Trójai kémprogramok. Korunk kémtrójai és kormányzati rosszindulatú programjai

SpyWare - kémprogramok. Spyware ( alternatív nevek- Spy, SpyWare, Spy-Ware, Spy Trojan) általánosan elterjedt szoftvernek nevezik, amely információkat gyűjt a felhasználóról és továbbít valakinek az engedélye nélkül. A felhasználóra vonatkozó információk tartalmazhatják személyes adatait, pénzügyi számláira vonatkozó adatokat, számítógép konfigurációját és operációs rendszer, internetes statisztikák és egyebek.

A kémprogramokat számos célra használják, ezek közül a legfontosabb a marketingkutatás és a célzott reklámozás. Ebben az esetben információkat a felhasználó számítógépének konfigurációjáról, az általa használt szoftverekről, az általa felkeresett webhelyekről, a kérések statisztikáiról. kereső motorokés a billentyűzetről beírt szavak statisztikái lehetővé teszik a tevékenység típusának és a felhasználók érdeklődési körének nagyon pontos meghatározását. Ezért a leggyakrabban a SpyWare - Adware kombinációt láthatja, i.e. "Spy" - "Reklámmegjelenítő modul". A kém rész információkat gyűjt a felhasználóról és továbbítja a hirdető cég szerverére. Ott elemzik az információkat, és válaszul elküldik az Ön számára legmegfelelőbb hirdetési információkat. adott felhasználó. A reklám a legjobb esetben külön felugró ablakokban jelenik meg, a legrosszabb esetben beágyazott oldalakba kerül, és keresztül küldik email. A személyes adatok ellopása által okozott kár a legtöbb fejlett országban bűncselekmény.

Az összegyűjtött információk azonban nem csak reklámozási célokra használhatók fel - például a felhasználó számítógépére vonatkozó információk megszerzése jelentősen leegyszerűsítheti a hackertámadást és behatolhat a felhasználó számítógépére. És ha egy program rendszeresen frissíti magát az interneten keresztül, akkor ez nagyon sebezhetővé teszi a számítógépet - egy egyszerű DNS-támadás lecserélheti a frissítési forrás címét a hacker szerverének címére - egy ilyen "frissítés" bevezetéséhez vezet. illetéktelen személyeket a felhasználó számítógépére szoftver.

A kémprogramok két fő módon juthatnak a felhasználó számítógépére:

1. Internetes oldalak látogatása közben. Leggyakrabban a kémprogramok behatolása akkor következik be, amikor a felhasználó hacker- és warez-oldalakat, ingyenes zenét tartalmazó oldalakat és pornóoldalakat látogat meg. Általában a Kaspersky Lab http://www.kaspersky.ru/ besorolása szerint a TrojanDownloader kategóriába tartozó ActiveX összetevőket vagy trójai programokat használják a kémprogramok telepítésére. Sok hackerwebhely adhat ki cracket. Program a licencelt szoftver (crack) feltörésére, amely kémprogramokat tartalmaz, vagy egy TrojanDownloader letölthető;

2. Ingyenes vagy shareware programok telepítésének eredményeként. A legkellemetlenebb az, hogy nagyon sok ilyen program létezik, ezeket az interneten vagy kalóz CD-ken terjesztik.

Nincsenek pontos kritériumok egy programnak a "SpyWare" kategóriába való felvételére, és a víruskereső csomagok készítői nagyon gyakran az "Adware" kategóriákba sorolják a programokat (egy olyan alkalmazás, amely rekláminformációk letöltésére szolgál a felhasználó számítógépére a későbbi bemutató céljából. ) és a "Eltérítő" (olyan segédprogram, amely a böngésző beállításait a felhasználó tudta nélkül módosítja) a "SpyWare" kategóriába és fordítva.

A biztonság kedvéért számos olyan szabályt és feltételt javasolunk, amelyek betartásával egy program kémprogramnak minősíthető. Az osztályozás a leggyakoribb SpyWare programokon alapul:

1. A program titokban van telepítve a felhasználó számítógépére. Ennek a bekezdésnek az az értelme, hogy egy normál program telepítőjének értesítenie kell a felhasználót a program telepítésének tényéről (a telepítés megtagadásának lehetőségével), felajánlania a telepítési könyvtár és a konfiguráció kiválasztását. Ezenkívül a telepítés után a telepítőnek létre kell hoznia egy elemet a "Programok telepítése és törlése" listában, amelynek meghívása végrehajtja az eltávolítási folyamatot, és létrehozza a megfelelő bejegyzéseket az operációs rendszer rendszerleíró fájljában. A kémprogramok telepítése általában egzotikus módon történik (gyakran Trojan-Downloader modulok használatával) a felhasználó elől rejtve, és az eltávolítása a legtöbb esetben lehetetlen. A SpyWare telepítésének második módja egy titkos telepítés, amely bármely népszerű programhoz kötődik;

2. A program titokban betöltődik a memóriába a számítógép rendszerindítási folyamata során. Érdemes megjegyezni, hogy a modern SpyWare fejlesztői elkezdték használni a Rootkit B-t Windows rendszerek A rootkit alatt általában olyan programot értünk, amely beadja magát a rendszerbe és elfogja rendszerfunkciók(Windows API). Az alacsony szintű API-funkciók elfogása és módosítása mindenekelőtt lehetővé teszi egy ilyen program számára, hogy kellően hatékonyan elfedje jelenlétét a rendszerben. Ezenkívül a rootkit általában elfedheti a konfigurációjában leírt folyamatok, a lemezen lévő könyvtárak és fájlok, valamint a rendszerleíró kulcsok jelenlétét a rendszerben. technológiák a folyamat elfedésére a memóriában és a lemezen lévő fájlokban. Emellett egyre népszerűbb az „elpusztíthatatlan” folyamatok létrehozása - pl. két folyamat elindítása, amelyek leállítás esetén újraindítják egymást. Ezt a technológiát különösen a SpyWare.WinAd;

3. A program néhány műveletet a felhasználó utasítása nélkül hajt végre – például bármilyen információt fogad vagy továbbít az internetről;

4. A program a felhasználó tudta és beleegyezése nélkül tölti le és telepíti frissítéseit, bővítményeit, bővítő moduljait vagy egyéb szoftvereit. Ez a tulajdonság számos spyware program velejárója, és rendkívül veszélyes, mert... a frissítések és további modulok letöltése és telepítése titokban történik, és gyakran ahhoz vezet instabil munka rendszerek. Ezenkívül az automatikus frissítési mechanizmusok segítségével a támadók trójai modulokat helyezhetnek el a felhasználó számítógépén;

5. A program módosul rendszerbeállítások vagy a felhasználó tudta nélkül zavarja más programok működését. Például egy spyware modul módosíthatja a biztonsági szintet a böngésző beállításaiban, vagy módosíthatja a hálózati beállításokat;

6. A program módosítja az információkat vagy információáramlásokat. Tipikus példa erre a program különféle bővítményei Outlook Express, akik levél küldésekor hozzáfűzik az adataikat. A második gyakori példa az internetről letöltött oldalak módosítása (rekláminformációk szerepelnek az oldalakon, egyes szavak vagy kifejezések hiperhivatkozásokká alakulnak)

Ebben a besorolásban különösen meg kell jegyezni, hogy a SpyWare kategóriába tartozó programok nem teszik lehetővé a számítógép távvezérlését, és nem továbbítanak jelszavakat és hasonló információkat az alkotóinak - az ilyen műveletek egy másik programkategóriára jellemzőek - „Trójai” és "Hátsó ajtó". A SpyWare kategóriába tartozó programok azonban sok tekintetben a trójai programok rokonai.

A fájlok Kaspersky Lab besorolása és a kémprogramok százalékos összetétele szerinti csoportosítását az ábra mutatja. 1.

Amint az a diagramból következik, a minták számának 38%-a AdWare és SpyWare (meg kell jegyezni, hogy a SpyWare nem szerepel az LC osztályozásban - a leginkább rosszindulatú AdWare képviselői ebbe a kategóriába tartoznak). A gyűjteményben található Trojan-Downloader minták túlnyomó többsége a gyűjteményben bemutatott rosszindulatú programok titkos letöltésére és telepítésére szolgáló program. A Trojan-Spy egy tiszta kémprogram, amely fontos információkat továbbít a felhasználóról: jelszavakat, számokat bankkártyák, a billentyűzetről beírt szöveg. A trójai kategóriában a következő típusú programok vannak kiválasztva: Trojan-Dialer (a telefonszámok tárcsázási vagy tárcsázási paramétereinek titkos módosítására szolgáló programok fizetős telefonok), Trojan.StartPage (módosító kezdőlapés a keresési paraméterek internet böngésző, ezeket a programokat gépeltérítőnek is nevezik),

A kémprogramok százalékos aránya a Kaspersky Lab besorolásán alapul

Amint az ábrából kiderül, a minták 38%-a AdWare és SpyWare. A gyűjteményben található Trojan-Downloader minták túlnyomó része a gyűjteményben bemutatott rosszindulatú programok titkos letöltésére és telepítésére szolgáló programok. A Trojan-Spy a legtisztább kémprogram, amely fontos információkat továbbít a felhasználóról: jelszavakat, hitelkártyaszámokat, billentyűzetről beírt szöveget. A trójai kategóriában a következő típusú programok kerülnek kiválasztásra: Trojan-Dialer (telefonszám tárcsázási vagy díjköteles tárcsázási paraméterek titkos módosítására szolgáló programok), Trojan.StartPage (a kezdőoldal és a paraméterek módosítása) Internetes keresés Explorer, ezek a programok Hijacker néven is ismertek, Trojan.LowZones (az Internet Explorer biztonsági beállításainak módosítása). Az "Egyéb" kategóriába tartoznak rosszindulatú egyéb osztályok - körülbelül 50 általános típusú hálózati és e-mail féreg létezik, 12 exploit az Internet Explorer számára (a SpyWare telepítők indítására szolgál) és 70 speciális trójai program (TrojanPSW és Trojan-Proxy). Backdoor - a fő cél a számítógép illetéktelen, titkos irányítása.

http://www.computermaster.ru/articles/secur2.html

Amit a számítógépes vírusokról tudni kell

c) Alekszandr Frolov, Grigorij Frolov, 2002

[e-mail védett]; http://www.frolov.pp.ru, http://www.datarecovery.ru

A szakemberek és a nagyközönség számára hozzáférhető személyi számítógépek megalkotása óta elkezdődött a számítógépes vírusok története. Kiderült, hogy a személyi számítógépek és a hajlékonylemezeken terjesztett programok jelentik azt a „tápanyag-közeget”, amelyben keletkeznek és gondtalanul élnek. számítógépes vírusok. Mítoszok és legendák, amelyek a számítógépes vírusok bárhová és mindenhová behatoló képessége körül felmerülnek, az érthetetlen és az ismeretlen ködébe burkolják ezeket a rosszindulatú lényeket.

Sajnos még a tapasztalt rendszergazdák is (nem is beszélve hétköznapi felhasználók) nem mindig értik pontosan, mik is azok a számítógépes vírusok, hogyan hatolnak be a számítógépekbe és számítógépes hálózatok, és milyen károkat okozhatnak. Ugyanakkor a vírusok működésének és terjedésének mechanizmusának megértése nélkül lehetetlen hatékony vírusvédelem megszervezése. Még a legjobb víruskereső program is tehetetlen lesz, ha helytelenül használják.

Rövid tanfolyam a számítógépes vírusok történetéből

Mi az a számítógépes vírus?

A számítógépes vírus legáltalánosabb definíciója olyan programkódként adható meg, amely a számítógépek információs környezetében önmagában terjed. Beágyazható programok végrehajtható és parancsfájljaiba, elosztva a hajlékonylemezek rendszerindító szektorain és merevlemezek, irodai jelentkezési dokumentumok, e-mailben, webhelyeken és más elektronikus csatornákon keresztül.

A számítógépes rendszerbe behatolva a vírus ártalmatlan képi vagy hanghatásokra korlátozódhat, de adatvesztést vagy sérülést, valamint személyes és bizalmas információk kiszivárgását okozhatja. A legrosszabb esetben egy vírussal fertőzött számítógépes rendszer a támadó teljes ellenőrzése alatt állhat.

Manapság az emberek sok kritikus probléma megoldásában bíznak a számítógépekben. Ezért a kudarc számítógépes rendszerek nagyon-nagyon súlyos következményekkel járhat, beleértve az áldozatokat is (képzeljünk el egy vírust a repülőtéri szolgálatok számítógépes rendszereiben). A számítógépes információs rendszerek fejlesztői és a rendszergazdák erről nem feledkezhetnek meg.

Ma már több tízezer különféle vírust ismerünk. E bőség ellenére meglehetősen korlátozott számú vírustípus létezik, amelyek terjedési mechanizmusukban és hatáselvükben különböznek egymástól. Vannak olyan kombinált vírusok is, amelyek egyszerre több különböző típusba sorolhatók. Szó lesz a különböző vírustípusokról, lehetőleg követve megjelenésük időrendi sorrendjét.

Fájlvírusok

Történelmileg a fájlvírusok korábban jelentek meg, mint a többi vírustípus, és kezdetben az MS-DOS operációs rendszer környezetben terjesztették őket. A vírusok befecskendezve magukat a COM és EXE programfájlok törzsébe úgy változtatják meg azokat, hogy indításkor az irányítást nem a fertőzött programra, hanem a vírusra adják át. A vírus a fájl végére, elejére vagy közepére írhatja a kódját (1. ábra). A vírus blokkokra is oszthatja a kódját, és a fertőzött program különböző helyeire helyezheti azokat.

Rizs. 1. Vírus a MOUSE.COM fájlban

Az ellenőrzést követően a vírus más programokat is megfertőzhet, behatolhat a számítógép RAM-jába, és más rosszindulatú funkciókat is végrehajthat. A vírus ezután átadja az irányítást a fertőzött programnak, amely a szokásos módon fut le. Ennek eredményeként a programot futtató felhasználó nem is sejti, hogy „beteg”.

Felhívjuk figyelmét, hogy a fájlvírusok nem csak COM programokés EXE, hanem más típusú programfájlok is - MS-DOS átfedések (OVL, OVI, OVR és mások), SYS illesztőprogramok, DLL dinamikus hivatkozási könyvtárak, valamint minden programkóddal rendelkező fájl. A fájlvírusokat nem csak MS-DOS-ra fejlesztették ki, hanem más operációs rendszerekre is, mint pl Microsoft Windows, Linux, IBM OS/2. A vírusok túlnyomó többsége azonban ebből a típusból pontosan az MS-DOS és a Microsoft Windows környezetében él.

Az MS-DOS idejében a fájlvírusok a programok, a játékok és az üzlet ingyenes cseréjének köszönhetően virágoztak. Akkoriban a programfájlok viszonylag kis méretűek voltak, és hajlékonylemezeken terjesztették. A fertőzött program véletlenül is letölthető a BBS-ről vagy az internetről. És ezekkel a programokkal együtt a fájlvírusok is terjednek.

A modern programok jelentős helyet foglalnak el, és általában CD-ken terjesztik. A programok hajlékonylemezeken való megosztása a múlté. Ha licencelt CD-ről telepít egy programot, általában nem kockáztatja meg, hogy számítógépét megfertőzze vírussal. A másik dolog a kalóz CD-k. Itt nem tudunk kezeskedni semmit (bár tudunk példákat arra, hogy licencelt CD-ken terjednek a vírusok).

Ennek eredményeként ma a fájlvírusok elvesztették népszerűségüket más típusú vírusokkal szemben, amelyekről később fogunk beszélni.

Boot vírusok

A rendszerindító vírusok a számítógép inicializálása során átveszik az irányítást, még az operációs rendszer betöltődése előtt. A működésük megértéséhez emlékeznie kell a számítógép inicializálásának és az operációs rendszer betöltésének sorrendjére.

A számítógép bekapcsolása után azonnal működésbe lép a BIOS-ban rögzített POST (Power On Self Test) teszteljárás. A vizsgálat során meghatározzák a számítógép konfigurációját, és ellenőrzik fő alrendszereinek működőképességét. A POST ezután ellenőrzi, hogy a hajlékonylemez be van-e helyezve az A: meghajtóba. Ha a hajlékonylemez be van helyezve, akkor az operációs rendszer további betöltése történik a hajlékonylemezről. Ellenkező esetben a rendszerindítás a merevlemezről történik.

Hajlékonylemezről történő indításkor a POST eljárás arról olvas be rendszerindítási bejegyzés(Boot Record, BR) a RAM-ba. Ez a bejegyzés mindig a hajlékonylemez legelső szektorában található, és egy kis program. A programon kívül a BR tartalmaz egy adatstruktúrát, amely meghatározza a hajlékonylemez formátumát és néhány egyéb jellemzőt. A POST eljárás ezután átadja a vezérlést a BR-nek. Miután megkapta az irányítást, a BR közvetlenül folytatja az operációs rendszer betöltését.

Indításkor innen merevlemez A POST eljárás beolvassa a Master Boot Record-ot (MBR), és beírja a számítógép RAM-jába. Ez a bejegyzés tartalmazza a rendszerindító programot és a partíciós táblát, amely leírja a merevlemez összes partícióját. A merevlemez legelső szektorában van tárolva.

Az MBR beolvasása után a vezérlés átkerül a rendszerindító programhoz, amely éppen olvasott a lemezről. Elemzi a partíciós tábla tartalmát, kiválasztja az aktív partíciót és beolvassa a BR rendszerindító rekordot aktív partíció. Ez a bejegyzés hasonló a rendszer hajlékonylemezének BR bejegyzéséhez, és ugyanazokat a funkciókat látja el.

Most beszéljünk arról, hogyan „működik” a rendszerindító vírus.

Ha a számítógép hajlékonylemeze vagy merevlemeze megfertőződik, a rendszerindító vírus lecseréli a BR rendszerindító rekordot vagy az MBR fő rendszerindító rekordot (2. ábra). Az eredeti BR vagy MBR rekordok általában nem vesznek el ebben az esetben (bár ez nem mindig történik meg). A vírus átmásolja őket a lemez egyik szabad szektorába.

Rizs. 2. Vírus a rendszerindító rekordban

Így a vírus a POST eljárás befejezése után azonnal átveszi az irányítást. Ezután általában a szabványos algoritmus szerint jár el. A vírus a végsőkig másolja magát véletlen hozzáférésű memória, miközben csökkenti a rendelkezésre álló mennyiséget. Ezt követően számos BIOS-funkciót elfog, így az ezekhez való hozzáférés átadja az irányítást a vírusnak. A fertőzési eljárás végén a vírus betölti a valódi rendszerindító szektort a számítógép RAM-jába, és átadja az irányítást. Ezután a számítógép a szokásos módon elindul, de a vírus már a memóriában van, és képes az összes program és illesztőprogram működését irányítani.

Kombinált vírusok

Nagyon gyakran vannak olyan kombinált vírusok, amelyek egyesítik a fájl- és rendszerindító vírusok tulajdonságait.

Ilyen például a korábban széles körben elterjedt OneHalf file-boot vírus. Az MS-DOS rendszert futtató számítógépbe behatolva ez a vírus megfertőzi a fő rendszerindító rekordot. Ahogy a számítógép elindul, a vírus fokozatosan titkosítja a merevlemez szektorait, kezdve a legújabb szektorokkal. Amikor a vírus rezidens modulja a memóriában van, figyeli a titkosított szektorokhoz való hozzáférést, és visszafejti azokat, így az összes számítógépes szoftver megfelelően működik. Ha a OneHalf-ot egyszerűen eltávolítják a RAM-ból és a rendszerindító szektorból, lehetetlenné válik a lemez titkosított szektoraiban írt információk helyes beolvasása.

Amikor a vírus a merevlemez felét titkosítja, a következő üzenetet jeleníti meg a képernyőn:

Dis az egyik fele. Nyomjon meg egy gombot a folytatáshoz...

Ezt követően a vírus megvárja, amíg a felhasználó megnyom egy gombot, és folytatja a munkát

A OneHalf vírus különféle mechanizmusokat használ önmaga álcázására. Ez egy lopakodó vírus, és polimorf algoritmusokat használ a terjedéshez. A OneHalf vírus észlelése és eltávolítása meglehetősen összetett feladat, és nem minden vírusirtó képes rá.

Műholdas vírusok

Mint ismeretes, az MS-DOS és a Microsoft operációs rendszerekben Windows különféle verziókban háromféle fájl létezik, amelyeket a felhasználó elindíthat végrehajtásra. Ez parancs vagy köteg BAT fájlok, valamint a COM és EXE végrehajtható fájlokat. Ebben az esetben egyszerre több, azonos nevű, de eltérő névkiterjesztésű futtatható fájl is elhelyezhető ugyanabban a könyvtárban.

Amikor a felhasználó futtat egy programot, majd beírja a nevét az operációs rendszer parancssorába, általában nem adja meg a fájl kiterjesztését. Milyen fájl fut le, ha a könyvtárban több, azonos nevű, de eltérő névkiterjesztésű program található?

Kiderült, hogy ebben az esetben a COM fájl futni fog. Ha az aktuális könyvtárban vagy a pontban megadott könyvtárakban környezeti változó PATH, csak EXE és BAT fájlok léteznek, akkor ez végrehajtásra kerül EXE fájl.

Amikor egy műholdas vírus megfertőz egy EXE vagy BAT fájlt, egy másik fájlt hoz létre ugyanabban a könyvtárban, ugyanazzal a névvel, de COM névkiterjesztéssel. A vírus ebbe a COM-fájlba írja magát. Így a program indulásakor elsőként a szatellitvírus veszi át az irányítást, amely aztán elindíthatja ezt a programot, de saját irányítása alatt.

Vírusok kötegelt fájlokban

Számos vírus képes megfertőzni a BAT kötegelt fájlokat. Ehhez egy nagyon kifinomult módszert alkalmaznak. Megvizsgáljuk a BAT.Batman vírus példáján keresztül. Amikor fertőzött batch file az elejére a következő szöveg kerül beillesztésre:

@ECHO OFF REM [...] másolat %0 b.com>nul b.com del b.com rem [...]

Szögletes zárójelben [...] itt egy sematikus diagram a bájtok helyéről, amelyek processzor utasítások vagy vírusadatok. Az @ECHO OFF parancs letiltja a végrehajtott parancsok nevének megjelenítését. A REM paranccsal kezdődő sor megjegyzés, és semmilyen módon nem értelmezhető.

A copy %0 b.com>nul parancs a fertőzött kötegfájlt a B.COM fájlba másolja. Ez a fájl ezután lefut, és a del b.com paranccsal törlődik a lemezről.

A legérdekesebb az, hogy a vírus által létrehozott B.COM fájl egyetlen bájt erejéig egyezik a fertőzött kötegfájllal. Kiderült, hogy ha egy fertőzött BAT-fájl első két sorát programként értelmezi, akkor az olyan CPU-parancsokból áll, amelyek valójában nem csinálnak semmit. A CPU végrehajtja ezeket a parancsokat, majd megkezdi a REM megjegyzés után írt tényleges víruskód végrehajtását. Miután megszerezte az irányítást, a vírus elfogja az operációs rendszer megszakításait és aktívvá válik.

A terjedési folyamat során a vírus figyeli az adatok fájlba írását. Ha a fájlba írt első sor tartalmazza a @echo parancsot, akkor a vírus azt hiszi, hogy ír batch fileés megfertőzi őt.

Titkosító és polimorf vírusok

Az észlelés megnehezítése érdekében egyes vírusok titkosítják a kódjukat. Minden alkalommal, amikor egy vírus megfertőz egy új programot, egy új kulccsal titkosítja a saját kódját. Ennek eredményeként egy ilyen vírus két példánya jelentősen eltérhet egymástól, sőt eltérő hosszúságúak is lehetnek. A víruskód titkosítása nagymértékben megnehezíti a kutatás folyamatát. Rendszeres programok nem lesz képes szétszedni egy ilyen vírust.

Természetesen a vírus csak akkor tud működni, ha a végrehajtható kódot visszafejtjük. Amikor egy fertőzött program fut (vagy egy fertőzött BR rendszerindító rekordról indul), és a vírus átveszi az irányítást, vissza kell fejteni a kódját.

A vírusok felismerésének megnehezítése érdekében nem csak titkosítást alkalmaznak különböző kulcsok, hanem különböző titkosítási eljárások is. Az ilyen vírusok két példányának nincs egyetlen egyező kódszekvenciája. Az ilyen vírusokat, amelyek teljesen megváltoztathatják kódjukat, polimorf vírusoknak nevezzük.

Lopakodó vírusok

A lopakodó vírusok megpróbálják elrejteni jelenlétüket a számítógépen. Van egy rezidens moduljuk, amely állandóan a számítógép RAM-jában található. Ez a modul fertőzött program indításakor vagy rendszerindító vírussal fertőzött lemezről történő rendszerindításkor kerül telepítésre.

A vírus rezidens modulja elfogja a számítógép lemezalrendszerének hívását. Ha az operációs rendszer vagy más program beolvas egy fertőzött programfájlt, a vírus egy valódi, nem fertőzött programfájlt helyettesít. Ennek érdekében a rezidens vírusmodul ideiglenesen eltávolíthatja a vírust a fertőzött fájlból. A fájllal való munka befejezése után az újra megfertőződik.

A boot lopakodó vírusok ugyanúgy működnek. Amikor bármely program adatokat olvas be a rendszerindító szektorból, a fertőzött szektort a valódi rendszerindító szektor váltja fel.

A lopakodó vírusok álcázása csak akkor működik, ha a számítógép RAM-jában van egy állandó vírusmodul. Ha a számítógép „tiszta”, nem fertőzött rendszer hajlékonylemezről indul, a vírusnak esélye sincs átvenni az irányítást, ezért a lopakodó mechanizmus nem működik.

Makróvírusok

Eddig olyan vírusokról beszéltünk, amelyek futtatható programfájlokban élnek és rendszerindító szektorok lemezek. Az irodai szoftvercsomagok elterjedt használata Microsoft Officeúj típusú vírusok lavináját okozta, amelyek nem programokkal, hanem dokumentumfájlokkal terjedtek.

Első pillantásra ez lehetetlennek tűnhet – valójában hol rejtőzhetnek el a vírusok a Microsoft Word szöveges dokumentumokban vagy a Microsoft Excel táblázat celláiban?

Valójában azonban a Microsoft Office dokumentumfájlok tartalmazhatnak kis programokat ezeknek a dokumentumoknak a feldolgozására, amelyeket a Visual Basic for Applications programozási nyelven írtak. Ez nem csak a Word és Excel dokumentumokra vonatkozik, hanem az Access adatbázisokra és a Power Point prezentációs fájlokra is. Az ilyen programok makróparancsokkal készülnek, ezért az irodai dokumentumokban élő vírusokat makróparancsoknak nevezzük.

Hogyan terjednek a makrovírusok?

Dokumentumfájlokkal együtt. A felhasználók hajlékonylemezeken, a vállalati intranetes fájlszerverek hálózati könyvtárain, e-mailen és más csatornákon keresztül cserélnek fájlokat. Ahhoz, hogy számítógépét megfertőzze egy makróvírussal, csak meg kell nyitnia egy dokumentumfájlt a megfelelő irodai alkalmazásban – és már kész is a munka!

Manapság nagyon elterjedtek a makróvírusok, ami nagyrészt a Microsoft Office népszerűségének köszönhető. Nem kevesebb kárt okozhatnak, sőt bizonyos esetekben még többet is, mint a „szokásos” vírusok, amelyek megfertőzik a futtatható fájlokat, valamint a lemezek és hajlékonylemezek rendszerindító szektorait. A makróvírusok legnagyobb veszélye szerintünk az, hogy képesek megváltoztatni a fertőzött dokumentumokat, miközben hosszú ideig észrevétlenül maradnak.

Gyerekkorunk óta halljuk, hogy a jók hírszerzők, a mi embereinkért dolgoznak. A rosszak pedig kémek, ezek idegenek – azok a srácok fekete szemüvegben, gombos macintoshában és egy köteg dollárral a zsebükben. Elérkezett a huszonegyedik század, és mára az egyáltalán nem gumírozott esőkabátokat macintoshnak hívják, bár kémek még mindig megjelennek bennük... Találkozzunk ma az arénában: kémprogramok a „jótól” és a „gonosztól” (bárhogy is nézel) rajta, mi?) oldalain az erő.

Scouts: rosszindulatú programok kormányzati igényekre

2012 nyarán dolgozók vírusirtó laboratórium A Kaspersky felfedezte a Morcut nevű kártevőt. Egy csoport független marokkói újságírón használták, akik az arab tavasz idején tudósítottak a számítógépeikről, szándékosan megfertőzték egy e-mail szolgáltatáson keresztül.

Más vírusirtó cégek osztályozásában a kártevő Crisis (Symantec) és DaVinci (Dr.Web) néven szerepel. A Dr.Web által végzett vizsgálat során megállapították, hogy a Morcut a rendszer egyik összetevője távirányító DaVinci, amelyet a Hacking Team fejlesztett és értékesít.

DaVinci

A DaVinci rendszert a fejlesztő SORM-ként (rendszer technikai eszközökkel operatív nyomozati tevékenység funkcióinak biztosítására) kormányzati szervek és rendészeti szervek általi használatra. A Hacking Team mellett számos más cég is fejleszt hasonló SORM-eket. Általános szabály, hogy ez egy programkészlet, amely egy vezérlőkiszolgálóból és egy kliens ügynökből áll. Az ügynök a felhasználó által észrevétlenül települ a számítógépre, és a következő funkciókkal rendelkezik:

  • meghatározott feltételeknek megfelelő fájlok keresése és listája létrehozása;
  • tetszőleges fájlok küldése, beleértve elektronikus dokumentumokat, távoli szerverre;
  • jelszavak lehallgatása e-mailekből és közösségi hálózati szolgáltatásokból;
  • adatgyűjtés a meglátogatott internetes forrásokról;
  • adatfolyam lehallgatása elektronikus hangkommunikációs rendszerekről (Skype);
  • adatok lehallgatása azonnali üzenetküldő rendszerekből (ICQ);
  • -vel való kapcsolattartással kapcsolatos információk gyűjtése mobiltelefonok, számítógéphez csatlakoztatva;
  • hang- és képinformációk rögzítése (ha van csatlakoztatva webkamera és mikrofon).

A Wall Street Journal szerint számos európai vállalat szállított nyílt forráskódú szoftveren alapuló SORM-ot ilyen funkcionalitással a közel-keleti országokba, amelyek kormányai a lakosság ellenzéki rétegei elleni küzdelemre használták fel ezeket.


A Privacy International (UK) civil szervezet, amely az emberi jogok megsértésének tényeinek feltárásával foglalkozik, folyamatosan figyelemmel kíséri a nemzetközi SORM piacot, és listát vezet azokról a cégekről, amelyek ezen a területen megoldásokat fejlesztenek. A lista az ISS World (Intelligence Support Systems - információgyűjtést támogató rendszerek) szakkonferencián részt vevő cégek elemzése alapján készült. Ezen az évente többször megrendezett rendezvényen a potenciális vásárlók és a SORM fejlesztők találkoznak. Íme néhány olyan vállalat, amely a SORM leple alatt rosszindulatú programokat fejleszt.

FinFisher (finfisher.com), a Gamma International (Egyesült Királyság) részlege

Egyes hírek szerint Hoszni Mubarak 2011-es események utáni lemondása után Egyiptomban olyan dokumentumokat találtak (lásd 3., 4. ábra), amelyek arra utalnak, hogy a FinFisher cég megfigyelési szolgáltatásokat nyújtott egyiptomi állampolgárok számára a FinSpy komplexum segítségével. A cég makacsul tagadja, hogy 287 ezer euróért öt hónapos licencet vásárolt volna az egyiptomi Mubarak-rezsimnek. A FinSpy képes elfogni telefonhívások Skype, jelszavak lopása, hang- és videoinformációk rögzítése. A FinSpy a következőképpen települ a felhasználók számítógépére: e-mailben üzenetet küldenek egy rosszindulatú webhelyre mutató hivatkozással. Amikor a felhasználó megnyitja a hivatkozást, a rendszer felkéri a szoftver frissítésére. Valójában frissítés helyett rosszindulatú programok kerülnek telepítésre. A FinSpy e-mailben történő terjesztési módszerét 2012 nyarán a bahreini demokráciapárti aktivisták ellen figyelték fel.



Hacking Team (hackingteam.it), Olaszország

A DaVinci távirányító rendszer fejlesztője, amely nyomkövető eszközként van elhelyezve, amelyet különböző országok kormányai és bűnüldöző szervei használhatnak. A DaVinci funkcionalitása hasonló a FinSpy-hez - elfogja a Skype-ot, e-maileket, jelszavak, azonnali üzenetküldési (ICQ) adatok, valamint hang- és képinformációk rögzítése. A DaVinci kliens rész képes úgy működni, mint egy operációs rendszer környezetben Windows család(XP, Vista, Seven verziók), valamint a Mac OS család operációs rendszereinek környezetében (Snow Leopard, Lion verziók). A DaVinci rendszer ára állítólag körülbelül 200 ezer euró, és benne van a termék folyamatos frissítési és támogatási kötelezettsége a támadás végső céljának (a szükséges információk megszerzésének) eléréséig.

Area SpA (area.it), Olaszország

2011 novemberében vált ismertté, hogy ennek a cégnek az alkalmazottai megfigyelőrendszert telepítettek a szíriai kormány számára, amely képes elfogni, átvizsgálni és tárolni az országban található szinte minden e-mail üzenetet. Egy hónappal ennek a ténynek a nyilvánosságra hozatala után az EU megtiltotta a műszaki megfigyelőberendezések Szíriába irányuló exportját és karbantartását. A rendszert a szíriai STE (Syrian Telecommunications Establishment) távközlési vállalattal kötött megállapodás alapján telepítették, amely a fő szolgáltató. vezetékes kapcsolat Szíriában. A telepítéshez olyan módszert alkalmaztak, amely akkor volt hatékony, ha volt hozzáférés a távközlési hálózatokhoz (állami hírszerző szolgálatok ill. rendvédelmi szervek rendelkezik ilyen hozzáféréssel), - információk helyettesítése. Például, amikor a google.com webhelyen keresett információkat, a felhasználó rosszindulatú webhelyre vezető linkeket kapott, és a webhely tartalmának megfelelő megjelenítéséhez szükséges böngészőösszetevők telepítésének leple alatt megfertőződött.

Amesys (amesys.fr), a Bull SA részlege, Franciaország

A Wall Street Journal újságírói a Kadhafi hívei által elhagyott egyik internetes megfigyelőközpontban Tripoliban (Líbia) felfedezték az Amesys nyomkövető rendszer használatát. Vallomásuk szerint a líbiai hatóságok képesek voltak e-maileket olvasni, jelszavakat szerezni, azonnali üzeneteket olvasni és feltérképezni az emberek közötti kapcsolatokat. A WikiLeaks-re felkerült dokumentumokból kiderült, hogy az Amesys által bevezetett rendszer lehetővé tette a másként gondolkodók és ellenzékiek megfigyelését akár külföldön is, például az Egyesült Királyságban.

Kémek

A 2013-ban kibertámadásokhoz használt trójaiak többnyire nem voltak szokatlanok. Ha 2012 a Kaspersky Lab PR éve volt a csúcstechnológiás kiberfegyverek témájában, akkor 2013-ban egy új trend jelent meg: a széles körben elterjedt rosszindulatú programok célzott támadásokban való felhasználása, szemben azokkal, amelyeket egy szakértő csapat egyértelműen konkrét célokra írt. célokra. Az egyéni jelek pedig egyre gyakrabban utalnak olyan lehetséges támadásszervezőkre, mint Kína és Észak-Korea. Így beszélhetünk az úgynevezett „nyugati” és „ázsiai iskolákról” a trójaiak írásáról, amelyek APT-osztályú támadásokat hajtottak végre. Mi jellemző a „nyugati iskolára”?

  1. Jelentős anyagi forrásokat fektetnek be.
  2. A rosszindulatú kód alá van írva digitális aláírás legális cégeknél a tanúsítványokat általában a feltört szerverekről lopják el, amihez bizonyos előkészítő munkára, emberi erőforrásokra és végső soron 1-es pontra van szükség. Az aláírás lehetővé teszi a meghajtók egyszerű telepítését a kernel módba váltáshoz, ami lehetővé teszi a rootkit megvalósítását funkciókat, valamint bizonyos esetekben megkerüli a vírusvédelmet.
  3. A nulladik napi sebezhetőséget széles körben használják a rendszerben való titokban történő elindításra és a jogosultságok növelésére.

2010 óta a következő rosszindulatú programokat fedezték fel „cyberweapon” fülbemászó címkével (lásd 2. ábra), ebben a cikkben nem írjuk le teljes körűen ezek kihasználását - ezt már megtettük korábban -, hanem a legérdekesebbeket. jellemzők.

Stuxnet

Az általános háttérből annyiban tűnik ki, hogy ez idáig az egyetlen olyan malware képviselője, amely képes fizikailag károsítani egyes vállalati objektumokat. Tehát valójában csak ez sorolható a kiberfegyverek közé. Ami még érdekes volt benne - négy nulladik napi sebezhetőség, amelyek nem a triviális autorun.inf fájlon, hanem az MS10-046 címkefeldolgozási sérülékenységen keresztül terjedtek az USB-re. Amikor egy flash meghajtóról egy rosszindulatú parancsikon keresztül automatikusan elindult, a rootkit összetevő aktiválódott, majd a rosszindulatú Stuxnet összetevők USB flash, láthatatlanná vált. Volt egy féreg funkciója, mint például a Conficker (MS08-067), valamint egy módszer, amely a hálózaton keresztül terjedt a nyomtatási alrendszer sérülékenysége révén (MS10-061). A sofőröket ellopott igazolványokkal írták alá.

Duqu

Szállítási konténerként használták Word dokumentum(az MS11-087 betűtípus-feldolgozás sebezhetőségén keresztül, nulladik nap), közvetlenül e-mailben küldve. A meghajtóprogramokat a Stuxnethez hasonlóan aláírták, ezért egyes víruskereső elemzők még mindig próbálják igazolni a Stuxnet és a Duqu közötti kapcsolatot.

Láng

Érdekesség, hogy a komponensek aláírása a Microsofté, egy MD5 ütközés kiválasztásával jött létre. A forráskód irreálisan nagy, körülbelül 20 MB, és nagy mennyiségű harmadik féltől származó kódot használ. Van egy modul, amely Bluetooth segítségével lehallgatja az információkat mobil eszközök.

Gauss

Moduláris felépítésű, a modulokat olyan híres matematikusok belső neveivel látták el, mint Gödel, Gauss, Lagrange. Felhasználások cserélhető adathordozó az összegyűjtött információk tárolására rejtett fájl(ez lehetővé teszi, hogy az információ átszivárogjon a védő kerületen, ahol nincs internet, egy flash meghajtón). Több libanoni bank – Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank és Credit Libanais – által küldött adatok ellopására és figyelésére tervezett beépülő modulokat tartalmaz.

MiniFlame

A Flame-hez kapcsolódó projekt. Az elemzés során parancsszerverek Flame megállapították, hogy négy különböző típusok SP, SPE, FL és IP kódnevű ügyfelek („rosszindulatú programok”). A MiniFlame az SPE, Flame, illetve - FL elnevezéseknek felel meg. Az SP és IP nevű rosszindulatú programokat soha nem észlelték a vadonban.

Szputnyik

Képes adatokat lopni mobil eszközökről, információkat gyűjteni azokról hálózati berendezések(Cisco) és az USB-meghajtókról származó fájlok (beleértve a korábbiakat is törölt fájlok, amelyhez saját fájl-helyreállítási technológiát használ), levéladatbázisokat lop el a helyi Outlook tárolóról vagy egy távoli POP/IMAP szerverről, valamint fájlokat kér le a hálózat helyi FTP szervereiről.

MiniDuke

Az assemblerben van írva, ami a mi korunkban már meglepetést okoz (nyilván a régi iskolából toboroztak valakit). A C&C szervercímek a Twitterről származnak. Ha a Twitter nem működött, a Google Keresőt használták az új vezérlőszerverekre mutató titkosított hivatkozások megtalálására.

Kínai kibercsoportok igyekeznek lépést tartani a fejlődéssel, és például egy olyan trójai, mint a Winnti, amelyet az online számítógépes játékokkal foglalkozó cégek támadására használnak, aláírt illesztőprogramokat tartalmaznak.

Ázsiai iskolakémek

  • 2012. július - Madi;
  • 2012. augusztus – Shamoon;
  • 2012. november – Narilam.

Mindegyik Delphiben van írva (lameware:)), technológiailag nem különösebben fejlett a kód, nulladik napról és aláírásokról nincs mit mondani. Nyilvánvalóan alkalmazzák a nyilvános technológiákat és módszereket. De ennek ellenére - működnek! A destruktív funkciójú trójaiak egyébként az APT-támadások nyomán ismét divatba jönnek a Shamoon és a Narilam is. Arra használták őket, hogy megbénítsák az egyes szervezetek munkáját a számítógépeken lévő információk megsemmisítésével.

Terminológiai problémák

A régi kifejezések, mint a „vírus”, „féreg” és „trójai” már nem felelnek meg teljesen a valóságnak. Különösen sajnálatos, hogy az online kiadványok újságírói nincsenek tisztában azzal, hogy miben különbözik a vírus a trójaitól, és a témához a legcsekélyebb mértékben is értő embert olyan kifejezések ütik meg, mint a „stuxnet virus”, „kido virus” vagy „carberp”. vírus". Emlékezzünk még egyszer az alapfogalmakra:

  • vírus - önterjesztő funkcióval rendelkezik, megfertőzi a végrehajtható fájlokat;
  • trójai – nem rendelkezik önszaporító funkcióval;
  • féreg - önszaporító funkcióval rendelkezik, a klasszikus értelemben - a hálózaton keresztül elérhető operációs rendszer-szolgáltatások sebezhetőségeinek felhasználásával (Morris féreg), kicsit később - szappannal és flash meghajtókkal;
  • rootkit – funkciókat használ a rendszerben való jelenlétének jeleinek elrejtésére.

A gyakorlatban sok rosszindulatú programminta egyesíti ezeket a jellemzőket. Manapság a rosszindulatú programokat más szempontok szerint is besorolhatjuk. Próbáljuk meg kitalálni. Először is, korunk bármely rosszindulatú programja elsősorban kereskedelmi projekt. Az egyetlen különbség a kezdeti pénzügyekben és a végső célokban van. Nagyjából a következő csoportokat lehet megkülönböztetni:

  • A lameware egy újkeletű kifejezés, amely rosszindulatú programot jelent, amelyet kezdők vagy amatőrök írtak ebben a kérdésben (a mindennapi életben - lamerek). A Delphit gyakran használják. A fejlesztés általában nem igényel pénzügyi befektetést, bár a bevétel viszonylag kicsi. A fő tényező, ami arra készteti az embert, hogy béna szöveget írjon, az az érzések szórakoztatása;
  • kiváló minőségű kereskedelmi rosszindulatú programok - „globális” hírnévvel rendelkező, több generációs és több éves múltra visszatekintő malware;
  • Az APT egy spyware, amelynek terjesztését és funkcionalitását a konkrét célpontokra – cégekre, szervezetekre – való célzott összpontosítás jellemzi.

Következtetés

Az internetezés, a számítógépesítés és más globalizáció megkönnyítette az emberek életét. És neked és nekem, és azoknak, akiknek korábban ejtőernyővel kellett ugrani, szögesdrótot rágni, lehallgatni, kémkedni, aláásni és megvesztegetni. Ezeknek az erős srácoknak a munkájának nagy részét most tehetséges programozók végzik dollármilliókért, ami a költségvetésükhöz mérten nevetséges. Igen, egyébként azoknak a bűnözőknek is könnyebbé vált az élete, akiknek korábban Colttal kellett a postakocsik után futniuk. Légy óvatos és óvatos!

Valójában vírusok kezelésére, ez nem túl bonyolult művelet sok pénzt fizetni a szakembereknek ezért a munkáért. Megvédheti számítógépét a vírusoktól, vagy fertőzés esetén visszaállíthatja a számítógépet „egészséges” állapotba, ha saját maga távolítja el a rosszindulatú programokat egy jó vírusirtó program kiválasztásával és bizonyos szabályok betartásával. Vegyünk legalább kettőt a legfontosabbak közül: Először is rendszeresen frissítse a víruskereső adatbázist. A második az, hogy havonta egyszer teljesen átvizsgálja számítógépét vírusok után.

Tehát ezt szem előtt tartva egyértelműnek gondolom, hogy a rosszindulatú programok eltávolítása vírusirtókkal történik. Lehetnek fizetősek vagy ingyenesek. Az ingyenes módszerekről a következő cikkben beszéltem:

Most beszéljünk arról, hogy mi a rosszindulatú program vagy más szóval vírus?

Számítógépes vírus vagy rosszindulatú program egy olyan program, amelynek fő célja a számítógép károsodása, a felhasználói adatok megrongálása, a személyes adatok ellopása vagy törlése, a számítógép teljesítményének csökkentése és még sok más.

Randizni rosszindulatú számítógépre gyakorolt ​​hatásuk alapján több típusba sorolható.

  • Klasszikus vírusok.
  • trójai programok.
  • Kémek.
  • Rootkitek.
  • Adware.

Nézzük meg közelebbről az egyes rosszindulatú programokat.

Klasszikus vírusok olyan rosszindulatú programok, amelyek megfertőzhetik a számítógépet, például az interneten keresztül. Az ilyen vírusok lényege pedig az önszaporodás. Az ilyen vírusok másolják magukat, másolják a fertőzött számítógépen található fájlokat és mappákat. Ezt azért teszik, hogy megfertőzzék az adatokat, hogy a jövőben ne lehessen visszaállítani. Ez a vírus megpróbálja megsérteni a számítógépen található összes adatot azáltal, hogy kódját minden fájlba beilleszti, a rendszerfájloktól a felhasználó személyes adataiig. Leggyakrabban az üdvösség egy ilyen fertőzött számítógépen .

trójai faló- Ez egy komoly típusú vírus. A trójai programokat a támadók meghatározott célból írják, például számítógépekről információkat lopnak el, vagy jelszavakat „lopnak” stb.

A trójai két részre oszlik. Az első részt, a szervert a támadó tárolja, a másodikat, a kliens részt pedig az internet minden lehetséges szegletére és más helyekre terjeszti. Ha a rosszindulatú program kliens része egy számítógépre kerül, akkor ez a számítógép megfertőződik, és a trójai különféle információkat kezd el küldeni a támadónak a szerverén.

A trójai a szerver (a támadó) kérésére különféle műveleteket is végrehajthat a számítógépen, jelszavakat lophat, valamint dokumentumokat és fájlokat fertőzhet meg rosszindulatú kóddal.

Kémek, némileg hasonlítanak a trójai falókra. A fő különbség azonban az, hogy a kémek nem károsítják a rendszert és a felhasználói fájlokat. Spyware ülj nyugodtan a számítógéphez és kémkedj. Jelszavakat lophatnak, vagy akár mindent el is menthetnek, amit a billentyűzetén gépel.

A kémprogramok a vírusok legintelligensebb típusa, és akár fájlokat is küldhetnek a fertőzött számítógépről. A kém sok információt tud a fertőzött PC-ről: milyen rendszer van telepítve, milyen vírusirtót használ, milyen böngészőt használ az interneten, milyen programok vannak telepítve a számítógépre stb. A spyware az egyik legveszélyesebb rosszindulatú program.

Rootkitek Ezek önmagukban nem vírusok. A rootkitek azonban olyan programok, amelyek célja más vírusok elrejtése a számítógépen. Például a számítógépet egy rootkittel egy időben fertőzte meg egy spyware vírus. A rootkit pedig megpróbálja elrejteni a kémet a vírusirtó és az operációs rendszer elől. Ennek megfelelően a rootkitek jelenléte a számítógépen nem kevésbé veszélyes, mivel ezek elég jól működnek, és hosszú ideig elrejthetnek egy csomó vírust (kémprogramok, trójaiak) vírusirtónk szeme elől!

Adware egy másik típusú rosszindulatú szoftver. Ez kevesebb veszélyes program, ennek pedig az a lényege, hogy különböző helyeken mindenféle módon futtass reklámokat a számítógépeden. Az adware nem okoz kárt, nem fertőz meg és nem rontja meg a fájlokat. De meg kell védenie magát az ilyen típusú vírusoktól.

Ezek a típusok rosszindulatú létezik. Ahhoz, hogy megvédjük számítógépét a vírusoktól, szükségünk van rá jó vírusirtó. Erről egy másik cikkben beszéltem, és most folytassuk a vírusok és a számítógép védelmi rendszereinek leírását.

Korábban a vírusoknak nem volt konkrét célja, szórakozásból írták őket, és a fejlesztő nem tűzött ki konkrét célt. Ma a vírusok összetett algoritmusok, amelyek lényege legtöbbször a pénz és az adatok ellopása. A trójai programokat legtöbbször csak jelszavak és egyéb fontos adatok ellopására tervezték.

Egyébként bizonyos jelek alapján megállapítható, hogy számítógépét megtámadták-e vírusok:

  • A programok nem működnek megfelelően, vagy teljesen leállnak.
  • A számítógép lassulni kezdett, és lassan működött.
  • Egyes fájlok megsérülnek, és nem hajlandók megnyitni.

Nagyon gyakran előfordulhatnak ilyen jelek számítógépes vírusfertőzés jele, de szerencsére nem mindig.

Meg kell jegyezni, hogy leggyakrabban egy adott vírus fertőzhet meg Különféle típusok fájlokat. Ezért még azután is, hogy a számítógépet kigyógyították egy erős vírustámadásból, a leghelyesebb a partíciók formázása.

Ahogy fentebb mondtam, ezek segítenek megvédeni magát a vírusoktól víruskereső programok. Manapság a víruskereső programok olyan funkciókkal rendelkeznek, amelyek elegendőek az interneten terjesztett szinte összes rosszindulatú program visszaszorításához. De maximum vírus védekezés Fontos szerepet játszik a megfelelően kiválasztott és konfigurált víruskereső program a teljes „harci” funkcionalitás érdekében. Azt javaslom, hogy olvassa el a cikket erről. De ha nincs ideje, akkor itt elmondom a legjobb víruskereső programokat. Ma ez:

  • Kaspersky
  • Avast
  • Dr.Web
  • NOD32

Szerintem bőven van miből válogatni.

Sok sikert és sok sikert a vírusvédelemhez.

Rosszindulatú programok, trójai programok és fenyegetések

A legtöbb számítógép hálózatra csatlakozik (internet, helyi hálózat), ami leegyszerűsíti a rosszindulatú programok terjedését (az orosz szabványok szerint az ilyen programokat „pusztítónak” nevezik). szoftver", hanem azért, mert ezt a koncepciót nem használják széles körben, ebben az áttekintésben a „rosszindulatú program” fogalmát használjuk; tovább angol nyelv ezeket Malware-nek hívják). Az ilyen programok közé tartoznak a trójai programok (más néven trójai falók), vírusok, férgek, kémprogramok, reklámprogramok, rootkitek és számos más típus.

További előnye, hogy az MBAM ritkán okoz konfliktust más rosszindulatú programok elleni segédprogramokkal.

Ingyenes trójai szkenner SUPERAntiSpyware

. A kémprogramokon kívül ez a program más típusú fenyegetéseket is megvizsgál és eltávolít, például tárcsázókat, billentyűnaplókat, férgeket, rootkiteket stb.

A program háromféle vizsgálattal rendelkezik: gyors, teljes vagy egyedi rendszervizsgálat. A vizsgálat előtt a program felkéri, hogy ellenőrizze a frissítéseket, hogy azonnal megvédje a legújabb fenyegetésekkel szemben. A SAS-nek saját feketelistája van. Ez egy 100 példát tartalmazó lista különböző DLL és EXE fájlokról, amelyeknek nem szabad a számítógépén lenniük. Ha rákattint a lista bármelyik elemére, megkapja Teljes leírás fenyegetések.

Az egyik fontos jellemzőit programok - ez a Hi-Jack védelem jelenléte, amely nem teszi lehetővé más alkalmazások számára a program leállítását (kivéve a Feladatkezelőt).

Sajnos ennek a programnak az ingyenes verziója nem támogatja a valós idejű védelmet, az ütemezett vizsgálatokat és számos egyéb funkciót.

További programok

Egyéb ingyenes trójai szkennerek, amelyek nem szerepelnek a felülvizsgálatban:

  • Rising PC Doctor (már nem elérhető, még mindig találhat régebbi verziókat az interneten) - Trójai és kémprogram-kereső. Lehetőséget kínál automatikus védelem számos trójaitól. Ezenkívül a következő eszközöket kínálja: indításkezelés, folyamatkezelő, szolgáltatásmenedzser, Fájl iratmegsemmisítő(a fájlok törlésére szolgáló program a visszaállítás lehetősége nélkül) és mások.
  • FreeFixer - átvizsgálja a rendszert, és segít eltávolítani a trójaiakat és más rosszindulatú programokat. De a felhasználónak helyesen kell értelmeznie a program eredményeit. Különös óvatossággal kell eljárni, amikor a fontos rendszerfájlok törlése mellett dönt, mivel ez károsíthatja a rendszert. Vannak azonban fórumok, ahol konzultálhat, ha kétségei vannak a döntéssel kapcsolatban (a fórumok linkjei a honlapon találhatók).
  • Ashampoo Anti-Malware (Sajnos próbaverzió lett. Talán a korábbi verziók még megtalálhatók az interneten) - kezdetben ez a termék csak kereskedelmi forgalomban volt. Az ingyenes verzió valós idejű védelmet biztosít, és különféle optimalizálási eszközöket is kínál.

Gyors kiválasztási útmutató (linkek a trójai szkennerek letöltéséhez)

Emsisoft Anti-Malware

Ellenőrzi és eltávolítja a trójaiakat, férgeket, vírusokat, kémprogramokat, nyomkövetőket, tárcsázókat stb. Könnyen kezelhető.
BAN BEN ingyenes verzió nagyon limitált. Hiányzik: automatikus frissítések, valós idejű fájlvédelem, ütemezett vizsgálat stb.
Sajnos próba lett belőle. Talán a korábbi verziók még megtalálhatók az interneten
www.emsisoft(.)com

PC-eszközök ThreatFire

Proaktív védelem ismert és ismeretlen trójaiak, vírusok, férgek, kémprogramok, rootkitek és egyéb rosszindulatú programok ellen.
Automatikus frissítés nem biztosított, ha megtagadta a részvételt a ThreatFire közösségében, a 4.10-es verzió nem változott 2011 novembere óta.


Betöltés...
Top