spyware trojan. Spy Trojans dan Malware Pemerintah di Zaman Kita

SpyWare - spyware. spyware ( judul alternatif- Spy, SpyWare, Spy-Ware, Spy Trojan) umumnya disebut sebagai perangkat lunak yang mengumpulkan dan mengirimkan informasi tentang pengguna kepada seseorang tanpa persetujuannya. Informasi tentang pengguna dapat mencakup data pribadinya, data tentang akun uangnya, konfigurasi komputernya, dan sistem operasi, statistik pekerjaan di Internet dan banyak lagi.

Spyware digunakan untuk sejumlah tujuan, yang utama adalah riset pemasaran dan periklanan bertarget. Dalam hal ini, informasi tentang konfigurasi komputer pengguna, perangkat lunak yang digunakan olehnya, situs yang dikunjungi, statistik permintaan ke mesin pencari dan statistik kata yang dimasukkan dari keyboard memungkinkan Anda menentukan dengan sangat akurat jenis aktivitas dan rentang minat pengguna. Oleh karena itu, paling sering Anda dapat mengamati sekumpulan SpyWare - Adware, mis. "Spy" - "Modul tampilan iklan". Bagian mata-mata mengumpulkan informasi tentang pengguna dan mentransfernya ke server perusahaan periklanan. Di sana, informasi dianalisis dan sebagai tanggapan, informasi periklanan dikirim yang paling cocok untuk pengguna ini. Paling-paling, iklan ditampilkan di jendela pop-up terpisah; paling buruk, mereka disematkan di halaman yang dimuat dan dikirim melalui email. surel. Kerusakan yang disebabkan oleh pencurian informasi pribadi merupakan tindak pidana di sebagian besar negara maju.

Namun, informasi yang dikumpulkan dapat digunakan tidak hanya untuk tujuan periklanan - misalnya, memperoleh informasi tentang PC pengguna dapat sangat menyederhanakan serangan peretas dan meretas komputer pengguna. Dan jika program memperbarui dirinya sendiri secara berkala melalui Internet, maka ini membuat komputer sangat rentan - serangan dasar pada DNS dapat mengganti alamat sumber pembaruan dengan alamat server peretas - "pembaruan" seperti itu akan mengarah ke pengenalan orang luar di PC pengguna perangkat lunak.

Spyware dapat memasuki komputer pengguna dengan dua cara utama:

1. Saat mengunjungi situs Internet. Penetrasi spyware yang paling umum terjadi ketika pengguna mengunjungi situs hacker dan warez, situs dengan musik gratis dan situs porno. Biasanya, komponen ActiveX atau Trojan dari kategori TrojanDownloader menurut klasifikasi Kaspersky Lab http://www.kaspersky.ru/ digunakan untuk menginstal spyware. Banyak situs peretas mungkin mengeluarkan crack Program untuk memecahkan perangkat lunak berlisensi (crack) yang berisi spyware atau TrojanDownloader untuk mengunduhnya;

2. Akibat penginstalan program gratis atau shareware. Yang terburuk adalah ada banyak program seperti itu, mereka didistribusikan melalui Internet atau dalam CD bajakan.

Tidak ada kriteria pasti untuk menambahkan program ke kategori "SpyWare", dan sangat sering pembuat paket anti-virus memasukkan program dalam kategori "Adware" (aplikasi yang dirancang untuk mengunduh informasi iklan ke PC pengguna untuk demonstrasi selanjutnya ) dan "Pembajak" (utilitas yang mengubah pengaturan browser tanpa sepengetahuan pengguna) ke kategori "SpyWare" dan sebaliknya.

Untuk kepastian, sejumlah aturan dan ketentuan diusulkan di mana suatu program dapat diklasifikasikan sebagai SpyWare. Klasifikasi ini didasarkan pada program SpyWare yang paling umum:

1. Program diinstal secara diam-diam di komputer pengguna. Arti dari paragraf ini adalah bahwa penginstal program biasa harus memberi tahu pengguna tentang fakta penginstalan program (dengan kemungkinan menolak untuk menginstal), menawarkan untuk memilih direktori untuk penginstalan dan konfigurasi. Selain itu, setelah penginstalan, penginstal harus membuat item dalam daftar "Tambah/Hapus Program", yang pemanggilannya akan melakukan proses penginstalan dan membuat entri yang sesuai di file registri sistem operasi. Spyware biasanya dipasang dengan cara yang eksotis (sering kali menggunakan modul Trojan dari kategori Pengunduh Trojan) yang disembunyikan dari pengguna, sedangkan penghapusan instalasinya tidak mungkin dilakukan dalam banyak kasus. Cara kedua untuk menginstal SpyWare adalah instalasi tersembunyi yang dibundel dengan beberapa program populer;

2. Program dimuat secara diam-diam ke dalam memori selama proses booting komputer. Perlu dicatat bahwa pengembang SpyWare modern telah mulai menggunakan Rootkit B Sistem Windows rootkit biasanya dipahami sebagai program yang dimasukkan ke dalam sistem dan penyadapan fungsi sistem(API Windows). Intersepsi dan modifikasi fungsi API tingkat rendah, pertama-tama, memungkinkan program semacam itu menutupi keberadaannya di sistem dengan kualitas yang memadai. Selain itu, sebagai aturan, rootkit dapat menutupi keberadaan proses apa pun dalam sistem yang dijelaskan dalam konfigurasinya, direktori dan file pada disk, kunci dalam registri. teknologi untuk menutupi proses di memori dan file di disk. Selain itu, membuat proses yang "tidak bisa dihancurkan" menjadi populer - mis. memulai dua proses yang memulai kembali satu sama lain jika dihentikan. Teknologi tersebut digunakan khususnya di SpyWare.WinAd;

3. Program melakukan beberapa operasi tanpa menentukan pengguna - misalnya, menerima atau mengirimkan informasi apa pun dari Internet;

4. Program mengunduh dan menginstal pembaruan, add-on, add-on, atau perangkat lunak lain tanpa sepengetahuan dan persetujuan pengguna. Properti ini melekat pada banyak spyware dan sangat berbahaya, karena mengunduh dan menginstal pembaruan dan modul tambahan bersifat rahasia dan sering menyebabkan ketidakstabilan sistem. Selain itu, mekanisme pembaruan otomatis dapat digunakan oleh penyerang untuk menyuntikkan modul Trojan ke PC pengguna;

5. Program memodifikasi pengaturan sistem atau mengganggu fungsi program lain tanpa sepengetahuan pengguna. Misalnya, spyware dapat mengubah tingkat keamanan dalam pengaturan browser atau membuat perubahan pada pengaturan jaringan;

6. Program memodifikasi arus informasi atau informasi. Contoh tipikal adalah berbagai ekstensi untuk program Outlook Ekspres, yang, saat mengirim surat, menghubungkan informasi mereka dengannya. Contoh umum kedua adalah modifikasi halaman yang diunduh dari Internet (informasi iklan disertakan di halaman, beberapa kata atau frasa berubah menjadi hyperlink)

Dalam klasifikasi ini, kami harus mencatat fakta bahwa program dari kategori SpyWare tidak memungkinkan Anda untuk mengontrol komputer dari jarak jauh dan tidak mentransfer kata sandi dan informasi serupa ke pembuatnya - tindakan semacam itu khusus untuk kategori program lain - "Trojan " dan "Pintu Belakang". Namun, dalam banyak hal, program dalam kategori SpyWare terkait dengan Trojan.

Pengelompokan file dilakukan menurut klasifikasi "Kaspersky Lab" dan persentase komposisi spyware ditunjukkan pada gambar. 1.

Sebagai berikut dari diagram, 38% dari jumlah sampel adalah AdWare dan SpyWare (perlu dicatat bahwa SpyWare tidak termasuk dalam klasifikasi PA - perwakilan AdWare yang paling jahat termasuk dalam kategori ini). Sebagian besar sampel Pengunduh Trojan dalam koleksi ini adalah program untuk mengunduh dan menginstal malware secara diam-diam yang disajikan dalam koleksi. Trojan-Spy adalah spyware murni yang mengirimkan informasi penting tentang pengguna: kata sandi, angka kartu kredit, teks yang dimasukkan dari keyboard. Program-program berikut dipilih dalam kategori Trojan: Trojan-Dialer (program untuk modifikasi terselubung pengaturan untuk memanggil nomor telepon atau panggilan telepon berbayar), Trojan.StartPage (memodifikasi halaman awal dan opsi pencarian Internet Explorer, program ini juga dikenal sebagai Pembajak),

Komposisi persentase spyware dilakukan sesuai dengan klasifikasi "Kaspersky Lab"

Sebagai berikut dari diagram, AdWare dan SpyWare merupakan 38% dari jumlah sampel.Sebagian besar sampel Pengunduh Trojan dalam koleksi ini adalah program untuk mengunduh dan menginstal malware secara diam-diam yang disajikan dalam koleksi. Trojan-Spy adalah spyware murni yang mentransmisikan informasi penting tentang pengguna: kata sandi, nomor kartu kredit, teks yang dimasukkan dari keyboard. Jenis program berikut dipilih dalam kategori Trojan: Trojan-Dialer (program untuk secara diam-diam memodifikasi parameter panggilan nomor telepon atau panggilan telepon umum), Trojan.StartPage (memodifikasi halaman awal dan parameter pencarian internet Explorer, program ini juga dikenal sebagai Hijackers), Trojan.LowZones (yang mengubah pengaturan keamanan Internet Explorer). Ke dalam kategori "Lainnya" adalah malware kelas lain - ada sekitar 50 jaringan dan worm surat dari jenis umum, 12 eksploit untuk Internet Explorer (digunakan untuk meluncurkan penginstal SpyWare) dan 70 Trojan khusus (TrojanPSW dan Trojan-Proxy). Backdoor - tujuan utamanya tidak sah, kontrol komputer rahasia.

http://www.computermaster.ru/articles/secur2.html

Apa yang perlu Anda ketahui tentang virus komputer

(c) Alexander Frolov, Grigory Frolov, 2002

[email dilindungi]; http://www.frolov.pp.ru, http://www.datarecovery.ru

Sejak pembuatan komputer pribadi tersedia untuk para profesional dan masyarakat umum, sejarah virus komputer telah dimulai. Ternyata komputer pribadi dan program yang didistribusikan pada floppy disk adalah "media nutrisi" tempat virus komputer muncul dan hidup sembarangan. Mitos dan legenda yang muncul seputar kemampuan virus komputer untuk menembus di mana saja dan di mana saja, menyelimuti makhluk jahat ini dalam kabut yang tidak bisa dipahami dan tidak diketahui.

Sayangnya, bahkan administrator sistem yang berpengalaman (belum lagi pengguna biasa) tidak selalu mengerti persis apa itu virus komputer, bagaimana mereka menembus komputer dan jaringan komputer, dan kerusakan apa yang dapat dilakukan. Pada saat yang sama, tanpa memahami mekanisme fungsi dan penyebaran virus, tidak mungkin mengatur perlindungan anti-virus yang efektif. Bahkan program antivirus terbaik pun tidak akan berdaya jika digunakan secara tidak benar.

Kursus singkat dalam sejarah virus komputer

Apa itu virus komputer?

Definisi paling umum dari virus komputer dapat diberikan sebagai kode program yang menyebar sendiri di lingkungan informasi komputer. Itu dapat disematkan dalam file program yang dapat dieksekusi dan perintah, didistribusikan melalui sektor boot floppy disk, dan hard drive, dokumen aplikasi perkantoran, melalui email, situs web, serta melalui saluran elektronik lainnya.

Setelah memasuki sistem komputer, virus mungkin terbatas pada efek visual atau suara yang tidak berbahaya, atau dapat menyebabkan hilangnya atau kerusakan data, serta kebocoran informasi pribadi dan rahasia. Dalam kasus terburuk, sistem komputer yang terkena virus mungkin berada di bawah kendali penuh penyerang.

Saat ini, orang mempercayai komputer untuk menyelesaikan banyak tugas penting. Oleh karena itu, kegagalan sistem komputer dapat menimbulkan akibat yang sangat-sangat serius, hingga korban manusia (bayangkan virus di sistem komputer layanan lapangan terbang). Pengembang sistem komputer informasi dan administrator sistem tidak boleh melupakan hal ini.

Hingga saat ini, puluhan ribu virus berbeda telah dikenal. Terlepas dari kelimpahannya, hanya ada sedikit jenis virus yang berbeda satu sama lain dalam mekanisme distribusi dan prinsip kerjanya. Ada juga virus gabungan yang dapat dikaitkan secara bersamaan ke beberapa jenis berbeda. Kami akan berbicara tentang berbagai jenis virus, mengikuti urutan kronologis kemunculannya sebanyak mungkin.

Berkas virus

Secara historis, virus file muncul sebelum jenis virus lain, dan awalnya didistribusikan di lingkungan sistem operasi MS-DOS. Menyusup ke dalam tubuh file program COM dan EXE, virus mengubahnya sedemikian rupa sehingga ketika diluncurkan, kendali tidak dialihkan ke program yang terinfeksi, tetapi ke virus. Virus dapat menulis kodenya sampai akhir, awal atau tengah file (Gbr. 1). Virus juga dapat membagi kodenya menjadi blok-blok dengan menempatkannya di tempat berbeda dalam program yang terinfeksi.

Beras. 1. Virus di file MOUSE.COM

Setelah dikendalikan, virus dapat menginfeksi program lain, menyusup ke RAM komputer, dan melakukan fungsi berbahaya lainnya. Kemudian virus mentransfer kendali ke program yang terinfeksi, dan dijalankan dengan cara biasa. Akibatnya, pengguna yang menjalankan program tidak curiga bahwa program itu "sakit".

Perhatikan bahwa virus file tidak hanya dapat menginfeksi program COM dan EXE, tetapi juga jenis file program lainnya - hamparan MS-DOS (OVL, OVI, OVR, dan lainnya), driver SYS, DLL, dan file apa pun dengan kode program. Virus file telah dikembangkan tidak hanya untuk MS-DOS, tetapi juga untuk sistem operasi lain, seperti Microsoft Windows, Linux, IBM OS/2. Namun, sebagian besar virus dari jenis ini tinggal di lingkungan MS-DOS dan Microsoft Windows.

Pada zaman MS-DOS, virus file hidup bahagia selamanya berkat pertukaran perangkat lunak, game, dan bisnis secara gratis. Pada masa itu, file program relatif kecil dan didistribusikan di floppy disk. Program yang terinfeksi juga dapat diunduh secara tidak sengaja dari papan buletin BBS atau dari Internet. Dan seiring dengan program tersebut, virus file juga menyebar.

Program modern menempati jumlah yang cukup besar dan didistribusikan, sebagai aturan, dalam CD. Pertukaran program pada floppy disk adalah masa lalu. Dengan menginstal program dari CD berlisensi, biasanya Anda tidak berisiko menginfeksi komputer Anda dengan virus. Hal lain adalah CD bajakan. Anda tidak dapat menjamin apa pun di sini (walaupun kami mengetahui contoh penyebaran virus pada CD berlisensi).

Akibatnya, saat ini virus file telah digantikan oleh jenis virus lain yang populer, yang akan kita bicarakan nanti.

Virus booting

Virus boot dikendalikan pada tahap inisialisasi komputer, bahkan sebelum sistem operasi mulai memuat. Untuk memahami cara kerjanya, Anda perlu mengingat urutan inisialisasi komputer dan memuat sistem operasi.

Segera setelah menyalakan daya komputer, prosedur verifikasi POST (Power On Self Test) yang direkam di BIOS mulai bekerja. Selama pengujian, konfigurasi komputer ditentukan dan pengoperasian subsistem utamanya diperiksa. Prosedur POST kemudian memeriksa apakah floppy ada di drive A:. Jika disket dimasukkan, maka sistem operasi lebih lanjut dimuat dari disket. Jika tidak, booting dilakukan dari hard drive.

Saat mem-boot dari floppy disk, prosedur POST membaca darinya catatan boot(Rekam Boot, BR) ke RAM. Entri ini selalu berada di sektor pertama floppy dan merupakan program kecil. Selain program BR, ini berisi struktur data yang menentukan format floppy disk dan beberapa karakteristik lainnya. Prosedur POST kemudian mentransfer kontrol ke BR. Setelah menerima kendali, BR langsung melanjutkan untuk memuat sistem operasi.

Saat mengunduh dari perangkat keras Prosedur POST membaca Master Boot Record (MBR) dan menuliskannya ke RAM komputer. Entri ini berisi program boot dan tabel partisi, yang menjelaskan semua partisi pada hard disk. Itu disimpan di sektor pertama hard drive.

Setelah MBR dibaca, kontrol ditransfer ke bootloader baru dibaca dari disk. Itu mem-parsing konten tabel partisi, memilih partisi aktif, dan membaca BR dari partisi aktif. Entri ini serupa dengan entri BR pada disket sistem dan melakukan fungsi yang sama.

Sekarang tentang bagaimana virus boot "bekerja".

Saat menginfeksi floppy disk atau hard drive komputer, virus boot menggantikan catatan boot BR atau MBR (Gbr. 2). Catatan BR atau MBR asli biasanya tidak hilang (walaupun tidak selalu demikian). Virus menyalinnya ke salah satu sektor bebas disk.

Beras. 2. Virus di boot record

Dengan demikian, virus mengambil kendali segera setelah prosedur POST selesai. Kemudian dia, sebagai suatu peraturan, bertindak sesuai dengan algoritma standar. Virus menyalin dirinya sendiri sampai akhir memori akses acak sambil mengurangi volume yang tersedia. Setelah itu, ia mencegat beberapa fungsi BIOS, sehingga akses ke sana mentransfer kendali ke virus. Di akhir prosedur infeksi, virus memuat sektor boot yang sebenarnya ke dalam RAM komputer dan mentransfer kendali ke sana. Selanjutnya, komputer melakukan booting seperti biasa, tetapi virus sudah ada di memori dan dapat mengontrol pengoperasian semua program dan driver.

Virus gabungan

Sangat sering ada virus gabungan yang menggabungkan properti virus file dan boot.

Salah satu contohnya adalah file-boot virus OneHalf, yang tersebar luas di masa lalu. Menembus ke komputer dengan sistem operasi MS-DOS, virus ini menginfeksi master boot record. Saat komputer melakukan booting, virus secara bertahap mengenkripsi sektor hard disk, dimulai dengan sektor terbaru. Saat modul residen virus ada di memori, ia memantau semua akses ke sektor terenkripsi dan mendekripsinya sehingga semua perangkat lunak komputer berjalan normal. Jika OneHalf dihapus begitu saja dari RAM dan sektor boot, maka menjadi tidak mungkin untuk membaca dengan benar informasi yang direkam di sektor disk yang dienkripsi.

Ketika virus mengenkripsi setengah dari hard drive, ini menampilkan pesan berikut di layar:

Dis adalah satu setengah. Tekan tombol apa saja untuk melanjutkan ...

Setelah itu, virus menunggu pengguna menekan tombol apa saja dan melanjutkan pekerjaannya.

Virus OneHalf menggunakan berbagai mekanisme untuk menyamarkan dirinya. Ini adalah virus siluman dan menggunakan algoritma polimorfik untuk menyebar. Mendeteksi dan menghapus virus OneHalf adalah tugas yang agak sulit, yang tidak tersedia untuk semua program antivirus.

Virus pendamping

Seperti yang Anda ketahui, di sistem operasi MS-DOS, dan Microsoft Jendela berbagai versi, ada tiga jenis file yang dapat dieksekusi pengguna. Apakah itu perintah atau batch file BAT, serta file COM dan EXE yang dapat dieksekusi. Pada saat yang sama, beberapa file yang dapat dieksekusi dengan nama yang sama tetapi ekstensi nama yang berbeda dapat ditempatkan di direktori yang sama secara bersamaan.

Ketika pengguna memulai program dan kemudian memasukkan namanya di prompt sistem sistem operasi, dia biasanya tidak menentukan ekstensi file. File apa yang akan dieksekusi jika ada beberapa program dalam direktori dengan nama yang sama tetapi ekstensi nama berbeda?

Ternyata dalam hal ini file COM akan berjalan. Jika di direktori saat ini atau di direktori yang ditentukan di variabel lingkungan PATH, kalau begitu, hanya file EXE dan BAT yang ada .EXE.

Ketika virus satelit menginfeksi file EXE atau BAT, itu membuat file lain di direktori yang sama dengan nama yang sama, tetapi dengan ekstensi COM. Virus menulis sendiri ke file COM ini. Jadi, saat program diluncurkan, virus satelit akan menjadi yang pertama menerima kendali, yang kemudian dapat meluncurkan program ini, tetapi sudah di bawah kendalinya.

Virus dalam file batch

Ada beberapa virus yang mampu menginfeksi file batch BAT. Untuk melakukan ini, mereka menggunakan metode yang sangat canggih. Kami akan mempertimbangkannya menggunakan virus BAT.Batman sebagai contoh. Saat terinfeksi berkas kumpulan teks berikut disisipkan di awal:

@ECHO OFF REM [...] salin %0 b.com>nul b.com del b.com rem [...]

Dalam tanda kurung [...] di sini secara skematis menunjukkan lokasi byte, yang merupakan instruksi prosesor atau data virus. Perintah @ECHO OFF menonaktifkan tampilan nama perintah yang dijalankan. Baris yang dimulai dengan perintah REM adalah komentar dan tidak ditafsirkan dengan cara apa pun.

Perintah copy %0 b.com>nul menyalin file batch yang terinfeksi ke file B.COM. File ini kemudian dijalankan dan dihapus dari disk dengan perintah del b.com.

Hal yang paling menarik adalah file B.COM yang dibuat oleh virus bertepatan dengan satu byte dengan file batch yang terinfeksi. Ternyata jika Anda mengartikan dua baris pertama dari file BAT yang terinfeksi sebagai program, itu akan terdiri dari perintah CPU yang sebenarnya tidak melakukan apa-apa. CPU mengeksekusi perintah ini dan kemudian mulai mengeksekusi kode virus aktual yang ditulis setelah pernyataan komentar REM. Setelah menerima kendali, virus mencegat interupsi dan aktivasi OS.

Dalam proses penyebarannya, virus memonitor penulisan data ke file. Jika baris pertama yang ditulis ke file berisi perintah @echo, maka virus mengira itu sedang ditulis berkas kumpulan dan menginfeksi dia.

Mengenkripsi dan virus polimorfik

Untuk mempersulit pendeteksian, beberapa virus mengenkripsi kodenya. Setiap kali virus menginfeksi program baru, ia mengenkripsi kodenya sendiri menggunakan kunci baru. Akibatnya, dua contoh virus semacam itu bisa sangat berbeda satu sama lain, bahkan memiliki panjang yang berbeda. Enkripsi kode virus sangat mempersulit proses penelitiannya. Program normal tidak akan dapat membongkar virus semacam itu.

Secara alami, virus hanya dapat bekerja jika kode yang dapat dieksekusi didekripsi. Ketika program yang terinfeksi dimulai (atau mulai memuat dari BR yang terinfeksi) dan virus mengambil kendali, ia harus mendekripsi kodenya.

Untuk mempersulit pendeteksian virus, enkripsi tidak hanya digunakan kunci yang berbeda, tetapi juga prosedur enkripsi yang berbeda. Dua contoh virus semacam itu tidak memiliki satu urutan kode yang cocok. Virus semacam itu yang dapat sepenuhnya mengubah kodenya disebut virus polimorfik.

Virus siluman

Virus siluman mencoba menyembunyikan keberadaannya di komputer. Mereka memiliki modul residen yang secara permanen terletak di RAM komputer. Modul ini dipasang saat program yang terinfeksi diluncurkan atau saat boot dari disk yang terinfeksi virus boot.

Modul residen virus mencegat panggilan ke subsistem disk komputer. Jika sistem operasi atau program lain membaca file program yang terinfeksi, virus akan menggantinya dengan file program asli yang tidak terinfeksi. Untuk melakukan ini, modul residen virus dapat menghapus sementara virus dari file yang terinfeksi. Setelah selesai bekerja dengan file, itu menjadi terinfeksi lagi.

Boot stealth virus bekerja dengan cara yang sama. Ketika sebuah program membaca data dari sektor boot, sektor boot yang sebenarnya diganti dengan sektor yang terinfeksi.

Penyamaran virus siluman hanya berfungsi jika virus memiliki modul residen di RAM komputer. Jika komputer di-boot dari floppy sistem yang bersih dan tidak terinfeksi, virus tidak memiliki peluang untuk mendapatkan kendali dan oleh karena itu mekanisme siluman tidak berfungsi.

Virus perintah makro

Sejauh ini, kita telah berbicara tentang virus yang hidup di file program yang dapat dieksekusi dan sektor boot disk. Distribusi office suite yang tersebar luas kantor Microsoft menyebabkan longsoran virus jenis baru yang menyebar bukan dengan program, tetapi dengan file dokumen.

Pada pandangan pertama, ini mungkin tampak tidak mungkin - pada kenyataannya, di mana virus dapat bersembunyi di dokumen teks Microsoft Word atau di dalam sel di spreadsheet Microsoft Excel?

Namun, pada kenyataannya, file dokumen Microsoft Office mungkin berisi program kecil untuk memproses dokumen tersebut, yang ditulis dalam bahasa pemrograman Visual Basic for Applications. Ini berlaku tidak hanya untuk dokumen Word dan Excel, tetapi juga untuk database Access dan file presentasi Power Point. Program semacam itu dibuat menggunakan makro, sehingga virus yang hidup di dokumen kantor disebut makro.

Bagaimana virus macrocommand menyebar?

Bersama dengan file dokumen. Pengguna berbagi file melalui floppy disk, direktori jaringan server file intranet perusahaan, email, dan saluran lainnya. Untuk menginfeksi komputer dengan virus macrocommand, cukup buka file dokumen yang sesuai aplikasi kantor- dan selesai!

Sekarang virus perintah makro sangat umum, yang sebagian besar disebabkan oleh popularitas Microsoft Office. Mereka dapat merusak sebanyak, dan dalam beberapa kasus bahkan lebih dari, virus "biasa" yang menginfeksi file yang dapat dieksekusi dan sektor boot disk dan floppy disk. Bahaya terbesar dari virus perintah makro, menurut pendapat kami, terletak pada kenyataan bahwa mereka dapat memodifikasi dokumen yang terinfeksi tanpa diketahui untuk waktu yang lama.

Sejak kecil, kami telah mendengar bahwa yang baik adalah pramuka, mereka bekerja untuk kami. Dan yang jahat adalah mata-mata, ini adalah orang asing - orang-orang berkacamata hitam, dengan jas hujan yang dikancingkan ke semua kancing dan dengan segepok dolar di saku mereka. Abad kedua puluh satu telah tiba, dan sekarang sama sekali bukan jas hujan karet yang disebut mackintosh, meskipun mata-mata masih dihidupkan di dalamnya ... Temui hari ini di arena: spyware dari "baik" dan "jahat" (bagaimana untuk melihat, ya?) sisi gaya.

Scouts: malware untuk kebutuhan pemerintah

Pada musim panas 2012, karyawan laboratorium antivirus Kaspersky menemukan malware bernama Morcut. Itu diterapkan pada sekelompok jurnalis independen dari Maroko yang meliput peristiwa selama Musim Semi Arab, komputer mereka sengaja diinfeksi melalui layanan email.

Dalam klasifikasi perusahaan antivirus lainnya, malware tersebut diberi nama Crisis (Symantec) dan DaVinci (Dr.Web). Selama investigasi yang dilakukan oleh Dr.Web, ditemukan bahwa Morcut merupakan salah satu komponen dari sistem tersebut kendali jarak jauh DaVinci, dikembangkan dan dipasarkan oleh Tim Peretasan.

Da Vinci

Sistem DaVinci diposisikan oleh pengembang sebagai SORM (system sarana teknis untuk memastikan fungsi kegiatan pencarian operasional) untuk digunakan oleh lembaga pemerintah dan lembaga penegak hukum. Selain Tim Peretasan, sejumlah perusahaan lain sedang mengembangkan SORM serupa. Sebagai aturan, ini adalah kompleks program yang terdiri dari server kontrol dan agen klien. Agen diinstal secara diam-diam di komputer dan memiliki fungsi-fungsi berikut:

  • pencarian dan pembentukan daftar berkas yang memenuhi kriteria yang ditentukan;
  • mengirim file sewenang-wenang, termasuk dokumen elektronik, ke server jarak jauh;
  • intersepsi kata sandi dari layanan email dan jejaring sosial;
  • pengumpulan data tentang sumber daya Internet yang dikunjungi;
  • intersepsi aliran data sistem komunikasi suara elektronik (Skype);
  • intersepsi data pesan instan (ICQ);
  • pengumpulan informasi kontak ponsel terhubung ke komputer;
  • merekam informasi audio dan video (jika webcam dan mikrofon tersambung).

Menurut Wall Street Journal, sejumlah perusahaan Eropa memasok SORM berdasarkan perangkat lunak open source dengan fungsi seperti itu ke negara-negara Timur Tengah, yang pemerintahnya menggunakannya untuk melawan segmen populasi yang berpikiran oposisi.


Organisasi non-pemerintah Privacy International (Britania Raya), yang terlibat dalam mengidentifikasi fakta pelanggaran hak asasi manusia, terus memantau pasar SORM internasional dan menyimpan daftar perusahaan yang mengembangkan solusi di bidang ini. Daftar ini disusun berdasarkan analisis perusahaan yang berpartisipasi dalam konferensi khusus ISS World (Sistem Pendukung Intelijen - sistem untuk memastikan pengumpulan informasi). Pada acara yang diadakan rutin beberapa kali dalam setahun ini, para calon pembeli dan pengembang SORM bertemu. Berikut adalah beberapa perusahaan yang mengembangkan malware dengan kedok SORM.

FinFisher (finfisher.com), sebuah divisi dari Gamma International (UK)

Menurut beberapa laporan, setelah pengunduran diri Hosni Mubarak setelah peristiwa tahun 2011 di Mesir, ditemukan dokumen (lihat Gambar 3, 4) yang menunjukkan bahwa FinFisher menyediakan layanan untuk melacak warga negara Mesir menggunakan kompleks FinSpy. Fakta membeli lisensi lima bulan untuk rezim Mubarak di Mesir seharga 287 ribu euro, perusahaan dengan keras kepala menyangkal. FinSpy mampu mencegat panggilan telepon Skype, curi kata sandi, dan rekam informasi audio dan video. FinSpy diinstal di komputer pengguna dengan cara berikut: pesan dikirim melalui email dengan tautan ke situs jahat. Saat pengguna membuka tautan, mereka akan diminta untuk memperbarui perangkat lunak. Bahkan, alih-alih memperbarui, malware akan diinstal. Metode distribusi FinSpy melalui email dicatat pada musim panas 2012 sehubungan dengan aktivis pro-demokrasi di Bahrain.



Tim Peretasan (hackingteam.it), Italia

Pengembang sistem kendali jarak jauh DaVinci, yang diposisikan sebagai alat pelacak yang dirancang untuk digunakan oleh pemerintah dan lembaga penegak hukum di berbagai negara. Fungsionalitas DaVinci mirip dengan FinSpy - ini adalah intersepsi Skype, email, kata sandi, data pesan instan (ICQ), serta merekam informasi audio dan video. Bagian klien DaVinci dapat berfungsi baik di lingkungan sistem operasi Keluarga jendela(versi XP, Vista, Seven), dan di lingkungan sistem operasi keluarga Mac OS (versi Snow Leopard, Lion). Harga sistem DaVinci seharusnya sekitar 200 ribu euro, berisi kewajiban untuk terus memperbarui dan memelihara produk hingga tujuan akhir serangan (mendapatkan informasi yang diperlukan) tercapai.

Area SpA (area.it), Italia

Pada November 2011, diketahui bahwa karyawan perusahaan ini memasang sistem pemantauan untuk pemerintah Suriah yang mampu mencegat, memindai, dan menyimpan hampir semua pesan email di negara tersebut. Sebulan setelah fakta ini terungkap, UE melarang ekspor peralatan pengawasan teknis ke Suriah dan pemeliharaannya. Sistem ini digunakan berdasarkan kesepakatan dengan perusahaan telekomunikasi Suriah STE (Syrian Telecommunications Establishment), yang merupakan operator utama komunikasi tetap di Suriah. Untuk pemasangannya digunakan cara yang efektif jika ada akses ke jaringan telekomunikasi (layanan khusus negara dan penegakan hukum memiliki akses tersebut), - substitusi informasi. Misalnya, saat mencari informasi di google.com, pengguna menerima tautan yang mengarah ke situs berbahaya dan terinfeksi dengan kedok memasang komponen browser yang diperlukan untuk menampilkan konten situs dengan benar.

Amesys (amesys.fr), sebuah divisi dari Bull SA, Prancis

Wartawan Wall Street Journal di salah satu pusat pemantauan Internet yang ditinggalkan pendukung Gaddafi di Tripoli (Libya) menemukan penggunaan sistem pelacakan Amesys. Menurut kesaksian mereka, otoritas Libya dapat membaca email, mendapatkan kata sandi, membaca pesan instan, dan memetakan koneksi antar manusia. Dokumen yang diposting di sumber WikiLeaks menunjukkan bahwa sistem yang digunakan oleh Amesys memungkinkan untuk memantau para pembangkang dan oposisi bahkan di luar negeri, misalnya, yang tinggal di Inggris Raya.

mata-mata

Trojan yang digunakan dalam serangan siber pada tahun 2013 sebagian besar bukanlah hal yang luar biasa. Jika 2012 adalah tahun PR untuk Kaspersky Lab tentang topik senjata cyber berteknologi tinggi, maka pada 2013 muncul tren baru - penggunaan malware yang meluas dalam serangan yang ditargetkan, berlawanan dengan yang ditulis dengan jelas oleh tim profesional untuk tujuan tertentu. . Dan semakin banyak, tanda-tanda terisolasi menunjukkan kemungkinan penyerang seperti China dan Korea Utara. Dengan demikian, kita dapat berbicara tentang apa yang disebut Trojan penulisan "Barat" dan "Asia" yang digunakan untuk melakukan serangan kelas APT. Apa karakteristik dari "sekolah Barat"?

  1. Sumber daya keuangan yang signifikan sedang diinvestasikan.
  2. Kode berbahaya ditandatangani secara digital oleh perusahaan yang sah, sertifikat untuk itu biasanya dicuri dari server yang diretas, yang memerlukan beberapa pekerjaan persiapan, sumber daya manusia, dan akhirnya poin nomor 1. Tanda tangan memungkinkan Anda menginstal driver dengan mudah untuk beralih ke mode kernel, yang membuatnya itu mungkin untuk mengimplementasikan fungsi rootkit, dan dalam beberapa kasus melewati perlindungan alat anti-virus.
  3. Kerentanan zero-day banyak digunakan untuk peluncuran tersembunyi dan eskalasi hak istimewa dalam sistem, kerentanan seperti itu sangat mahal, jadi lihat poin 1 lagi.

Sejak 2010, malware berikut telah ditemukan dengan label menarik "senjata dunia maya" (lihat Gambar 2), dalam artikel ini kami tidak akan menjelaskan eksploitasinya secara lengkap - kami telah melakukan ini sebelumnya - tetapi cukup membahas yang paling menarik fitur.

Stuxnet

Ini menonjol dengan latar belakang umum karena sejauh ini merupakan satu-satunya perwakilan malware yang secara fisik dapat merusak beberapa objek perusahaan. Jadi, nyatanya, hanya itu yang bisa dikaitkan dengan kelas senjata siber. Yang juga menarik di dalamnya adalah empat kerentanan zero-day, menyebar ke USB bukan melalui autorun.inf yang sepele, tetapi melalui kerentanan penanganan pintasan MS10-046. Saat memuat otomatis dari flash drive melalui pintasan berbahaya, komponen rootkit dipicu, setelah itu komponen berbahaya Stuxnet terletak di lampu kilat usb, menjadi tidak terlihat. Itu memiliki fungsi worm, seperti Conficker (MS08-067), serta metode penyebaran melalui jaringan melalui kerentanan subsistem cetak (MS10-061). Pengemudi ditandatangani dengan sertifikat curian.

duqu

Digunakan sebagai wadah pengiriman dokumen kata(diluncurkan melalui kerentanan dalam penanganan font MS11-087, zero-day), dikirim melalui email. Driver, seperti Stuxnet, telah ditandatangani, itulah sebabnya beberapa analis antivirus masih mencoba membenarkan hubungan antara Stuxnet dan Duqu.

api

Sangat menarik bahwa tanda tangan komponen milik Microsoft, dibuat dengan memilih tabrakan MD5. Ukuran sumber yang sangat besar, sekitar 20 MB, penggunaan sejumlah besar kode pihak ketiga. Ada modul yang menggunakan Bluetooth untuk mencegat informasi perangkat seluler.

Gauss

Ini memiliki struktur modular, modul diberi nama internal matematikawan terkenal seperti Gödel, Gauss, Lagrange. Penggunaan media yang dapat dilepas untuk menyimpan informasi yang dikumpulkan di berkas tersembunyi(ini memungkinkan informasi bocor melalui perimeter pelindung, di mana tidak ada Internet, di flash drive). Berisi plugin yang dirancang untuk mencuri dan memantau data yang dikirim oleh pengguna beberapa bank Lebanon - Bank Beirut, EBLF, BlomBank, ByblosBank, FransaBank, dan Credit Libanais.

MiniFlame

Sebuah proyek yang terkait dengan Flame. Selama analisis perintah dan kontrol server Flame menemukan bahwa ada empat jenis yang berbeda klien (“malware”) dengan nama sandi SP, SPE, FL, dan IP. MiniFlame sesuai dengan nama SPE, Flame, masing-masing, - FL. Malware dengan nama SP dan IP tidak pernah ditemukan di alam bebas.

Sputnik

Mampu mencuri data dari perangkat seluler, mengumpulkan informasi dari peralatan jaringan(Cisco) dan file dari drive USB (termasuk sebelumnya file yang dihapus, yang menggunakan teknologi pemulihan file miliknya sendiri), mencuri database email dari penyimpanan Outlook lokal atau dari server POP/IMAP jarak jauh, dan mengekstrak file dari server FTP lokal di jaringan.

miniduke

Ditulis dalam assembler, yang di zaman kita sudah mengejutkan (Anda tahu, mereka berbicara dengan kata-kata seseorang dari sekolah lama). Alamat C&C diambil dari Twitter. Jika Twitter tidak berhasil, Pencarian Google digunakan untuk menemukan tautan terenkripsi ke server kontrol baru.

Grup dunia maya China mencoba mengikuti perkembangan, dan, misalnya, Trojan seperti Winnti, yang digunakan untuk menyerang perusahaan game komputer online, berisi driver bertanda tangan.

Mata-mata sekolah Asia

  • Juli 2012 - Madi;
  • Agustus 2012 - Shamoon;
  • Nopember 2012 - Narilam.

Semuanya ditulis dalam Delphi (lameware :)), kodenya tidak bersinar dengan manufakturabilitas khusus, tidak ada yang bisa dikatakan tentang zero-day dan signature. Ada penggunaan teknologi dan metode publik. Namun demikian - mereka berhasil! Ngomong-ngomong, Trojan dengan fungsi destruktif setelah serangan APT kembali populer, Shamoon dan Narilam hanyalah salah satunya. Mereka digunakan untuk melumpuhkan pekerjaan organisasi individu dengan menghancurkan informasi di komputer.

Masalah terminologi

Istilah lama seperti "virus", "worm", dan "trojan" tidak lagi sepenuhnya sesuai dengan kenyataan. Sangat disayangkan bahwa jurnalis Internet sangat tidak yakin tentang perbedaan virus dari Trojan, dan orang yang kurang lebih memahami topik tersebut terputus oleh frasa seperti "virus stuxnet", "virus kido" atau "carberp virus". Mari kita rekap konsep dasar:

  • virus - memiliki fungsi perbanyakan diri, menginfeksi file yang dapat dieksekusi;
  • trojan - tidak memiliki fungsi perbanyakan diri;
  • worm - memiliki fungsi perbanyakan diri, dalam pengertian klasik - melalui penggunaan kerentanan layanan OS yang tersedia melalui jaringan (Morris worm), beberapa saat kemudian - melalui sabun dan flash drive;
  • rootkit - menggunakan fungsi menyembunyikan tanda keberadaannya di sistem.

Dalam praktiknya, banyak sampel malware menggabungkan beberapa karakteristik ini. Saat ini, saatnya mengklasifikasikan malware berdasarkan beberapa kriteria lain. Mari kita coba mencari tahu. Pertama-tama, malware apa pun di zaman kita pada dasarnya adalah proyek komersial. Perbedaannya hanya pada keuangan awal dan tujuan akhir. Secara konvensional, kelompok-kelompok berikut dapat dibedakan:

  • lameware adalah istilah bermodel baru yang berarti malware yang ditulis oleh pemula atau amatir di bidang ini (dalam kehidupan sehari-hari - lamer). Sering menggunakan Delphi. Pembangunan, sebagai aturan, tidak memerlukan investasi keuangan, namun pendapatan secara relatif kecil. Motivasi utama menulis lameware adalah untuk menghibur CSF Anda;
  • malware komersial berkualitas tinggi - malware dengan nama "dunia", memiliki beberapa generasi dan memimpin sejarahnya selama beberapa tahun;
  • APT - spyware, yang distribusi dan fungsinya dicirikan oleh titik fokus pada target tertentu - perusahaan, organisasi.

Kesimpulan

Internetisasi, komputerisasi dan globalisasi lainnya telah membuat hidup lebih mudah bagi manusia. Baik Anda dan saya, dan mereka yang dulunya harus melompat dengan parasut, menggerogoti kawat berduri, menguping, memata-matai, merusak dan menyuap. Sebagian besar pekerjaan orang-orang kuat ini sekarang dilakukan oleh programmer berbakat seharga jutaan dolar, yang konyol menurut standar anggaran yang sesuai. Ya, ngomong-ngomong, kehidupan para pelaku kriminal, yang dulunya harus berlari dengan Colt untuk kereta pos, juga menjadi lebih mudah. Berhati-hatilah dan hati-hati!

nyatanya mengobati virus, ini bukan operasi yang sangat rumit untuk membayar banyak uang kepada spesialis untuk pekerjaan ini. Anda dapat melindungi komputer Anda dari virus, atau, jika terjadi infeksi, mengembalikan komputer Anda ke keadaan "sehat" dengan menghapus malware, dengan memilih program antivirus yang bagus dan mengikuti beberapa aturan. Ambil setidaknya dua yang paling penting: Pertama, perbarui database antivirus secara teratur. Yang kedua adalah memindai komputer Anda sepenuhnya dari virus sebulan sekali.

Jadi, dengan ini, menurut saya jelas bahwa penghapusan malware dilakukan dengan bantuan antivirus. Mereka berbayar dan gratis, saya berbicara tentang metode gratis di artikel berikut:

Dan sekarang tentang apa itu program jahat atau dengan cara lain virus?

Virus komputer atau malware- ini adalah program yang tujuan utamanya adalah: merusak komputer, merusak data pengguna, mencuri atau menghapus informasi pribadi, menurunkan kinerja komputer, dan masih banyak lagi.

Hingga saat ini malware dapat diklasifikasikan menjadi beberapa jenis sesuai dengan dampaknya terhadap komputer.

  • virus klasik.
  • program trojan.
  • Mata-mata.
  • Rootkit.
  • adware.

Mari kita lihat lebih dekat setiap jenis malware.

Virus klasik adalah program jahat yang dapat menginfeksi komputer, misalnya melalui Internet. Dan inti dari virus semacam itu terletak pada replikasi diri. Virus semacam itu menyalin dirinya sendiri, menyalin file dan folder yang ada di komputer yang terinfeksi. Mereka melakukan ini untuk menginfeksi data sehingga di masa mendatang pemulihannya tidak mungkin dilakukan. Virus ini mencoba merusak semua data yang ada di komputer dengan memasukkan kodenya ke semua file, mulai dari file sistem hingga data pribadi pengguna. Paling sering, keselamatan, pada komputer yang terinfeksi seperti itu.

Trojan adalah jenis virus yang serius. Trojan ditulis oleh penyerang untuk tujuan tertentu, misalnya mencuri informasi dari komputer, atau mencuri kata sandi, dan sebagainya.

Trojan ini dibagi menjadi dua bagian. Bagian pertama, yang disebut Server, disimpan oleh penyerang, dan yang kedua, bagian Klien, didistribusikan ke semua sudut yang memungkinkan di Internet dan di tempat lain. Jika bagian klien dari program jahat masuk ke komputer, maka PC ini terinfeksi dan Trojan mulai mengirimkan berbagai informasi ke penyerang yang menyamar di servernya.

Selain itu, Trojan dapat melakukan berbagai operasi di komputer atas permintaan server (penyusup), mencuri kata sandi, menginfeksi dokumen dan file dengan kode berbahaya.

mata-mata agak mirip dengan Trojan. Tetapi mereka memiliki perbedaan utama dan terletak pada fakta bahwa mata-mata tidak merusak sistem dan file pengguna. Spyware diam-diam duduk di depan komputer dan memata-matai. Mereka dapat mencuri kata sandi atau bahkan menyimpan semua yang Anda masukkan dari keyboard.

Spyware adalah jenis virus yang paling cerdas dan bahkan dapat mengirim file dari komputer yang terinfeksi. Mata-mata mengetahui banyak informasi tentang PC yang terinfeksi: sistem apa yang diinstal, antivirus apa yang Anda gunakan, browser apa yang Anda gunakan di Internet, program apa yang diinstal di komputer, dan sebagainya. Spyware adalah salah satu malware paling berbahaya.

rootkit Mereka bukan virus dalam dan dari diri mereka sendiri. Tetapi rootkit adalah program yang tujuannya untuk menyembunyikan keberadaan virus lain di komputer. Misalnya, komputer terinfeksi virus mata-mata bersamaan dengan rootkit. Dan rootkit akan mencoba menyembunyikan, dari antivirus dan sistem operasi Anda, seorang mata-mata. Oleh karena itu, keberadaan rootkit di komputer tidak kalah berbahayanya, karena dapat bekerja dengan baik dan menyembunyikan banyak virus (spyware, trojan) dari mata antivirus kita untuk waktu yang lama!

Adware adalah jenis malware lainnya. Kurang program berbahaya, dan intinya adalah memutar iklan di komputer Anda dengan berbagai cara di berbagai tempat. Adware tidak membahayakan dan tidak menginfeksi atau merusak file. Tetapi Anda juga perlu melindungi diri dari jenis virus ini.

Inilah jenis-jenisnya malware ada. Untuk melindungi komputer Anda dari virus, kami membutuhkan antivirus yang bagus. Saya membicarakannya di artikel lain, dan sekarang kita akan melanjutkan topik tentang penjelasan virus dan skema perlindungan untuk komputer kita.

Sebelumnya, virus tidak memiliki tujuan tertentu, dibuat untuk kepentingan tertentu dan pengembang tidak menetapkan tujuan tertentu. Sekarang virus adalah algoritme yang paling kompleks, yang intinya paling sering adalah pencurian uang dan data. Trojan, paling sering, dirancang hanya untuk mencuri kata sandi dan data penting lainnya.

Ngomong-ngomong, apakah komputer Anda terkena virus dapat dibedakan dengan beberapa tanda:

  • Program tidak berfungsi dengan baik atau berhenti bekerja sama sekali.
  • Komputer mulai melambat, bekerja dengan lambat.
  • Beberapa file rusak, menolak untuk dibuka.

Sangat sering, gejala ini bisa menjadi tanda infeksi virus komputer tapi untungnya tidak selalu.

Perlu dicatat bahwa paling sering satu virus tertentu dapat menginfeksi Berbagai jenis file. Oleh karena itu, bahkan setelah menyembuhkan komputer dari serangan virus yang kuat, pemformatan partisi akan menjadi yang paling benar.

Untuk melindungi diri Anda dari virus, seperti yang saya katakan di atas, mereka akan membantu Anda program antivirus. Saat ini, program antivirus memiliki fitur yang cukup untuk mencerminkan hampir semua program jahat yang didistribusikan di Internet. Tapi untuk maksimal perlindungan virus peran penting dimainkan oleh program anti-virus yang dipilih dan dikonfigurasi dengan benar untuk kinerja "pertempuran" penuh. Saya sarankan Anda membaca artikel tentang. Tetapi jika Anda tidak punya waktu, saya akan memberi Anda nama program antivirus terbaik di sini. Sampai hari ini, ini adalah:

  • Kaspersky
  • Avast
  • Dr.Web
  • NOD32

Saya pikir ada banyak pilihan.

Semoga berhasil dan perlindungan virus yang luar biasa untuk Anda.

Malware, Trojan, dan Ancaman

Sebagian besar komputer terhubung ke jaringan (Internet, jaringan area lokal), yang menyederhanakan distribusi program berbahaya (menurut standar Rusia, program semacam itu disebut "destruktif perangkat lunak"tapi karena konsep ini tidak umum, ulasan akan menggunakan konsep "program jahat"; pada bahasa Inggris mereka disebut Malware). Program ini termasuk trojan (juga dikenal sebagai trojan horse), virus, worm, spyware, adware, rootkit, dan berbagai jenis lainnya.

Kelebihan lainnya adalah MBAM jarang menyebabkan konflik dengan utilitas anti-malware lainnya.

Gratis Trojan Scanner SUPERAntiSpyware

. Selain spyware, program ini memindai dan menghapus jenis ancaman lain seperti dialer, keylogger, worm, rootkit, dll.

Program ini memiliki tiga jenis pemindaian: pemindaian sistem cepat, lengkap, atau khusus. Sebelum memindai, program menawarkan untuk memeriksa pembaruan untuk segera melindungi Anda dari ancaman terbaru. SAS memiliki daftar hitamnya sendiri. Ini adalah daftar 100 contoh berbagai DLL dan EXE yang tidak boleh ada di komputer. Ketika Anda mengklik salah satu item dalam daftar, Anda akan menerima Deskripsi lengkap ancaman.

Satu dari fitur penting program - ini adalah adanya perlindungan Hi-Jack, yang tidak mengizinkan aplikasi lain untuk menghentikan program (kecuali Task Manager).

Sayangnya, versi gratis program ini tidak mendukung perlindungan waktu nyata, pemindaian terjadwal, dan sejumlah fitur lainnya.

Lebih banyak program

Pemindai trojan gratis lainnya yang tidak termasuk dalam ulasan:

  • Rising PC Doctor (tidak lagi tersedia, Anda masih dapat menemukan versi lama di Internet) - pemindai Trojan dan spyware. Menawarkan kesempatan perlindungan otomatis dari sejumlah Trojan. Ini juga menawarkan alat-alat berikut: manajemen startup, manajer proses, manajer layanan, Penghancur File (program penghapusan file, tanpa kemungkinan memulihkannya) dan lainnya.
  • FreeFixer - akan memindai sistem Anda dan membantu Anda menghapus Trojan dan malware lainnya. Namun, pengguna diharuskan menginterpretasikan hasil program dengan benar. Perhatian khusus harus diberikan saat memutuskan untuk menghapus file sistem penting, karena ini dapat merusak sistem Anda. Namun, ada forum tempat Anda dapat berkonsultasi jika ragu tentang keputusan tersebut (tautan ke forum ada di situs).
  • Ashampoo Anti-Malware (Sayangnya sudah menjadi versi trial. Kemungkinan versi sebelumnya masih bisa ditemukan di Internet) - awalnya produk ini hanya bersifat komersial. Versi gratisnya memberikan perlindungan waktu nyata dan juga menawarkan berbagai alat pengoptimalan.

Panduan Cepat (Tautan Unduhan Pemindai Trojan)

Emsisoft Anti-Malware

Memindai dan menghapus trojan, worm, virus, spyware, pelacak, dialer, dll. Mudah digunakan.
DI DALAM versi gratis sangat terbatas. Tidak tersedia: pembaruan otomatis, perlindungan file waktu nyata, pemindaian terjadwal, dll.
Sayangnya, itu telah menjadi cobaan. Mungkin versi sebelumnya masih bisa ditemukan di Internet
www.emsisoft(.)com

Alat PC AncamanApi

Perlindungan proaktif terhadap trojan yang dikenal dan tidak dikenal, virus, worm, spyware, rootkit, dan malware lainnya.
Pembaruan otomatis tidak tersedia jika Anda memilih keluar dari komunitas ThreatFire. Versi 4.10 tidak berubah sejak November 2011.


Memuat...
Atas