

الفيروسات المركبة

غالبًا ما توجد فيروسات مجمعة تجمع بين خصائص فيروسات الملفات والتمهيد.

أحد الأمثلة على ذلك هو فيروس إقلاع الملفات OneHalf ، الذي كان منتشرًا في الماضي. يخترق هذا الفيروس جهاز كمبيوتر بنظام تشغيل MS-DOS ، ويصيب سجل التمهيد الرئيسي. أثناء تمهيد الكمبيوتر ، يقوم الفيروس بتشفير قطاعات القرص الصلب تدريجيًا ، بدءًا من أحدث القطاعات. عندما تكون الوحدة المقيمة للفيروس في الذاكرة ، فإنها تراقب جميع عمليات الوصول إلى القطاعات المشفرة وتقوم بفك تشفيرها بحيث تعمل جميع برامج الكمبيوتر بشكل طبيعي. إذا تمت إزالة OneHalf ببساطة من ذاكرة الوصول العشوائي وقطاع التمهيد ، فسيصبح من المستحيل قراءة المعلومات المسجلة في القطاعات المشفرة للقرص بشكل صحيح.

عندما يقوم الفيروس بتشفير نصف القرص الصلب ، فإنه يعرض الرسالة التالية على الشاشة:

ديس نصف واحد. اضغط على أى زر للاستمرار ...

بعد ذلك ، ينتظر الفيروس أن يضغط المستخدم على أي مفتاح ويواصل عمله.

يستخدم فيروس OneHalf آليات مختلفة لإخفاء نفسه. إنه فيروس خفي ويستخدم خوارزميات متعددة الأشكال للانتشار. يعد اكتشاف فيروس OneHalf وإزالته مهمة صعبة إلى حد ما ، وهي غير متوفرة لجميع برامج مكافحة الفيروسات.

الفيروسات المرافقة

كما تعلم ، في أنظمة تشغيل MS-DOS ، و Microsoft نوافذ مختلفةالإصدارات ، هناك ثلاثة أنواع من الملفات التي يمكن للمستخدم تنفيذها. هل هو أمر أم دفعة ملفات BAT، وكذلك ملفات COM و EXE القابلة للتنفيذ. في الوقت نفسه ، يمكن وضع عدة ملفات قابلة للتنفيذ بنفس الاسم ولكن بامتداد اسم مختلف في نفس الدليل في نفس الوقت.

عندما يبدأ المستخدم برنامجًا ثم يدخل اسمه في موجه النظام الخاص بنظام التشغيل ، فإنه عادةً لا يحدد امتداد الملف. ما الملف الذي سيتم تنفيذه إذا كان هناك عدة برامج في الدليل بنفس الاسم ولكن بامتدادات أسماء مختلفة؟

اتضح أنه في هذه الحالة سيتم تشغيل ملف COM. إذا كان في الدليل الحالي أو في الدلائل المحددة في متغيرات البيئة PATH ، توجد ملفات EXE و BAT فقط ، إذن ملف EXE.

عندما يصيب فيروس قمر صناعي ملف EXE أو BAT ، فإنه ينشئ ملفًا آخر في نفس الدليل بنفس الاسم ، ولكن بامتداد COM. يكتب الفيروس نفسه إلى ملف COM هذا. وهكذا ، عند إطلاق البرنامج ، سيكون فيروس القمر الصناعي هو أول من يتلقى السيطرة ، ويمكنه بعد ذلك إطلاق هذا البرنامج ، ولكنه بالفعل تحت سيطرته.

الفيروسات في الملفات الدفعية

هناك العديد من الفيروسات القادرة على إصابة ملفات BAT الدفعية. للقيام بذلك ، يستخدمون طريقة معقدة للغاية. سوف نعتبره باستخدام فيروس BAT.Batman كمثال. عند الإصابة ملف دفعييتم إدخال النص التالي في البداية:

ECHO OFF REM [...] نسخ٪ 0 b.com> nul b.com del b.com rem [...]

بين قوسين مربعين [...] هنا يظهر بشكل تخطيطي موقع البايت ، وهي إرشادات المعالج أو بيانات الفيروس. يقوم الأمرECHO OFF بتعطيل عرض أسماء الأوامر التي يتم تنفيذها. السطر الذي يبدأ بأمر REM هو تعليق ولا يتم تفسيره بأي شكل من الأشكال.

ينسخ الأمر copy٪ 0 b.com> nul الملف الدفعي المصاب إلى ملف B.COM. ثم يتم تشغيل هذا الملف وإزالته من القرص باستخدام الأمر del b.com.

الشيء الأكثر إثارة للاهتمام هو أن ملف B.COM الذي أنشأه الفيروس يتطابق مع بايت واحد مع الملف الدفعي المصاب. اتضح أنه إذا قمت بتفسير أول سطرين من ملف BAT المصاب كبرنامج ، فسوف يتكون من أوامر CPU التي لا تفعل شيئًا في الواقع. تنفذ وحدة المعالجة المركزية هذه الأوامر ثم تبدأ في تنفيذ رمز الفيروس الفعلي المكتوب بعد بيان تعليق REM. بعد تلقي السيطرة ، يعترض الفيروس مقاطعة نظام التشغيل وينشط.

في عملية الانتشار ، يراقب الفيروس كتابة البيانات في الملفات. إذا كان السطر الأول المكتوب في الملف يحتوي على الأمرecho ، فإن الفيروس يعتقد أنه تتم كتابته ملف دفعيويصيبه.

التشفير والفيروسات متعددة الأشكال

لجعل الكشف أكثر صعوبة ، تقوم بعض الفيروسات بتشفير التعليمات البرمجية الخاصة بها. في كل مرة يصيب فيها فيروس برنامجًا جديدًا ، يقوم بتشفير التعليمات البرمجية الخاصة به باستخدام مفتاح جديد. نتيجة لذلك ، يمكن أن تختلف حالتان من هذا الفيروس اختلافًا كبيرًا عن بعضهما البعض ، بل قد تختلف أطوالهما. يؤدي تشفير رمز الفيروس إلى تعقيد عملية البحث بشكل كبير. لن تتمكن البرامج العادية من تفكيك مثل هذا الفيروس.

وبطبيعة الحال ، فإن الفيروس قادر على العمل فقط إذا تم فك تشفير الكود القابل للتنفيذ. عندما يبدأ برنامج مصاب (أو يبدأ التحميل من BR مصاب) ويتولى الفيروس السيطرة ، يجب أن يفك تشفير الكود الخاص به.

من أجل جعل اكتشاف الفيروس صعبًا ، لا يتم استخدام التشفير فقط مفاتيح مختلفة، ولكن أيضًا إجراءات تشفير مختلفة. لا تحتوي حالتان من هذه الفيروسات على تسلسل شفرة واحد مطابق. تسمى هذه الفيروسات التي يمكنها تغيير شفرتها بالكامل بالفيروسات متعددة الأشكال.

فيروسات التخفي

تحاول الفيروسات الخفية إخفاء وجودها على جهاز الكمبيوتر. لديهم وحدة مقيمة موجودة بشكل دائم في ذاكرة الوصول العشوائي للكمبيوتر. يتم تثبيت هذه الوحدة عند تشغيل برنامج مصاب أو عند التشغيل من قرص مصاب بفيروس التمهيد.

تعترض الوحدة المقيمة للفيروس المكالمات إلى نظام القرص الفرعي للكمبيوتر. إذا قام نظام التشغيل أو برنامج آخر بقراءة ملف برنامج مصاب ، يستبدل الفيروس ملف برنامج حقيقي غير مصاب. للقيام بذلك ، يمكن للوحدة المقيمة للفيروس إزالة الفيروس مؤقتًا من الملف المصاب. بعد انتهاء العمل بالملف ، يصبح مصابًا مرة أخرى.

تعمل فيروسات التخفي عن التمهيد بنفس الطريقة. عندما يقرأ البرنامج البيانات من قطاع التمهيد ، يتم استبدال قطاع التمهيد الحقيقي بالقطاع المصاب.

لا يعمل تمويه الفيروسات الخفية إلا إذا كان للفيروس وحدة مقيمة في ذاكرة الوصول العشوائي للكمبيوتر. إذا تم تمهيد الكمبيوتر من قرص مرن نظيف وغير مصاب ، فلن يكون للفيروس فرصة للسيطرة ، وبالتالي لا تعمل آلية التخفي.

فيروسات Macrocommand

حتى الآن ، تحدثنا عن الفيروسات التي تعيش في ملفات قابلة للتنفيذ من البرامج و قطاعات التمهيدالأقراص. توزيع واسع للمكتب مايكروسوفت أوفيستسبب في سيل من أنواع الفيروسات الجديدة التي لا تنتشر مع البرامج ، ولكن مع ملفات المستندات.

للوهلة الأولى ، قد يبدو هذا مستحيلًا - في الواقع ، أين يمكن أن تختبئ الفيروسات في مستندات Microsoft Word النصية أو في خلايا في جداول بيانات Microsoft Excel؟

ومع ذلك ، في الواقع ، قد تحتوي ملفات مستندات Microsoft Office على برامج صغيرة لمعالجة هذه المستندات ، مكتوبة بلغة البرمجة Visual Basic for Applications. لا ينطبق هذا فقط على مستندات Word و Excel ، ولكن أيضًا على قواعد بيانات Access وملفات العرض التقديمي Power Point. يتم إنشاء مثل هذه البرامج باستخدام وحدات الماكرو ، لذلك تسمى الفيروسات التي تعيش في مستندات المكتب وحدات الماكرو.

كيف تنتشر فيروسات القيادة الماكرو كوماند؟

جنبا إلى جنب مع ملفات الوثائق. يقوم المستخدمون بمشاركة الملفات عبر الأقراص المرنة وأدلة شبكة خادم ملفات الإنترانت الخاصة بالشركة والبريد الإلكتروني والقنوات الأخرى. لإصابة جهاز كمبيوتر بفيروس macrocommand ، ما عليك سوى فتح ملف المستند بتنسيق تطبيق المكتب- وانتهى الأمر!

الآن أصبحت فيروسات أوامر الماكرو شائعة جدًا ، ويرجع ذلك إلى حد كبير إلى شعبية Microsoft Office. يمكن أن تلحق أضرارًا بقدر ، وفي بعض الحالات أكثر من الفيروسات "العادية" التي تصيب الملفات القابلة للتنفيذ وقطاعات التمهيد للأقراص والأقراص المرنة. يكمن الخطر الأكبر لفيروسات الأوامر الكبيرة ، في رأينا ، في حقيقة أنها تستطيع تعديل المستندات المصابة ، وتبقى دون أن يلاحظها أحد لفترة طويلة.

منذ الطفولة سمعنا أن الطيبين هم كشافة يعملون لصالحنا. والأشرار هم جواسيس ، وهؤلاء غرباء - هؤلاء الرجال الذين يرتدون نظارات سوداء ، يرتدون ملابس واقية مزينة بأزرار على جميع الأزرار ومع رزمة من الدولارات في جيوبهم. لقد حان القرن الحادي والعشرون ، والآن لم يعد يُطلق على معاطف المطر المطاطية اسم ماكينتوش ، على الرغم من أن الجواسيس ما زالوا مشغولين فيها ... التقوا اليوم في الساحة: برامج التجسس من "الخير" و "الشر" (كيف للنظر ، هاه؟) جوانب القوة.

الكشافة: برمجيات خبيثة لاحتياجات الحكومة

في صيف عام 2012 ، الموظفون معمل مضاد للفيروساتاكتشف Kaspersky برنامجًا ضارًا يسمى Morcut. تم تطبيقه على مجموعة من الصحفيين المستقلين من المغرب الذين قاموا بتغطية الأحداث خلال الربيع العربي ، وتم إصابة أجهزة الكمبيوتر الخاصة بهم عن عمد من خلال خدمة البريد الإلكتروني.

في تصنيف شركات مكافحة الفيروسات الأخرى ، يُطلق على البرامج الضارة اسم Crisis (Symantec) و DaVinci (Dr.Web). أثناء التحقيق الذي أجراه دكتور ويب ، وجد أن Morcut هو أحد مكونات النظام جهاز التحكم DaVinci ، تم تطويره وتسويقه بواسطة فريق القرصنة.

دا فينشي

وضع المطور نظام DaVinci على أنه SORM (system الوسائل التقنيةلضمان وظائف أنشطة البحث التشغيلي) لاستخدامها من قبل الوكالات الحكومية ووكالات إنفاذ القانون. بالإضافة إلى فريق القرصنة ، يعمل عدد من الشركات الأخرى على تطوير نماذج SORM مماثلة. كقاعدة عامة ، هذا مجمع من البرامج يتكون من خادم تحكم ووكيل عميل. يتم تثبيت الوكيل بشكل غير محسوس على الكمبيوتر ولديه الوظائف التالية:

  • البحث عن قائمة بالملفات التي تفي بالمعايير المحددة وتشكيلها ؛
  • إرسال ملفات تعسفية ، بما في ذلك المستندات الإلكترونية، إلى خادم بعيد ؛
  • اعتراض كلمات المرور من خدمات البريد الإلكتروني والشبكات الاجتماعية ؛
  • جمع البيانات عن موارد الإنترنت التي تمت زيارتها ؛
  • اعتراض تدفق البيانات لأنظمة الاتصالات الصوتية الإلكترونية (سكايب) ؛
  • اعتراض بيانات الرسائل الفورية (ICQ) ؛
  • جمع معلومات الاتصال الهواتف المحمولةمتصل بجهاز كمبيوتر
  • تسجيل معلومات الصوت والفيديو (في حالة توصيل كاميرا الويب والميكروفون).

وفقًا لصحيفة وول ستريت جورنال ، قام عدد من الشركات الأوروبية بتزويد SORM استنادًا إلى برمجيات مفتوحة المصدر بمثل هذه الوظائف لبلدان الشرق الأوسط ، التي استخدمتها حكوماتها لمحاربة شرائح السكان ذات العقلية المعارضة.


تعمل منظمة الخصوصية الدولية غير الحكومية (بريطانيا العظمى) ، التي تعمل في تحديد حقائق انتهاكات حقوق الإنسان ، على مراقبة سوق SORM الدولي باستمرار وتحتفظ بقائمة من الشركات التي تطور حلولاً في هذا المجال. تم تجميع القائمة على أساس تحليل الشركات المشاركة في المؤتمر المتخصص ISS World (أنظمة دعم الذكاء - أنظمة لضمان جمع المعلومات). في هذا الحدث ، الذي يقام بانتظام عدة مرات في السنة ، يلتقي المشترون والمطورون المحتملون لـ SORM. فيما يلي بعض الشركات التي تطور برامج ضارة تحت ستار SORM.

FinFisher (finfisher.com) ، أحد أقسام شركة Gamma International (المملكة المتحدة)

وفقًا لبعض التقارير ، بعد استقالة حسني مبارك بعد أحداث 2011 في مصر ، تم العثور على وثائق (انظر الشكل 3 ، 4) تشير إلى أن FinFisher قدمت خدمات لتتبع المواطنين المصريين باستخدام مجمع FinSpy. حقيقة شراء رخصة لمدة خمسة أشهر لنظام مبارك في مصر مقابل 287 ألف يورو ، تنفي الشركة بإصرار. FinSpy قادر على الاعتراض اتصالات هاتفية Skype ، يسرق كلمات المرور ويسجل معلومات الصوت والفيديو. يتم تثبيت FinSpy على أجهزة الكمبيوتر الخاصة بالمستخدمين بالطريقة التالية: يتم إرسال رسالة عبر البريد الإلكتروني مع ارتباط إلى موقع ضار. عندما يفتح المستخدم الرابط ، سيُطلب منه تحديث البرنامج. في الواقع ، بدلاً من التحديث ، سيتم تثبيت البرامج الضارة. لوحظت طريقة توزيع FinSpy عبر البريد الإلكتروني في صيف 2012 فيما يتعلق بالناشطين المؤيدين للديمقراطية في البحرين.



فريق القرصنة (hackingteam.it) ، إيطاليا

مطور نظام DaVinci للتحكم عن بعد ، والذي تم وضعه كأداة تتبع مصممة للاستخدام من قبل الحكومات ووكالات إنفاذ القانون في مختلف الولايات. تشبه وظيفة DaVinci وظيفة FinSpy - إنها اعتراض Skype ، رسائل البريد الإلكترونيوكلمات المرور وبيانات الرسائل الفورية (ICQ) بالإضافة إلى تسجيل معلومات الصوت والفيديو. جزء العميل في DaVinci قادر على العمل في بيئة أنظمة التشغيل عائلات Windows(الإصدارات XP و Vista و Seven) وفي بيئة أنظمة تشغيل عائلة Mac OS (إصدارات Snow Leopard و Lion). من المفترض أن يكون سعر نظام DaVinci حوالي 200 ألف يورو ، وهو يحتوي على الالتزام بتحديث المنتج وصيانته باستمرار حتى تحقيق الهدف النهائي للهجوم (الحصول على المعلومات الضرورية).

منطقة SpA (area.it) ، إيطاليا

في تشرين الثاني (نوفمبر) 2011 ، أصبح معروفًا أن موظفي هذه الشركة قاموا بتركيب نظام مراقبة للحكومة السورية قادر على اعتراض جميع رسائل البريد الإلكتروني في البلاد ومسحها ضوئيًا وتخزينها تقريبًا. بعد شهر من الكشف عن هذه الحقيقة ، حظر الاتحاد الأوروبي تصدير معدات المراقبة الفنية إلى سوريا وصيانتها. تم نشر النظام على أساس اتفاق مع شركة الاتصالات السورية STE (المؤسسة السورية للاتصالات) ، وهي المشغل الرئيسي اتصال ثابتفي سوريا. للتثبيت ، تم استخدام طريقة فعالة إذا كان هناك وصول إلى شبكات الاتصالات (الخدمات الخاصة للدولة و تطبيق القانونلديك مثل هذا الوصول) ، - استبدال المعلومات. على سبيل المثال ، عند البحث عن معلومات على google.com ، تلقى المستخدم روابط تؤدي إلى موقع ضار وأصيب تحت ستار تثبيت مكونات المتصفح اللازمة لعرض محتوى الموقع بشكل صحيح.

Amesys (amesys.fr) ، قسم من Bull SA ، فرنسا

اكتشف صحفيو وول ستريت جورنال في أحد مراكز مراقبة الإنترنت التي خلفها أنصار القذافي في طرابلس (ليبيا) استخدام نظام التتبع Amesys. ووفقًا لشهاداتهم ، تمكنت السلطات الليبية من قراءة البريد الإلكتروني والحصول على كلمات المرور وقراءة الرسائل الفورية وتعيين الروابط بين الأشخاص. أظهرت الوثائق المنشورة على موقع WikiLeaks أن النظام الذي نشره Amesys جعل من الممكن مراقبة المنشقين والمعارضين حتى في الخارج ، على سبيل المثال ، الذين يعيشون في المملكة المتحدة.

جواسيس

لم تكن أحصنة طروادة المستخدمة في الهجمات الإلكترونية في عام 2013 خارجة عن المألوف. إذا كان عام 2012 هو عام العلاقات العامة لشركة Kaspersky Lab فيما يتعلق بموضوع الأسلحة الإلكترونية عالية التقنية ، ففي عام 2013 ظهر اتجاه جديد - استخدام برامج ضارة واسعة النطاق في الهجمات المستهدفة ، على عكس تلك المكتوبة بوضوح من قبل فريق من المحترفين لأغراض محددة . وبشكل متزايد ، تشير العلامات المعزولة إلى مهاجمين محتملين مثل الصين وكوريا الشمالية. وبالتالي ، يمكننا التحدث عن ما يسمى بالمدارس "الغربية" و "الآسيوية" لكتابة أحصنة طروادة المستخدمة في تنفيذ هجمات لفئة APT. ما هي سمة "المدرسة الغربية"؟

  1. يتم استثمار موارد مالية كبيرة.
  2. يتم توقيع التعليمات البرمجية الضارة رقميًا بواسطة شركات شرعية ، وعادةً ما تُسرق الشهادات الخاصة بها من الخوادم المخترقة ، الأمر الذي يتطلب بعض الأعمال التحضيرية والموارد البشرية والنقطة الأولى في النهاية. يتيح لك التوقيع تثبيت برامج التشغيل بسهولة للتبديل إلى وضع kernel ، مما يجعل من الممكن تنفيذ وظائف rootkit ، وفي بعض الحالات تجاوز حماية أدوات مكافحة الفيروسات.
  3. تُستخدم ثغرات اليوم الصفري على نطاق واسع للإطلاق الخفي وتصعيد الامتيازات في النظام ، وتكلف هذه الثغرات الكثير ، لذا راجع النقطة 1 مرة أخرى.

منذ عام 2010 ، تم اكتشاف البرامج الضارة التالية مع التسمية الجذابة "السلاح السيبراني" (انظر الشكل 2) ، في هذه المقالة لن نصف مآثرهم بالكامل - لقد فعلنا ذلك من قبل - ولكن ببساطة نراجع أكثرها إثارة للاهتمام سمات.

ستوكسنت

تبرز في الخلفية العامة من خلال حقيقة أنها الممثل الوحيد حتى الآن للبرامج الضارة التي يمكن أن تلحق الضرر المادي ببعض كائنات المؤسسة. لذلك ، في الواقع ، يمكن أن يُنسب فقط إلى فئة الأسلحة السيبرانية. ما كان مثيرًا للاهتمام أيضًا هو وجود أربع ثغرات في يوم الصفر ، وانتشرت إلى USB ليس من خلال autorun.inf بسيط ، ولكن من خلال MS10-046 للتعامل مع الثغرات الأمنية. عند التحميل التلقائي من محرك أقراص محمول عبر اختصار ضار ، تم تشغيل مكون rootkit ، وبعد ذلك تم وضع مكونات Stuxnet الخبيثة على فلاش usbأصبح غير مرئي. كان لها وظائف دودة ، مثل Conficker (MS08-067) ، بالإضافة إلى طريقة الانتشار عبر الشبكة من خلال ثغرة في نظام الطباعة الفرعي (MS10-061). تم توقيع السائقين بشهادات مسروقة.

دوكو

تستخدم كحاوية شحن وثيقة كلمة(تم إطلاقه من خلال ثغرة أمنية في معالجة الخطوط MS11-087 ، يوم الصفر) ، تم إرسالها عبر البريد الإلكتروني. تم التوقيع على برامج التشغيل ، مثل تلك الخاصة بـ Stuxnet ، ولهذا السبب لا يزال بعض محللي برامج مكافحة الفيروسات يحاولون تبرير الارتباط بين Stuxnet و Duqu.

لهب

من المثير للاهتمام أن توقيع المكونات ينتمي إلى Microsoft ، فقد تم إنشاؤه عن طريق تحديد تضارب MD5. حجم كبير بشكل غير واقعي للمصدر ، حوالي 20 ميغا بايت ، واستخدام كمية كبيرة من كود الطرف الثالث. هناك وحدة تستخدم البلوتوث لاعتراض المعلومات من أجهزة محمولة.

جاوس

لها هيكل معياري ، يتم إعطاء الوحدات أسماء داخلية لعلماء رياضيات مشهورين مثل Gödel و Gauss و Lagrange. الاستخدامات الوسائط القابلة للإزالةلتخزين المعلومات التي تم جمعها في ملف مخفي(يسمح هذا بتسريب المعلومات عبر محيط الحماية ، حيث لا يوجد إنترنت ، على محرك أقراص فلاش). يحتوي على مكونات إضافية مصممة لسرقة ومراقبة البيانات المرسلة من قبل مستخدمين من عدة بنوك لبنانية - بنك بيروت ، و EBLF ، و BlomBank ، و ByblosBank ، و FransaBank ، و Credit Libanais.

ميني فلام

مشروع متعلق بشعلة. أثناء التحليل خوادم القيادة والسيطرةوجد اللهب أن هناك أربعة أنواع مختلفةالعملاء ("البرامج الضارة") التي تحمل الاسم الرمزي SP و SPE و FL و IP. يتوافق MiniFlame مع الاسم SPE ، Flame ، على التوالي ، - FL. لم يتم العثور على برامج ضارة تحمل الاسمين SP و IP في البرية.

سبوتنيك

قادرة على سرقة البيانات من الأجهزة المحمولة ، وجمع المعلومات من معدات الشبكة(Cisco) وملفات من محركات أقراص USB (بما في ذلك سابقًا الملفات المحذوفة، الذي يستخدم تقنية استرداد الملفات الخاصة به) ، وسرقة قواعد بيانات البريد من متجر Outlook المحلي أو من خادم POP / IMAP البعيد ، واستخراج الملفات من خوادم FTP المحلية على الشبكة.

مينيدوك

مكتوبًا في المجمع ، وهو أمر يثير الدهشة بالفعل في عصرنا (كما ترى ، لقد نطقوا شخصًا ما من المدرسة القديمة). عناوين C & C مأخوذة من Twitter. إذا لم ينجح Twitter ، فسيتم استخدام بحث Google للعثور على روابط مشفرة لخوادم التحكم الجديدة.

تحاول المجموعات الإلكترونية الصينية مواكبة التقدم ، وعلى سبيل المثال ، يحتوي حصان طروادة مثل Winnti ، المستخدم لمهاجمة شركات ألعاب الكمبيوتر عبر الإنترنت ، على برامج تشغيل موقعة.

جواسيس المدرسة الآسيوية

  • يوليو 2012 - ماضي ؛
  • أغسطس 2012 - شمعون ؛
  • نوفمبر 2012 - نريلام.

كلهم مكتوبون في دلفي (lameware :)) ، الكود لا يتألق مع قابلية تصنيع خاصة ، لا يوجد ما يقال عن يوم الصفر والتوقيعات. هناك استخدام للتقنيات والأساليب العامة. لكن مع ذلك - إنهم يعملون! بالمناسبة ، عادت أحصنة طروادة ذات الوظائف التدميرية في أعقاب هجمات APT إلى رواج ، وشمون وناريلام مجرد واحد منهم. تم استخدامها لشل عمل المنظمات الفردية من خلال تدمير المعلومات الموجودة على أجهزة الكمبيوتر.

قضايا المصطلحات

لم تعد المصطلحات القديمة مثل "فيروس" و "دودة" و "طروادة" تتوافق تمامًا مع الواقع. من المؤسف بشكل خاص أن يتسم صحفيو الإنترنت بالبنفجس الشديد بشأن كيفية اختلاف الفيروس عن حصان طروادة ، وأن الشخص الذي يكون على دراية بالموضوع بشكل أو بآخر يتم قطعه بعبارات مثل "فيروس ستوكسنت" أو "فيروس كيدو" أو "كاربر" الفيروس". دعنا نلخص المفاهيم الأساسية:

  • الفيروس - له وظيفة الانتشار الذاتي ، ويصيب الملفات القابلة للتنفيذ ؛
  • طروادة - ليس لديها وظيفة الانتشار الذاتي ؛
  • دودة - لها وظيفة الانتشار الذاتي ، بالمعنى الكلاسيكي - من خلال استخدام نقاط الضعف في خدمات نظام التشغيل المتاحة عبر الشبكة (Morris worm) ، بعد ذلك بقليل - من خلال الصابون ومحركات أقراص فلاش ؛
  • rootkit - يستخدم وظائف إخفاء علامات وجوده في النظام.

في الممارسة العملية ، تجمع العديد من عينات البرامج الضارة بين العديد من هذه الخصائص. في الوقت الحاضر ، حان الوقت لتصنيف البرامج الضارة وفقًا لبعض المعايير الأخرى. دعنا نحاول معرفة ذلك. بادئ ذي بدء ، أي برنامج ضار في عصرنا هو في الأساس مشروع تجاري. الفرق هو فقط في المالية الأولية والأهداف النهائية. تقليديا ، يمكن تمييز المجموعات التالية:

  • lameware هو مصطلح جديد يعني البرامج الضارة المكتوبة من قبل المبتدئين أو الهواة في هذا المجال (في الحياة اليومية - أعرج). كثيرا ما تستخدم دلفي. التنمية ، كقاعدة عامة ، لا تتطلب أي استثمارات مالية ، ومع ذلك ، فإن الدخل من الناحية النسبية صغير. الدافع الرئيسي لكتابة برامج lameware هو تسلية CSF الخاص بك ؛
  • البرمجيات الخبيثة التجارية عالية الجودة - البرمجيات الخبيثة التي تحمل اسم "عالمي" ، لها عدة أجيال وتقود تاريخها لعدة سنوات ؛
  • APT - برامج التجسس ، يتميز توزيعها ووظائفها بنقطة التركيز على أهداف محددة - الشركات والمؤسسات.

خاتمة

جعلت الإنترنت والحوسبة والعولمة الأخرى الحياة أسهل للناس. أنت وأنا ، وأولئك الذين اعتادوا القفز بالمظلة ، يقضمون الأسلاك الشائكة ، والتنصت ، والتجسس ، والتقويض ، والرشوة. يتم الآن جزء كبير من عمل هؤلاء الرجال الأقوياء بواسطة مبرمجين موهوبين بملايين الدولارات ، وهو أمر مثير للسخرية وفقًا لمعايير الميزانيات المقابلة. نعم ، بالمناسبة ، أصبحت حياة الشخصيات الإجرامية ، الذين اعتادوا الركض مع كولت للحافلات البريدية ، أسهل أيضًا. كن منتبها وحذر!

في الحقيقة يعالج الفيروسات، هذه ليست عملية معقدة للغاية لدفع الكثير من المال للمتخصصين مقابل هذا العمل. يمكنك حماية جهاز الكمبيوتر الخاص بك من الفيروسات ، أو في حالة الإصابة ، يمكنك إعادة جهاز الكمبيوتر الخاص بك إلى حالة "صحية" عن طريق إزالة البرامج الضارة ، عن طريق اختيار برنامج مكافحة فيروسات جيد واتباع بعض القواعد. خذ اثنين على الأقل من أهمها: أولاً ، قم بتحديث قواعد بيانات مكافحة الفيروسات بانتظام. والثاني هو فحص جهاز الكمبيوتر الخاص بك بالكامل بحثًا عن الفيروسات مرة واحدة في الشهر.

لذلك ، مع هذا ، أعتقد أنه من الواضح أن إزالة البرامج الضارة تتم بمساعدة مضادات الفيروسات. إنها مدفوعة ومجانية ، لقد تحدثت عن الأساليب المجانية في المقالة التالية:

والآن ما هو البرنامج الخبيث أو الفيروس بطريقة أخرى؟

فيروس الكمبيوتر أو البرامج الضارة- هذا برنامج غرضه الرئيسي: إلحاق الضرر بجهاز الكمبيوتر ، وإتلاف بيانات المستخدم ، وسرقة المعلومات الشخصية أو حذفها ، وإضعاف أداء الكمبيوتر ، وغير ذلك الكثير.

ان يذهب في موعد البرمجيات الخبيثةيمكن تصنيفها إلى عدة أنواع حسب تأثيرها على الكمبيوتر.

  • فيروسات كلاسيكية.
  • برامج طروادة.
  • جواسيس.
  • الجذور الخفية.
  • ادواري.

دعنا نلقي نظرة فاحصة على كل نوع من أنواع البرامج الضارة.

الفيروسات الكلاسيكيةهي برامج ضارة يمكن أن تصيب جهاز كمبيوتر ، على سبيل المثال ، عبر الإنترنت. وجوهر هذه الفيروسات يكمن في التكاثر الذاتي. تقوم هذه الفيروسات بنسخ نفسها ونسخ الملفات والمجلدات الموجودة على الكمبيوتر المصاب. يفعلون ذلك من أجل إصابة البيانات بحيث يكون استردادها مستحيلًا في المستقبل. يحاول هذا الفيروس إتلاف جميع البيانات الموجودة على الكمبيوتر عن طريق وضع رمزه في جميع الملفات ، من ملفات النظام إلى بيانات المستخدم الشخصية. في أغلب الأحيان ، يكون الخلاص على مثل هذا الكمبيوتر المصاب.

حصان طروادةهو نوع خطير من الفيروسات. تتم كتابة أحصنة طروادة بواسطة المهاجمين لغرض معين ، على سبيل المثال ، سرقة المعلومات من أجهزة الكمبيوتر ، أو سرقة كلمات المرور ، وما إلى ذلك.

ينقسم حصان طروادة إلى قسمين. يتم تخزين الجزء الأول ، المسمى الخادم ، بواسطة المهاجم ، والثاني ، جزء العميل ، يتم توزيعه على جميع أركان الإنترنت الممكنة وفي أماكن أخرى. في حالة إصابة جزء العميل من البرنامج الضار بجهاز الكمبيوتر ، فإن هذا الكمبيوتر يصبح مصابًا ويبدأ حصان طروادة في إرسال معلومات متنوعة إلى المهاجم متخفيًا على الخادم الخاص به.

أيضًا ، يمكن لـ Trojan إجراء عمليات مختلفة على الكمبيوتر بناءً على طلب الخادم (الدخيل) ، وسرقة كلمات المرور ، وإصابة المستندات والملفات بشفرات ضارة.

جواسيستشبه إلى حد ما أحصنة طروادة. لكن الفرق الرئيسي بينهما يكمن في حقيقة أن الجواسيس لا يضرون بالنظام وملفات المستخدم. برامج التجسس استقر بهدوء على الكمبيوتر والتجسس. يمكنهم سرقة كلمات المرور أو حتى حفظ كل ما تدخله من لوحة المفاتيح.

برامج التجسس هي أذكى أنواع الفيروسات ويمكنها حتى إرسال الملفات من جهاز كمبيوتر مصاب. يعرف الجاسوس الكثير من المعلومات حول الكمبيوتر المصاب: ما هو النظام المثبت ، وما هو برنامج مكافحة الفيروسات الذي تستخدمه ، والمتصفح الذي تستخدمه على الإنترنت ، وما هي البرامج المثبتة على الكمبيوتر ، وما إلى ذلك. تعد برامج التجسس من أخطر البرامج الضارة.

الجذور الخفيةهم ليسوا فيروسات في حد ذاتها. لكن الجذور الخفية هي برامج تهدف إلى إخفاء وجود فيروسات أخرى على الكمبيوتر. على سبيل المثال ، أصيب جهاز كمبيوتر بفيروس تجسس في نفس الوقت مع برنامج rootkit. وسيحاول برنامج rootkit إخفاء جاسوس من برنامج مكافحة الفيروسات ونظام التشغيل لديك. وفقًا لذلك ، فإن وجود الجذور الخفية على جهاز الكمبيوتر لا يقل خطورة ، حيث يمكنها العمل بشكل جيد وإخفاء مجموعة من الفيروسات (برامج التجسس ، أحصنة طروادة) عن أعين برامج مكافحة الفيروسات لدينا لفترة طويلة!

ادواريهو نوع آخر من البرامج الضارة. إنه أقل برنامج خطير، وجوهرها هو تشغيل الإعلانات على جهاز الكمبيوتر الخاص بك بشتى الطرق وفي أماكن مختلفة. لا تسبب برامج الإعلانات المتسللة أي ضرر ولا تلحق الضرر بالملفات أو تفسدها. لكنك تحتاج أيضًا إلى حماية نفسك من هذا النوع من الفيروسات.

هذه هي الأنواع البرمجيات الخبيثةيخرج. لحماية جهاز الكمبيوتر الخاص بك من الفيروسات ، نحن بحاجة مضاد فيروسات جيد. تحدثت عن ذلك في مقال آخر ، والآن سنواصل موضوع وصف الفيروسات وأنظمة الحماية لجهاز الكمبيوتر الخاص بنا.

في السابق ، لم يكن للفيروسات أي غرض محدد ، فقد تمت كتابتها من أجل المصلحة ولم يحدد المطور هدفًا محددًا. تعد الفيروسات الآن الخوارزميات الأكثر تعقيدًا ، وغالبًا ما يكون جوهرها هو سرقة الأموال والبيانات. غالبًا ما يتم تصميم أحصنة طروادة فقط لسرقة كلمات المرور والبيانات المهمة الأخرى.

بالمناسبة ، ما إذا كان جهاز الكمبيوتر الخاص بك قد تعرض لهجوم من الفيروسات يمكن تمييزه ببعض العلامات:

  • لا تعمل البرامج بشكل صحيح أو تتوقف عن العمل تمامًا.
  • بدأ الكمبيوتر في التباطؤ ، والعمل ببطء.
  • تلف بعض الملفات ، ويرفض فتحها.

في كثير من الأحيان ، يمكن أن تصبح هذه الأعراض علامة على الإصابة بفيروس الكمبيوترلكن لحسن الحظ ليس دائمًا.

وتجدر الإشارة إلى أنه في أغلب الأحيان يمكن أن يصيب فيروس واحد بعينه أنواع مختلفةالملفات. لذلك ، حتى بعد معالجة الكمبيوتر من هجوم فيروس قوي ، سيكون تنسيق القسم هو الأصح.

لحماية نفسك من الفيروسات ، كما قلت أعلاه ، سوف يساعدونك برامج مكافحة الفيروسات. اليوم ، تحتوي برامج مكافحة الفيروسات على ميزات تكفي لتعكس تقريبًا جميع البرامج الضارة التي يتم توزيعها على الإنترنت. لكن لأقصى حد الحماية من الفيروسيتم لعب دور هام من خلال برنامج مضاد للفيروسات تم اختياره وتكوينه بشكل صحيح من أجل أداء "قتالي" كامل. أوصي بأن تقرأ المقال عن. ولكن إذا لم يكن لديك الوقت ، فسأسمي لك أفضل برامج مكافحة الفيروسات هنا. اعتبارًا من اليوم ، هذه هي:

  • كاسبيرسكي
  • أفاست
  • دكتور ويب
  • NOD32

أعتقد أن هناك الكثير للاختيار من بينها.

حظًا سعيدًا وحماية ممتازة من الفيروسات لك.

البرامج الضارة وأحصنة طروادة والتهديدات

ترتبط معظم أجهزة الكمبيوتر بشبكة (الإنترنت ، شبكة المنطقة المحلية) ، مما يبسط توزيع البرامج الضارة (وفقًا للمعايير الروسية ، تسمى هذه البرامج "المدمرة" برمجة"ولكن هذا المفهومليس شائعًا ، ستستخدم المراجعة مفهوم "البرامج الضارة" ؛ على اللغة الإنجليزيةيطلق عليهم اسم البرامج الضارة). تتضمن هذه البرامج أحصنة طروادة (المعروفة أيضًا باسم أحصنة طروادة) والفيروسات والديدان وبرامج التجسس وبرامج الإعلانات المتسللة والجذور الخفية وأنواع أخرى مختلفة.

ميزة أخرى هي أن MBAM نادرًا ما تسبب أي تعارضات مع أدوات مكافحة البرامج الضارة الأخرى.

ماسح أحصنة طروادة المجاني SUPERAntiSpyware

. بالإضافة إلى برامج التجسس ، يقوم هذا البرنامج بمسح وإزالة أنواع أخرى من التهديدات مثل برامج الاتصال ، و keyloggers ، والديدان ، والجذور الخفية ، وما إلى ذلك.

يحتوي البرنامج على ثلاثة أنواع من عمليات المسح: فحص سريع أو كامل أو مخصص للنظام. قبل الفحص ، يعرض البرنامج التحقق من التحديثات لحمايتك على الفور من أحدث التهديدات. SAS لديها قائمتها السوداء الخاصة. هذه قائمة تضم 100 مثال على العديد من مكتبات DLL و EXE التي يجب ألا تكون موجودة على جهاز الكمبيوتر. عند النقر فوق أي من العناصر الموجودة في القائمة ، ستتلقى وصف كاملالتهديدات.

واحد من الميزات الهامةالبرامج - هذا هو وجود حماية Hi-Jack ، والتي لا تسمح للتطبيقات الأخرى بإنهاء البرنامج (باستثناء Task Manager).

لسوء الحظ ، لا يدعم الإصدار المجاني من هذا البرنامج الحماية في الوقت الفعلي وعمليات الفحص المجدولة وعدد من الميزات الأخرى.

المزيد من البرامج

الماسحات الضوئية المجانية الأخرى التي لم يتم تضمينها في المراجعة:

  • Rising PC Doctor (لم يعد متاحًا ، لا يزال بإمكانك العثور على الإصدارات القديمة على الإنترنت) - ماسح أحصنة طروادة وبرامج التجسس. يقدم الفرصة الحماية التلقائيةمن عدد من أحصنة طروادة. كما يقدم الأدوات التالية: إدارة بدء التشغيل ، ومدير العمليات ، ومدير الخدمة ، و File Shredder (برنامج حذف الملفات ، دون إمكانية استعادتها) وغيرها.
  • FreeFixer - سيفحص نظامك ويساعدك على إزالة أحصنة طروادة والبرامج الضارة الأخرى. ولكن ، يتعين على المستخدم تفسير نتائج البرنامج بشكل صحيح. يجب توخي الحذر بشكل خاص عند اتخاذ قرار بإزالة ملفات النظام المهمة ، حيث يمكن أن يؤدي ذلك إلى إتلاف نظامك. ومع ذلك ، هناك منتديات يمكنك الرجوع إليها إذا كنت تشك في القرار (توجد روابط للمنتديات على الموقع).
  • Ashampoo Anti-Malware (لسوء الحظ ، أصبح إصدارًا تجريبيًا. من المحتمل أن الإصدارات السابقة لا يزال من الممكن العثور عليها على الإنترنت) - في البداية كان هذا المنتج تجاريًا فقط. يوفر الإصدار المجاني حماية في الوقت الفعلي ويقدم أيضًا أدوات تحسين متنوعة.

الدليل السريع (روابط تنزيل Trojan Scanner)

برنامج Emsisoft Anti-Malware

يمسح ويزيل أحصنة طروادة ، والديدان ، والفيروسات ، وبرامج التجسس ، والمتتبعات ، والمتصلين ، وما إلى ذلك. سهل الاستخدام.
في نسخة مجانيةمحدودة للغاية. غير متاح: التحديث التلقائي ، وحماية الملفات في الوقت الفعلي ، والمسح المجدول ، وما إلى ذلك.
لسوء الحظ ، لقد أصبحت تجربة. ربما لا يزال من الممكن العثور على الإصدارات السابقة على الإنترنت
www.emsisoft (.) com

أدوات الكمبيوتر ThreatFire

حماية استباقية ضد أحصنة طروادة المعروفة وغير المعروفة والفيروسات والديدان وبرامج التجسس والجذور الخفية والبرامج الضارة الأخرى.
تحديث أوتوماتيكيلم يتم تقديمه إذا قمت بإلغاء الاشتراك في مجتمع ThreatFire. لم يتغير الإصدار 4.10 منذ نوفمبر 2011.


تحميل...
قمة